An toàn thông tin kế toán UEH

File ôn tập cuối kỳ tự luận tóm tắt môn An toàn thông tin kế toán UEH

Khoa Ké toán

Bộ môn Hệ thống thông tin kế toán

-"======-=(0) ~=======

LECTURE NOTE

AN TOÀN THÔNG TIN KÉ TOÁN

Principles of Information Security- 6th

Michael E Whitman & Herbert J Mattord

TP Hồ Chí Minh - Năm 2023

Chương 1 TỔNG QUAN VỀ AN TOÀN THÔNG TIN KẾ TOÁN 5

1.4.2 Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong doanh nghiệp 15

2.1 Nhu cầu của tổ chức đối với an toàn thông tin 22 2.2 Các loại nguy cơ & cuộc tấn công đối với an toàn thông tin 23

3.2 Chính sách, tiêu chuẩn và thực tiễn triển khai an toàn thông tin 53

Chương 4 QUẢN LÝ RỦI RO

4.1 Giới thiệu

4.3 Quy trình quản lý rủi rõ

4.4 Phản ứng với rủi ra

4.6 Các phương pháp quản lý rủi ra khác

Chương 5 KẾ HOẠCH PHẢN ỨNG SỰ CỐ VÀ HOẠT ĐỘNG LIÊN TỤC

Chương 6 KIỂM SOÁT AN TOÀN

6.1 Kiếm soát truy cập

6.2 Tường lửa

6.3 Bảo vệ kết nối từ xa - Mạng riêng ảo (VPN]

CHƯƠNG 7 LUẬT, ĐẠO ĐỨC, VẤN ĐỀ NHÂN SỰ VÀ AN TOÀN THÔNG TIN

7.2 Định vị và cung cấp nhãn sự cho vị trí an toàn thông tin

7.3 Chính sách nhân sự và thực hành công việc

7.4 Các cần nhắc về an toàn đối với những người không phải nhân viễn của công ty

7.5 Các chiến lược kiếm soát nội bộ trong kiếm soát nhân sự

Chương 8 THỰC HIỆN VÀ DUY TRÌ AN TOÀN THÔNG TIN

Chương 1

TỔNG QUAN VỀ AN TOÀN THÔNG TIN KẾ TOÁN Textbook: Module 1 - Introduction to Information Security

Mục tiêu chương

Sau khi hoàn thành chương 1, sinh viên có khả năng:

Định nghĩa an toán thông tin

Hiểu biết về lịch sử an toàn máy tính và giải thích sự phát triển an toàn thông tin Xác định các thuật ngữ và các khái niệm quan trọng về an toàn thông tin

Giải thích vai trò của an toàn trong chu kỳ phát triển hệ thống

Mô tả vai trò của các chuyên gia đỗi với an toàn thông tin trong doanh nghiệp Nội dung

Chương 1 bao gồm các nội dung chính như sau:

s Giới thiệu về an toàn thông tin

Mõ hình an toàn thông tin

Triển khai an toàn thông tin

An toán thông tin trong doanh nghiệp

1.1 Giới thiệu về an toàn thông tin

1.1.1 Lịch sử an toàn thông tin

Lịch sử an toàn thông tin được chia thành nhiều giai đoạn, mỗi giai đoạn có những đặc trưng khác nhau và tập trung vào các vấn đề khác biệt, tùy thuộc vào sự chỉ phối của nhu

cầu của chính phủ, của người dùng, và sự phát triển công nghệ

a Giai đoạn trước những năm 1960: Ảnh hưởng của chiến tranh thế giới thứ 2, ảnh

hưởng của chạy đua vũ trang sau chiến tranh, tình báo, gián điệp và sự sơ khai của

công nghệ, an toàn thông tin trong giai đoạn này có những đặc trưng sau:

® Nhu cầu an toàn máy tỉnh và an toàn đối với thiết bị xuất hiện từ khi máy tính ra đời

Nhu cầu giải mã các thông điệp trong chiến tranh dẫn đến sự ra đời của các thiết bị

phá mã, là tiền thần của máy tính hiện đại Để đảm bảo an toàn cho thiết bị, các biện

pháp thông thường là nhận dạng thông qua giấy phép, giấy tờ cá nhân,

Mức độ an toàn và bảo mật thô sơ trong giai đoạn đầu tiên

Nguy cơ chính đối với an toàn là trộm cắp, gián điệp và phá hoại

Sự phát triển của công nghệ và sự ra đời của máy tính lớn (Mainframe Computer)} Chiến tranh Lạnh; vai trở của thông tin, các chiến dịch gián điệp, chạy đua vũ trang đời hỏi các biện pháp an toàn và bảo mật cao hơn

bắt đầu kiểm tra tính khả thi của hệ thống liên lạc nối mạng dự phòng được thiết kế

để hỗ trợ nhu cầu trao đối thông tin của quân đội

® Larry Roberts, người sáng lập ra Internet, đã phát triển dự án ARPANET

b Giai đoạn những năm 70, 8D: Trong 2 thập niên này, cũng nghệ thông tin có những tiến bộ, sự phát triển của các giao thức chuyển giao thông tin trên nền tảng mạng máy

tính, sự phát triển của cơ sở dữ liệu cũng như công nghệ thông tin dẫn đến các đặc thù mới của an toàn thông tin Trong giai đoạn này, an toàn thông tin thường được

đồng nhất với an toàn máy tính Đầy cũng là giai đoạn các hệ điều hành được hình thành và phát triển, làm nền tảng cho các hệ điều hành sau này

® ARPANET đã trở nên phổ biến và được sử dụng nhiều hơn, và khả năng bị lạm dụng cũng cao hơn

Robert MỊ Metcalfe đã chỉ ra rằng có những vấn đề cơ bản với bảo mật ARPANET Các trang web của người dùng được truy cập từ xa không có đủ các biện pháp kiểm soát và biện pháp bảo vệ để đảm bảo an toàn dữ liệu

Việc thiếu các quy trình an toàn cho các kết nỗi tới ARPANET

Nhận dạng người dùng và phân quyền cho hệ thống không tôn tại

Vi phạm an toàn máy tỉnh ngày cảng nhiều, đa dạng, số lượng máy chủ và người dùng

tăng nhanh, càng đặt ra vấn đề an toàn mạng máy tính trở nên cấp bách

w Báo cáo của RAND Corporation 1970 (RAND R 609) xắc định các thủ tục kiểm soát và

cơ chế cần thiết để bảo vệ hệ thống xử lý dữ liệu được máy tính hóa — được xem là

tải liệu đầu tiên cho việc nghiên cứu an toàn máy tính

# Phạm vi an toàn máy tính được mở rộng, bao gồm: (1) Bảo mật dữ liệu; (2) Hạn chế truy cập ngẫu nhiên và trái phép vào dữ liệu; (3) Sự tham gia của nhân sự từ nhiều cấp của tổ chức vào bảo mật thông tin

® MIULTICS: hệ thống được gọi là Dịch vụ Máy tính và Thông tin Đa kênh Multiplexed

Information and Computing Service MULTICS) là hệ điều hành đầu tiên tích hợp bảo

mật vào các chức năng cốt lõi của nó

@ MIULTICS là một hệ điều hành máy tính lớn (mainframe computer) được phát triển vào giữa những năm 1960 bởi một tập đoàn gồm General Electric (GE), Bell Labs và Viện Công nghệ Massachusetts (MIT]

® LINIX: giữa năm 1968, khi tái cấu trúc dự án MULTICS, một số nhà phát triển trong dự

án MULTICS đã tạo ra một hệ điều hành mới gọi là UNIX

MULTICS bảo mật với nhiều cấp độ bảo mật và mật khẩu, UNIX thì không

Cuối những năm 1970, bộ vi xử lý đã mang lại một kỷ nguyên mới về khả năng tính

toán; hệ thống xử lý dữ liệu phần tắn, mạng máy tính, khả năng chia sẽ dữ liệu và các mối đe dọa bảo mật là các vấn đề phát sinh khi các bộ vi xử lý này được nổi mạng

với DNS (Hệ thống tên miền)

® 1388, Cơ quan Chỉ đạo các Dự án Nghiên cứu Quốc phòng Tiên tiến (DARPA), đã thành

lập Nhóm Ứng cứu Khẩn cấp Máy tính (CERT) để giải quyết vấn đề an ninh mạng

c Thập niên 90: Đây là giai đoạn phát triển mạnh mẽ của những vấn đề đương đại của

an toàn thông tin kế toán: Kết nối mạng, khả năng tấn công từ xa, virus máy tính, cơ

sở dữ liệu tích hợp, mạng máy tỉnh toàn cầu, .Giai đoạn này, các vấn đề an toàn thông

tin hình thành một lĩnh vực riêng với đầy đủ đặc trưng và quy luật vận động

ø Cuối thế kỷ 20, mạng máy tính trở nên phổ biến, nhu cầu kết nối các mạng với nhau

cũng tăng theo đã tạo ra Internet

ø Ban đầu, khi vấn đề an toàn được xem xét, việc triển khai Internet coi nó ở một mức

biến và an toàn thông tin bắt đầu hình thành như một quy luật độc lập

d Thế kỷ 21: Công nghệ thông tin phát triển vượt bậc như là một phần của Cách mạng Công nghiện 4.0; hàng loạt tắc động của sự phát triển CNTT đến an toàn thông tin -=

kể cả tích cực lẫn tiêu cực

Internet đưa hàng triệu mạng máy tính không an toàn và hàng tỷ hệ thống máy tính vào giao tiếp liên tục với nhau

œ Tính bảo mật của thông tin được lưu trữ của mỗi máy tính phụ thuộc vào mức độ bảo

mật của mọi máy tính trong mạng máy tính đó

# Trong những năm gắn đây, nhận thức vẽ nhu cầu nắng cao an toàn thông tin ngày

cảng tăng, cũng như nhận thức rằng an toàn thông tin là quan trọng đối với quốc phòng-

Mối đe dọa ngày càng tăng của các cuộc tấn công mạng đã khiến các chỉnh phủ và các công tự nhận thức rõ hơn về sự cần thiết phải bảo vệ các hệ thống điều khiển máy tính

của các tiện ích và cơ sở hạ tầng quan trọng khác

Chiến tranh thông tin và khả năng các hệ thống thông tin cá nhân và doanh nghiệp có

thể tổn hại nếu chúng không được bảo vệ

Kế từ năm 2000, Sarbanes-Oxley và các luật khác liên quan đến quyền riêng tư và trách nhiệm của công ty đã ảnh hưởng đến bảo mật máy tính

dẫn đến những thay đổi lớn về luật pháp liên quan đến bảo mật máy tính, đặc biệt là

để tạo điều kiện cho cơ quan thực thi pháp luật có khả năng thu thập thông tin về khủng bố

® Điện toán đám mây, dữ liệu lớn, công nghệ chuỗi khối, máy học, trí tuệ nhân tạo,

vừa là cơ hội, vừa là thách thức cho an toàn thống tin nói chung và an toàn thông tin

kế toán nói riêng

1.1.2 Định nghĩa an toàn thông tin

a Định nghĩa An toàn thông tin: Ủy ban về các hệ

thống an ninh quốc gia (CNSS)] định nghĩa øn toàn thông

An toàn thông tin bao gồm các lĩnh vực:

- An toàn máy tính

- Bảo mật dữ liệu

(confidentiality); I (integrity]; A (availabilitv] — tam giác C.I.A: ^

tiêu chuẩn công nghiệp về bảo mật máy tính kể từ khi phát

triển máy tính lớn (mainframe) - Tiêu chuẩn dựa trên ba đặc

điểm của thông tin mang lại giá trị cho tổ chức: tính bảo mật, tính toàn vẹn và tính khả dụng

b Các khái niệm chính về an toàn thông tin

* Arcess: Quyền truy cập - Khả năng sử dụng, thao tác, sửa đối hoặc ảnh hưởng đến chủ thể, hoặc đổi tượng khác của chủ thể hoặc đổi tượng

* Asset: Tài sản — các nguồn lực của doanh nghiệp đang được bảo vệ Tài sản có thể

có hình thái vật chất hay phi vật chất Tài sản thông tin là trọng tâm của an toàn

thông tin

* Attack: Tân công - Một hành động cố ý hoặc võ ý có thể làm hỏng hoặc làm tổn hại

đến thông tin và hệ thống hỗ trợ nó Tấn công có thể là tấn công chủ động hoặc tấn công bị động; tấn công trực tiếp hoặc tấn công gián tiếp

* Control, safeguard, or countermeasure: Kiểm soát, bảo vệ hoặc biện pháp đối phó:

Các cơ chế, chỉnh sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn công

thành công, giảm thiểu rủi ro, giải quyết các lỗ hổng và cải thiện tính bảo mật trong

tổ chức

bảo mật thông tin, sự lộ diện tồn tại khi kẻ tấn công biết được một lỗ hồng

Loss: thiệt hại - tải sản thông tin bị hư hỏng hoặc bị phá hủy, sửa đối hoặc tiết lộ

ngoài ý muốn hoặc trái phép hoặc bị từ chối sử dụng

Protection profile or security posture: Hỗ sơ bảo vệ hoặc thái độ bảo mật: Toàn

bộ tập hợp các biện pháp kiểm soát và bảo về, bao gồm chính sách, giáo dục, đào

tạo và nâng cao nhận thức và công nghệ, mà tổ chức thực hiện để bảo vệ tài sản Risk: Rủi ro - Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho doanh nghiệp

Suhjects and objects of attack: Chủ thể tấn công và đối tượng bị tấn công

Threat: Nguy cơ hoặc đe dọa - Bất kỳ sự kiện hoặc hoàn cảnh nào có khả năng ảnh

hưởng xấu đến hoạt động và tài sản của tổ chức

Threat agent: Tắc nhắn đe dọa — một trường hợp cụ thể hoặc một thành phần của

một mối đe dọa

Threat event: Sự kiện đe dọa - sự kiện xảy ra do tác nhân đe dọa gây ra

Threat saurce: Nguồn gốc đe dọa - tập hợp cắc tác nhân đe dọa

Vulnerability: Nhược điểm / điểm yếu tiềm ẩn có sẵn trong hệ thống hoặc trong các hệ thống phòng thủ

c Các đặc điểm quan trọng của thông tin

Availability: Tính khả dụng - tính chất của thông tin cho phép người dùng khi cần truy cập thông tin mà không bị can thiệp hoặc cản trở và truy xuất thông tin đó ở định dạng bắt buộc

Accuracy: Tính chính xác - khi thông tin không có lỗi hoặc sai sót, có giá trị mà

người dùng mong đợi Nếu thông tin chứa giá trị khác với mong đợi của người

dùng do chỉnh sửa nội dung, thì thông tin đó không còn chính xác

Authenticity: Tính xác thực - chất lượng hoặc trạng thái của thông tin gốc hoặc

nguyễn bản, thay vì sao chép hoặc chế tạo Thông tin xác thực khi nó là thông tin được tạo, đặt, lưu trữ hoặc chuyển giao nguyên bản

Confidentiality Tính bảo mật - chất lượng hoặc trạng thái thöng tin ngăn chặn việc tiết lộ hoặc lộ bí mật thông tin với các cá nhãn hoặc hệ thống không được phép

Tính bảo mật đảm bảo rằng chỉ những người dùng có quyền, đặc quyền và nhu cầu truy cập thông tin mới có thể truy cập

Integrity: Tỉnh toàn vẹn - chất lượng hoặc trạng thải của toàn bộ, hoàn chỉnh và không bị gián đoạn Tính toàn vẹn của thông tin bị đe dọa khi thông tin bị lộ, hỏng,

bị nhá hủy hoặc do các hành vi khác làm gián đoạn trạng thái nguyên bản của nó

kết quả Thông tin có giá trị khi nó phục vụ một mục đích cụ thể Điều này có nghĩa

là nếu thông tin có sẵn, nhưng không ở định dạng có ý nghĩa đối với người dùng cuối, thì nó sẽ không hữu ích

« Pnssession: Chiếm hữu - chất lượng hoặc trạng thái có quyền sở hữu hoặc kiểm

soát một số đối tượng hoặc vật phẩm Thống tin được cho là thuộc quyền sở hữu của một người nếu một người có được nó, không phụ thuộc vào định dạng hoặc

các đặc điểm khác Mặc dù vi phạm bảo mật luôn dẫn đến vi phạm quyền sở hữu,

vi phạm sở hữu không phải lúc nào cũng dẫn đến vi phạm bảo mật 1.1.3 Bản chắt an toàn thông tin

# Tính đa dạng, phức tạp, không có nguyên mẫu, luôn linh hoạt, luôn sáng tạo trong lĩnh vực bảo mật, sự cần bằng trong việc vận dụng kiến thức bảo mắt, sự tương tác bảo mật

giữa các hệ thống con trong một hệ thống lớn dẫn đến tính nghệ thật của an toàn thông

tin

® Đặc tính của công nghệ và khoa học máy tính, tính nghiêm túc và các nguyên tắc trong phương pháp và kỹ thuật, sự tương tác giữa phần cứng và phần mềm và trị thức về hảo mật cho thấy tính khoa học của an toàn thông tin

® Sự tương tác của con người với hệ thống, hành vi của người dùng tác động đến bảo mật, nhận thức về rủi rơ trong môi trường CNTT cho thấy an toàn thông tin mang tính chất của

Ví dụ: Huấn luyện, đào tạo cho nhân viên quy trình sử dụng hệ thống nhẫm hạn chế các

sai sót trong quả trình xử lý dữ liệu kế toán Vấn đề này liên quan đến khối lập phương

Education — Integrity - Processing

1.2.2 Các thành phản của hệ thống thông tin

e Hệ thống thông tin (HTTT) có 8 thành phần: Con người, phằn cứng, phần mềm,

mạng máy tính, các chính sách và thủ tục, và dữ liệu

@ Mỗi thành phần có điểm mạnh, điểm yếu, tính chất và công dụng riêng; mỗi thành phần

có các yêu cầu về an toàn và bảo mật khác nhau

œ Con người: Luôn là mối đe dọa đối với an toàn thông tin Các chính sách, thủ tục, việc đào tạo, nhận thức đạo đức và sử dụng công nghệ đúng đắn sẽ giúp hạn chế điểm yếu này

„ Phần cứng: công nghệ vật lý giúp lưu trữ dữ liệu và phần mềm, cung cấp giao diện để nhập liệu và truy xuất thông tin Khi phần cứng có thể bị tiếp cận, hệ thống có thể bị phá

hủy hoặc thông tin bị đánh cắp

Phần mềm: Hệ điều hành, chương trình, tiện ích khác Do được lập trình nên phần mềm hàm chứa nhiều nguy cơ, từ lỗi lập trình cho đến sử dụng sai mục đích

Dữ liệu: Dữ liệu được HTTT lưu trữ, xử lý, truyền tải Dữ liệu là tài sản quan trọng của doanh nghiệp và thường là mục tiêu tấn công Đảm bảo an toàn dữ liệu cần được thực

hiện nghiêm túc và đầy đủ

® Các chính sách và thủ tục: Các hướng dẫn bằng văn bản để hoàn thành một nhiệm vụ cụ thể Đào tạo, huấn luyện, giám sát quy trình, đánh giá định kỳ giúp đảm bảo các thủ tục

có thể hoàn thành vai trò của minh

# Mạng máy tính: Các máy tính và hệ thống máy tính kết nối với nhau hình thành nên mạng

máy tính, giúp HTTT truyền dữ liệu và thông tin, hỗ trợ người dùng thực hiện các tắc vụ

và ra quyết định Mạng máy tính có nhiều nguy cơ, do đó kiểm soát lưu lượng và kiểm

soát truy cập là cần thiết

1.2.3 Cân bằng giữa an toàn thông tin và truy cập

* Không thể có được an toàn thông tin tuyệt đối, hoàn hảo

* An toàn thông tin là quá trình, không phải là mục tiêu

* Hệ thống luôn sẵn sàng để truy cập sẽ dẫn đến nguy cơ bị tấn công, ngược lại, nếu cô lập

hệ thống để đảm bảo an toàn cao thì không thể truy cập được

+ Cần bằng giữa an toàn và truy cập nhằm đảm bảo sự hợp lý giữa khả năng truy cập và việc

hạn chế rủi ra - với một mức độ bảo mật phù hợp

* An toàn thông tin và khả năng truy cập đều phục vụ cho mục tiêu chung của doanh nghiệp,

và do đó phải hài hòa và cần xứng

Lke 1:

15 a hagsde, 'ClS0: Encryptlon

1.3 Triển khai an toàn thông tin

1.3.1 Cách tiếp cận thực hiện an toàn thông tin

s Tiếp cận từ dưới lên (bottom-up approach)

<⁄ Bắt đầu từ các hành vi từ cấp dưới nhắm cải thiện an toàn hệ thống

„x Dựa trên kỹ năng và kiến thức của quản trị viên hệ thống

x# Gắn liền với hiểu biết chuyên sâu của quản trị viên hệ thống với hệ thống

có liên quan

x* Hiểu rõ đặc tính của hệ thống, hiểu rõ nguy cơ và cách thức hạn chế nguy cơ

x# Thiếu nhất quán, thiếu sự hỗ trợ của cấp trên, thiếu sự hỗ trợ từ các hệ thống khác và hạn chế quyền hạn thực thi

w^ Khả năng thành công thấp

s Tiếp cận từ trên xuống (top-down approach)

x# Dự án an tồn thơng tin được khởi xướng bởi các nhà quản lý cấp trên, những

người ban hành các chính sách, thủ tục và quy trình; đề xuất các mục tiêu và kết quả mong đợi; và xác định trách nhiệm cá nhân cho mỗi hành động

x⁄ Cĩ sự hỗ trợ từ cấp trên và khai thác các nguồn lực của doanh nghiệp, quy

trình, kế hoạch rõ ràng và ảnh hưởng tồn doanh nghiệp

x^ Cách tiếp cận này được thể hiện phổ biến thơng qua chiến lược phát triển hệ thống

tiêu chuẩn - được gọi là chu kỳ phát triển hệ thống

x Khả năng thành cơng cao

Top-doum agprộch Battom-up apgrgach

r

CEO

Cm | | cm | Lư H] |

ki lạch lạch

1.3.2 An tồn thơng tin và chu kỳ phát triển hệ thống

Để triển khai an tồn thơng tin vào hệ thống thơng tin của doanh nghiệp cần đảm bảo rằng an tồn thơng tin là một phần cơ bản trong chu kỳ phát triển hệ thống

An tồn thơng tin cần được quản trị như mọi hệ thống thơng tin trong doanh nghiệp Cách tiếp cận truyền thống để triển khai an tồn thơng tin cĩ nhiều cách thức khắc nhau

như JAD (joint application development — phát triển ứng dụng liên kết); RAD (rapid

application development - phát triển ứng dụng nhanh]; Dev0ps - phương pháp dựa trên

sự tích hợp nhu cầu của nhám phát triển (development team) và nhĩm vận hành (operations team)

Chu kỳ phát triển hệ thống SDLC (Systems Development Life Cycle): SDLC là một phương

pháp luận được áp dụng trong phần tích, thiết kế, thực hiện và vận hành hệ thống, bao gồm các cách thức tiếp cận chính thức để giải quyết vấn đề dựa trên chuỗi các thủ tục cĩ cấu trúc, quy trình chặt chẽ, khơng bỏ sĩt các bước cho đến khi đạt được mục tiêu cuối

cùng

5DLC cĩ nhiều cách thức thực hiện, bao gồm SDLC truyền thống, tích hợp bảo hiểm phần

mềm (Software Assurance) vào quá trình phát triển phần mềm của hệ thống; áp dụng các

nguyên tắc thiết kế phần mềm hoặc phương pháp tiếp cận dựa trên các tiều chuẩn NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia - The National Institute of Standards and Technologv) trong bảo đảm an toàn cho SDLC

œ Bản hiểm phần mềm: Một phương pháp tiếp cận để phát triển phần mềm nhằm thiết lập

an toàn ngay trong chu kỳ phát triển hơn là giải quyết an toàn đó ở các giai đoạn sau,

nhằm đạt được các phần mềm không có lỗ hổng bảo mật, cung cấp phần mềm hữu hiệu

và hiệu quả cho người sử dụng Rất nhiều vấn đề liên quan bảo mật hệ thống có nguyên nhân từ yếu tố phần mềm An toàn hệ thống yêu cầu phần mềm an toàn hoặc ít nhất có

khả năng an toàn Việc xác định sự cần thiết cho việc lập kế hoạch cho các mục tiêu bảo mật trong SDLC và thiết lập thủ tục để tạo ra phần mềm có khả năng triển khai an toàn

được gọi là bảo hiểm phần mềm Bộ Quốc phòng Hoa Kỳ đã khởi động Sáng kiển Bảo hiểm Phần mềm vào năm 2003, dẫn đến việc xuất bản Khối Kiến thức Chung (CBK) về Bảo hiểm

Phần mềm An toàn (SwA) Có hai khía cạnh cần xem xét:

- (1) Các hoạt động kỹ thuật hoặc các khía cạnh của các hoạt động có liên quan đến việc đạt

được phần mềm an toàn là gì?

- (2) Những kiến thức cần thiết để thực hiện các hoạt động hoặc khía cạnh này?

œ Phát triển phần mềm tốt sẽ tạo ra một sản phẩm hoàn chỉnh đáp ứng tất cả các thông số

kỹ thuật thiết kế của nó Các cần nhắc về An toàn thông tin là một thành phần quan trọng của các thông số kỹ thuật này

® Các nguyên tắc thiết kế phần mềm an toàn phố biến: Tính kinh tế của cơ chế thiết kế; Mặc định không an toàn; điều tiết hoàn chỉnh; Thiết kế mở; Tách biệt đặc quyền; Đặc quyền ít nhất; Cơ chế chung ít nhất; Khả năng chấp nhận tầm lý

„ Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST] đã điều chỉnh đơn giản hóa chu kỳ phát

triển hệ thống dựa trên 5 giai đoạn: (1) Khởi đầu; (7) Phát triển / Mua sắm; (3) Thực hiện/ Đánh giá; (4) Vận hành / Bảo trì; và (5) Thanh lý

œ NIST khuyến cáo các tổ chức tích hợp các bước bảo mật CNTT liên quan của SDLC vào quy trình phắt triển hệ thống, an toàn thông tin phải được thiết kế trong một hệ thống ngay

từ đầu chứ không phải sau khi được thực hiện

1.4 An toàn thông tin trong doanh nghiệp

1.4.1 Chuyên gia an toàn thông tin trong doanh nghiệp

# Giám đốc thông tin (chief information officer - CIO): Một vị trí ở cấp điều hành; giám sát

công nghệ máy tính của doanh nghiệp và có trách nhiệm trong việc tạo ra hiệu quả trong

xử lý và truy cập thông tin của doanh nghiệp; tư vấn hoạch định chiến lược CNTT cho

Giảm đốc điều hành và triển khai chiến lược của doanh nghiệp liên quan đến CNTT

œ Giám đốc an toàn thông tin (chief information security officer - CISO): CISO thường không phải là một vị trí cấp điều hành, bảo cáo cho CIO, chịu trách nhiệm chính trong vấn đề an toàn và bảo mật hệ thống thông tin, về việc đánh giá, quản lý và thực hiện an toàn thông tin

Đội dự án an toàn thông tin (Information Security Project Team): Tập hợp các cá nhân có

kinh nghiệm trong an toàn và bảo mật khi có yêu cầu; bao gồm đại diện lãnh đạo doanh

nghiệp, trưởng nhóm, chuyên gia phát triển chính sách hảo mật, chuyên gia đánh giá rủi

rõ, chuyên gia bảo mật, quản trị viên hệ thống và người dùng hệ thống

s Người chịu trách nhiệm về dữ liệu bao gồm: Người sở hữu dữ liệu, người bảo quản dữ liệu và người sử dụng dữ liệu

1.4.2 Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong doanh nghiệp

® Trong doanh nghiệp, có nhiều nhóm người dùng ảnh hưởng đến an toàn thông tin Mỗi

nhóm có vai trò và trách nhiệm khác nhau cũng như các mối quan tâm khác nhau đối với

an toàn thông tin Mỗi thành viên trong mỗi nhóm được liên kết với nhau thông qua các giá trị tương đồng với nhau và cũng chia sẻ các mục tiêu chúng

s Thông thường trong doanh nghiệp có ba nhóm an toản thông tin: nhóm quản lý chung, nhóm quản lý CONTT và nhóm quản lý an toàn thông tin

x Nhóm quản lý chung: bao gồm toàn bộ người sử dụng hệ thống công nghệ thông tin (theo góc nhìn của nhóm quản lý cũng nghệ thông tin) và cũng là đối tượng bảo mật

then góc nhìn của nhóm quản lý an toàn thông tin

w% Nhóm quản lý công nghệ thông tin: bao gồm các chuyên gia CNTT và các nhà

quản lý CNTT, hỗ trợ cho việc vận hành hệ thống CNTT trong doanh nghiệp

xý Nhóm quản lý an toàn thông tin: bao gồm các chuyên gia an toàn và bảo mật, tập

trung cho mục tiêu đảm bảo an toàn và bảo vệ thông tin, dữ liệu, hệ thống của doanh

nghiệp khỏi các cuộc tấn công

Chương 2 NHU CẦU CỦA TỔ CHỨC ĐỐI VỚI AN TOÀN THÔNG TIN

Textbook: Module 2 - The Need for Security

Mục tiêu

Sau khi hoàn thành chương 2, sinh viên có khả năng:

e Thảo luận về nhu cầu của tổ chức đồi với an toàn thông tin

» Liệt kê và mô tả các nguy cơ đối với an toàn thông tin

s Liệt kê và mô tả một số cuộc tắn công phố biến liên quan đến các nguy cơ

Nội dung

Nội dung chính của chương 2 bao gồm:

Nhu cầu của tỏ chức đối với an toàn thông tin

Các loại nguy cơ & cuộc tắn công đối với an toàn thông tin

2.1 Nhu cầu của tổ chức đối với an toàn thông tin

Bảo vệ chức năng hoạt động của hệ thống

— Ban quản lý chung, ban quản lý CNTT, ban quản lý an toàn thông tin có trách nhiệm triển khai chương trình an toàn thông tin để bảo vệ khả năng các tính năng hoạt động của hệ thống không bị nguy hại

— An toàn thông tin liên quan đến vấn đề quản trị và con người hơn là vấn đề kỹ thuật

— Để hỗ trợ Ban giám đốc trong việc xác định nhu cầu của tổ chức đối với vấn đề an toàn

thông tin, ban quản lý chung, ban quản lý CNTT, và ban quản lý an toàn thông tin thảo luận về mức độ ảnh hưởng của an toàn thông tin đối với tổ chức cũng như chỉ phí gián

đoạn kinh doanh, họ không đơn thuần chỉ xem xét các vấn đề thuần túy kỹ thuật

Bảo vệ dữ liệu và thông tin mủ tổ chức thu thập và sử dụng

— Một trong những tài sản giá trị nhất là dữ liệu Nếu không có dữ liệu, một tổ chức sẽ thất

bại trong việc ghi nhận các nghiệp vụ và/ hoặc mất khả năng tạo ra giá trị cho khách hàng

Do đó, an toàn dữ liệu - bảo vệ dữ liệu trong trạng thái truyền, xử lý và lưu trữ - là khía cạnh quan trọng của an toàn thông tin

— Một chương trình an toàn thông tin hiệu quả là điều cần thiết để bảo vệ tính toàn vẹn và giá trị của dữ liệu

= An toàn CSDL là quá trình duy trì tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu được quản lý bởi hệ thống quản lý CSDL (DBMS]

— An toàn CSDL được thực hiện bằng các kiểm soát quản lý, kỹ thuật và vật lý

“Kiểm soát quản lý bao gồm chính sách, thủ tục và các vấn đề quản trị doanh nghiệp

-Kiềm soát kỹ thuật dựa trên kiến thức về kiểm soát truy cập, xác thực, bảo mật ứng dụng, sao lưu, phục hồi, mã hóa và kiểm soát tính toàn vẹn

"Kiểm soát vật lý gồm sử dụng các trung tâm dữ liệu với cửa có khóa, hệ thống

phòng cháy chữa cháy, giám sát bằng video, và nhân viên bảo vệ

Cho phép vận hành øn toàn các ứng dụng trên hệ thống CNTT của tổ chức

-— Một tổ chức phải tạo ra các ứng dụng tích hợp, hiệu quả và hữu hiệu

— Tổ chức cần tạo ra môi trường bảo vệ các ứng dụng, đặc biệt là các ứng dụng quan trọng

với cơ sở hạ tăng của tố chức như nền tảng hệ điều hành, một số ứng dụng hoạt động nhất định, thư điện tử bằng cách thuê các nhà cung cấp ứng dụng này thực hiện hoặc

tự mình thực hiện

— Khi cơ sở hạ tầng công nghệ đã được thiết lập, ban quản lý phải tiếp tục giám sắt nó, không giao quyền quản lý cho bộ phận CNTT

Bảo vệ tài sản công nghệ của tổ chức

-— Tùy thuộc vào quy mô và phạm vi doanh nghiệp, các tỏ chức phải sử dụng phản cứng cơ sở hạ tầng an toàn phù hợp

— Các tổ chức có thể cần các giải pháp công nghệ mạnh mẽ hơn để thay thế các công nghệ

an toàn đã quá lỗi thời

— CNTT tiếp tục bổ sung khả năng và phương pháp mới chơ phép các tổ chức giải quyết các thách thức quản lý thông tin, tuy nhiên nó cũng mang lại nhiều rủi rõ mới cho thông tin của tổ chức, những lơ ngại tăng thêm về cách những tài sản này có thể bị đe dọa và cách chúng phải được bảo vệ

2.2 Các loại nguy cơ & cuộc tấn công đối với an toàn thông tin

Định nghĩa nguy cơ và tấn công

Để bảo về thông tin, tổ chức cần:

“Hiếu rõ bản thân: nhận biết thông tin cản được bảo vệ và hiểu rõ hệ thống lưu trữ,

vận chuyển và xử lý nó

“Biết các nguy cơ mà tổ chức có thể đối mặt: Để ra quyết định về an toàn thông tin, ban quản lý phải được thông báo về các nguy cơ khác nhau đối với con người, thiết

bị, dữ liệu và hệ thống thông tin của tổ chức

- Nguy cơ thể hiện rủi ra tiềm tàng đối với tải sản thông tin

— Cuộc tấn công thể hiện một hành động liên tục gây tốn thất tài sản

— Các tác nhân nguy cơ gây thiệt hại hoặc đánh cấp thông tin hoặc tài sản vật chất của tổ

chức bằng cách sử dụng các hành vi tận dụng lỗ hỗng bảo mật (yếu kém của hệ thống)

nơi mà các thủ tục kiểm soát không hiện hữu hoặc không còn hiệu quả

—: Nguy cơ luôn hiện hữu trong khi cuộc tấn công chỉ tồn tại khi một hành động cụ thể có

thể gây ra tốn thất

Các loại nguy cơ & cuộc tấn công đối với an toàn thông tin

-— Mỗi tổ chức sẽ ưu tiên đối phó các nguy cơ khác nhau (trong danh mục 12 nguy cơ) tùy

thuộc tình hình an ninh cụ thể, chiến lược của tố chức phụ thuộc vào rủi rõ và mức độ

yếu kém đối với tài sản thông tin của tổ chức

Tấn công có thể liên quan đến nhiều nguy cơ Ví dụ: hành vi trộm cấp do tin tặc thực hiện thuộc nguy cơ “trộm”, nhưng cũng có thể thuộc nguy cơ “gián điệp hoặc kẻ xâm nhập trải

phép” khi tin tặc truy cập bất hợp pháp vào thông tin

12 loại nguy cơ đối với an toàn thông tin và ví dụ các cuộc tổn công tương ứng

1 | Xâm phạm tài sản trí tuệ Ăn cấp bản quyền, vi phạm bản quyền

2 | Sai lệch về chất lượng dịch vụ | Các vấn đề liên quan nhà cung cấp dịch vụ Internet (ISP),

bởi người cung cấp dịch vụ năng lượng và dịch vụ mạng WAN

3 | Gián điệp hoặc kẻ xâm nhập trái | Truy cập trái phép hoặc/ và thu thập dữ liệu trái

4 Những tác động từ thiên nhiên Cháy nổ, lũ lụt, động đất, sấm sét

5 | Lỗi con người / sai sót Tai nạn, lỗi nhân viên

8 Tấn công có chủ đích bằng phần | Viruses, worms, macros, từ chối dịch vụ

mềm

9 | Lỗi phằn cứng Lỗi thiết bị

10 | Lỗi phằn mềm Bugs, các vấn đề về mã, lỗ hổng bảo mật chưa được xác

định

12 | Trộm Chiếm đoạt bất hợp pháp thiết bị hoặc thông tin

Nguy cơ xâm phạm tài sản trí tuệ

— Tài sản trí tuệ là việc tạo ra, sở hữu, kiểm soát các ý tưởng ban đầu và trình bày các ý

— Tải sản trí tuệ được bảo vệ bởi luật bản quyền và các luật khác, mang lại kỹ vọng ghi nhận

quyền tác giả hoặc ghi nhận nguồn thích hợp, có khả năng phải xin phép để được sử dụng theo quy định của pháp luật Vd: phải thanh toán tiền bản quyền trước khi sử dụng bài hát đó trong phim

— Việc sử dụng trái phép tài sản trí tuệ dẫn đến nguy cơ an toàn thông tin

— Tài sản trí tuệ là việc tạo ra, sở hữu, kiểm soát các ý tưởng ban đầu và trình bảy các ý tưởng đó

-— Một số vấn đề liên quan nguy cơ xắm phạm tải sản trí tuệ

„ Ăn cắp bản quyền phần mềm (software piracy): hành vi sao chép, cải đặt hoặc

phân phối trái phép phần mềm máy tính có bản quyền là vi phạm tài sản trí tuệ

„ Hầu hết phần mềm được cấp phép cho một người mua cụ thế, việc sử dụng nó bị hạn chế cho một người dùng duy nhất hoặc cho một người dùng được chỉ định trong tổ chức Nếu người dùng sao chép chương trình sang máy tính khác mà

không có giấy phép khác hoặc chuyển giấy phép thì người dùng đã vi phạm bản quyền

- Bảo vệ bản quyền: Một số cơ chế kỹ thuật có thể được áp dụng để thực thi luật

ø Đăng ký người dùng trực tuyến: người dùng khi cài đặt phần mềm thường được yêu cầu hoặc thậm chí phải đăng ký tải khoản sử dụng phần mềm của

họ để hoàn thành cải đặt, nhận hỗ trợ kỹ thuật hoặc sử dụng tất cả các tính

năng Mặt trái của kỹ thuật này là người dùng lo sợ quy trình này làm tốn hại quyền riêng tư của họ

„ Tổn thất tài sản trí tuệ có thể do khai thác hiệu quả các lỗ hổng/ điểm vếu của hệ thống liên quan

Sai lệch về chất lượng dịch vụ

-— Sai lệch về chất lượng dịch vụ là nguy cơ xảy ra khi sản phẩm hoặc dịch vụ không được

cung cấp như mong đợi

- Hệ thống thông tin của một tổ chức phụ thuộc vào sự vận hành thành công của nhiều hệ thống hỗ trợ phụ thuộc lẫn nhau, gồm lưới điện, mạng dữ liệu và viễn thông, phụ tùng,

nhà cung cấp dịch vụ, thầm chí cả nhân viên vệ sinh Bất kỳ hệ thống hỗ trợ nào trong số

này đều có thể bị gián đoạn do những phát sinh không lường trước

— Ba nhóm vấn đề dịch vụ ảnh hưởng nghiêm trọng đến tính khả dụng của thông tin và hệ thống:

“Các vấn đề liên quan dịch vụ Internet

“Các vấn đề liên quan đến các nhà cung cấp dịch vụ tiện ích khác (điện thoại, nước, nước thải, đổ rác, truyền hình cáp, các dịch vụ trông coi )

“Các vấn đề liên quan bất thưởng nguồn cung cấp điện

Gián điệp hoặc kẻ xâm nhập trái phép

-— Giản điệp hoặc kẻ xâm nhập trái phép là người không được phép cố truy cập trải phép vào thông tin mà một tổ chức đang cổ bảo vệ Nguy cơ này có thể vi phạm tính bảo mật của thông tin

-— Một số nhóm lớn các hoạt động vi phạm tính bảo mật:

“Truy cập thông tin trái phép

“Cạnh tranh thông tin (vd: sử dụng trình duyệt Web để thực hiện nghiên cứu thị

trường)

sGián điệp công nghiệp (khi người thu thập thông tin sử dụng các kỹ thuật vượt qua

ngưỡng luật pháp hoặc đạo đức)

"Shoulder surfing (xảy ra ở bất kỳ đầu khi ai đó đang truy cập thông tin nhạy cảm, thường xảy ra tại các thiết bị đầu cuối máy tính, bản làm việc, máy ATM, trên xe

bus, máy bay, tàu điện ngầm - nơi mọi người sử dụng điện thoại thông minh, hoặc

những nơi nhắn viên có thể truy cập thông tin bí mật}

— Các thủ tục kiểm soát đôi khi đánh dấu ranh giới lãnh thổ ảo của tổ chức Những ranh giới

này đưa ra thông báo cho kẻ xâm nhập trái phép rằng chúng đang xâm phạm vào không

gian mạng của tổ chức Các nguyên tắc xác thực và ủy quyền mạnh mẽ có thể giúp các tổ chức bảo vệ thông tin và hệ thống có giả trị Các phương pháp kiểm soát và công nghệ này sử dụng nhiều lớp hoặc nhiều yếu tổ để bảo vệ nhằm chống lại sự truy cập và xâm

nhập trái phép

-— Tin tặc (hacker): có hai cấp độ kỹ năng

- Tin tặc chuyên nghiệp

ø Phát triển các tập lệnh phản mềm và khai thác mã

s Thường là bậc thầy về nhiều kỹ năng

ø Thường tạo ra các phằn mềm tấn công và chia sẻ chúng với những người khác

"5cript kiddies

s Tin tặc có kỹ năng hạn chế

G Sử dụng phân mềm do chuyên gia viết để khai thác hệ thống

s Thường không hiểu đầy đủ về hệ thống họ tấn công

- Tăng cấp đặc quyền: một khi kẻ tấn công giành được quyền truy cập vào hệ thống, bước

tiếp theo là tăng các đặc quyền của họ để cố giành quyền quản trị hệ thống Đặc quyền

này cho phép kẻ tấn công truy cập thông tin, sửa đối hệ thống để xem tất cả thông tin trong đó và ẩn các hoạt động của chúng bằng cách sửa đổi nhật ký hệ thống Sự tăng cấp đặc quyền là một kỹ năng tự thân hoặc sử dụng các công cụ phần mềm

-— Những biến thẻ của Hacker:

“Cracker: là cá nhân bẻ khóa hoặc loại bỏ lớp bảo vệ được thiết kế để ngăn chặn việc sao chép hoặc sử dụng trái phép

“Phreaker: là cá nhân tấn công hệ thống điện thoại công cộng để thực hiện các cuộc gọi miễn phí hoặc làm gián đoạn dịch vụ

-— Tấn công mật khẩu:

sBẻ khóa: cố gắng đoán hoặc tính toán ngược lại mật khẩu

“Brute farce: là việc áp dụng tính toán và tài nguyên mạng để thử mọi kết hợp mật khẩu có thể có Biện pháp kiểm soát giới hạn số lần truy cập không thành công trong một thời gian nhất định và sử dụng mật khẩu mạnh rất hiệu quả để chống lại loại tấn công mật khẩu brute force

“Tấn công từ điển: là một biến thể của brute force thu hẹp phạm vi bằng cách sử dụng

từ điển các mật khẩu phổ biến bao gồm thông tin liên quan đến người dùng mục tiêu Biện pháp kiểm soát: (1) tổ chức không cho phép cá nhân đặt mật khẩu liên quan thông tin cá nhân hoặc có thể có trong từ điển mật khẩu, (2) sử dụng quy tắc yêu cầu số và ký tự đặc biệt trong mật khẩu

“Bảng cầu võng: Nếu kẻ tấn công có thể truy cập vào tệp mật khẩu được mã hóa, dù

chỉ bao gồm các giá trị hash, các giá trị này có thể tra cứu và định vị nhanh chóng

dựa trên Bảng cầu võng

"Social Engineering: kẻ tấn công đóng giả là chuyên gia CNTT của một tổ chức cố gắng truy cập vào hệ thống thông tin bằng cách liên hệ với nhân viên cấp thấp và đề nghị trợ giúp về các sự cố máy tính của họ Bằng cách đóng giả bộ phận trợ giúp,

kẻ tấn công yêu cầu nhân viên cung cấp tên người dùng và mật khẩu truy cập của

họ

Những tác động từ thiên nhiên

Những tác động từ thiên nhiên hoặc những sự kiện bất khả kháng đều có thể gây ra một

số nguy cơ nguy hiểm nhất vì chúng bất ngờ và ít có dấu hiệu cảnh báo trước,

Bao gồm: hỏa hoạn, lũ lụt, động đất, lở đất, gió bão, bão cắt, sét, núi lửa phun trào, sự

xâm nhập của cồn trùng có thể làm gián đoạn không chỉ cuộc sống của các cả nhân, mà còn cả việc lưu trữ, truyền tải và sử dụng thông tin

Vì không thể chủ động tránh được loại nguy cơ này, ban giám đốc cần phải triển khai các

kiểm soát để hạn chế thiệt hại, chuẩn bị các kế hoạch dự phòng để tiếp tục hoạt động, chẳng hạn kế hoạch khắc phục hậu quả thiên tai, kế hoạch liên tục kinh doanh, kế hoạch

ứng phó sự cố

Lỗi con người/ sai sót

Bao gồm các hành vi được thực hiện không có chủ đích hoặc mục đích xấu Vdu: sai lãm khi sử dụng hệ thống hoặc lỗi phát sinh khi người dùng không tuần theo chính sách đã

được thiết lập

Nguyên nhân có thể do

- Thiếu kinh nghiệm

"Đào tạo không đúng cách

“Các giả định không chính xác

Sai lằm dù võ hại vẫn có thể gây ra thiệt hại lớn

Sai lãm của nhân viên là nguy cơ nghiêm trọng đe dọa tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu

Những sai [3m của nhân viên có thế dễ dàng dẫn đến:

„Tiết lộ dữ liệu đã được xử lý

“Nhập dữ liệu không chính xác

„Võ tình xóa hoặc sửa dữ liệu

"Bảo quản dữ liệu ở những khu vực không an toàn

sai sót hoặc lỗi của con người thường có thể được ngăn chặn bằng đào tạo, các hoạt động

nẵng cao nhận thức liên tục và các biện pháp kiểm soát từ đơn giản đến phức tạp

Cưỡng đoạt thông tin

Tống tiền thông tin là kẻ tấn công hoặc người thần tín đánh cấp thông tin từ hệ thống

máy tính và yêu cầu bồi thường cho việc có lại thông tin và sử dụng nó Một số ví dụ:

sKẻ xấu đánh cắp số thẻ tín dụng

"Tin tặc đánh cấp dữ liệu/ thông tin tổ chức (hộp mail, dữ liệu về tài khoản và mật

khẩu của người dùng) để đời tiền chuộc sRansomware: kẻ tấn công cài phần mềm độc hại vào hệ thống máy chủ nhằm từ chối

quyền truy cập của người dùng, sau đó đề nghị cung cấp khóa để cho phép truy

cập lại hệ thống và dữ liệu của người dùng với một khoản phí

Phá hoại

— Cá nhân hoặc nhóm người cố ý phá hoại hệ thống máy tính hoặc hoạt động doanh nghiệp,

hoặc thực hiện các hành vi phá hoại để phá hủy tài sản hoặc làm hỏng hình ảnh của tổ chức

— Loại nguy cơ này có thế bao gồm từ phả hoại nhỏ, riêng lẻ của nhân viên đến phá hoại có

tổ chức chống lại một tổ chức khác

— Với các tổ chức hoạt động phụ thuộc nhiều vào hình ảnh, loại phá hoại nhắm đến hình ảnh doanh nghiệp có thể làm thông tin mà doanh nghiệp phổ biến trên các phương tiện

truyền thông xã hội (Web, facebook, ) bị mất độ tin cậy l niềm tin của khách hàng

giảm => doanh số bán hàng giảm

-— Một số hình thức phá hoại:

“Hành động (phá hoại) trực tuyến: nguy cơ hacktivist và cyber-activist ngày càng gia tăng

“Khủng bố mạng và chiến tranh mạng: Khủng bố mạng thường không phải là một nguy

cơ thực sự, thay vào đó, nó chỉ dùng để đánh lạc hướng khỏi các vấn đề an ninh

thông tin cấp bách và phức tạp hơn cần được quan tầm

Tần công có chủ đích bằng phân mềm

- Xây ra khi một cá nhân hoặc một nhóm người thiết kế hoặc sử dụng phần mềm để tấn

công hệ thống Cuộc tấn công này có thể bao gồm phần mềm được chế tạo đặc biệt mà

những kẻ tấn công lừa người dùng cài đặt trên hệ thống của họ Phần mềm này có thể được sử dụng để lấn át khả năng xử lý của các hệ thống trực tuyến hoặc truy cập vào các

hệ thống được bảo vệ bằng các phương tiện ẩn

— Thuật ngữ được sử dụng để mô tả phần mềm độc hại thường không loại trừ lẫn nhau Vd:

phần mềm độc hại Trojan horse có thể xuất hiện dưới dạng virus, sầu hoặc cả hai

— Các dạng tấn công sử dụng mã độc gồm: viruses, sầu, Trojan horses và các tập lệnh Web

được kích hoạt với mục đích phá hủy hoặc đánh cắp thông tin

— Cuộc tấn công mã hiện đại nhất hiện nay là sâu đa hình (polymorphic worm) hay còn gọi

sâu đa phương thức (multivector worm) vì nó sử dụng 6 phương thức tấn công để khai thác nhiều lỗ hổng trong các thiết bị hệ thống thông tin phổ biến

- Zero-day attack: khi cuộc tắn công sử dụng các malware mà các công ty phần

mềm chống malware chưa biết về malware

— 6 phương thức tắn công của virus và sâu:

„ Quét và tấn công IP: hệ thống tích hợp việc quét một loạt các địa chỉ IP ngẫu nhiên hoặc cục bộ và nhắm vào bất kỳ yếu kém hệ thống đã được biết bởi các tin tặc hoặc còn sót lại từ các lần khai thác trước đó

„Trình duyệt Web: nếu hệ thống bị nhiễm có quyền ghi vào bất kỳ trang web nào,

nó sẽ làm cho tất cả các tập nội dung Web bị lẫy nhiễm, do đó người dùng duyệt

các trang Web này sẽ bị nhiễm

+ Virus: mỗi máy tính bị nhiễm sẽ lây nhiễm một số tập lệnh thực thị phổ

biến trên tắt cả các máy tính mà nó có thể viết bằng mã virus có thể gây

nhiễm

„ổ Những chia sẻ không được bảo vệ: sử dụng việc chia sẻ tập tin để sao chép các thành phần lan truyền đến tất các các vị trí có thế truy cập

„ Mass mail: bằng cách gửi email bị nhiễm đến các địa chỉ có trong trong sổ địa chỉ,

máy bị nhiễm sẽ làm các máy khác bị nhiễm, những máy mà có chương trình đọc

mail tự động hoạt động và tiếp tục lại nhiễm cho nhiều hệ thống hơn

„ Giao thức quản lý mạng đơn giản (SNMP): các lỗ hổng SNMP được sử dụng để

xâm nhập và lây nhiểm

— Các dạng tấn công sử dụng phần mềm độc hại khác gồm: bots, spyware, adware

„ Bots: là công nghệ thường được dùng để triển khai Trojan horse, logic bombs, back doors và phần mềm gián điệp spyware

„Phần mềm gián điệp spyware được đặt trên máy tính để thu thập thông tin về người dùng và báo cáo nó

ø Web bug: một đồ họa nhỏ được tham chiếu trong HTML của trang web

hoặc email để thu thập thông tin về người dùng đang xem nội dung

ø Cookie theo dõi: được đặt trên máy tính của người dùng để theo dõi hoạt động của họ trên các trang Web khác nhau và tạo hỗ sơ chỉ tiết vẽ hành vi

của họ, sau đó những thông tin này có thể được sử dụng trong một cuộc

tấn công social engineering hoặc đánh cấp danh tính

„ Adware: phãn mềm độc hại với mục đích cung cấp tiếp thị và quảng cáo không mong muốn (bao gồm cửa số bật lên và biểu ngữ trên màn hình của người dùng], được thiết kế để hoạt động ngoài tãm nhìn của người dùng hoặc được kích hoạt bởi hành động dường như võ hại của người dùng

Virus

Virus máy tính gồm các đoạn mã thực hiện các hành vi độc hại

Người dùng thường vô tình giúp virus xâm nhập vào hệ thống bằng cách mở email bị nhiễm hoặc một số hành động có vẻ tầm thường khác nhưng có thể khiến mọi thứ từ các

thông báo ngẫu nhiên xuất hiện trên màn hình của người dùng đến việc phá hủy toàn bộ

ổ cứng

Mã này hoạt động giống như mầm bệnh virus lầy lan từ máy tính này sang máy tính khác qua phương tiện vật lý, email hoặc các hình thức truyền dữ liệu máy tính

Khi những virus này lầy nhiễm vào một máy, lập tức quét máy đó để tìm các ứng dụng

email hoặc thậm chí tự gửi thư đến mọi người có trong số địa chỉ email được tìm thấy

Một trong những phương thức lây truyền virus phổ biến nhất là qua email được đính kèm

các tập tin

Virus có thể phần loại theo cách chúng tự lây lan: virus macro, virus khởi động

s Virus macro được nhúng vào mã macro thực thi tự động, được sử dụng bởi bộ

xử lý văn bản, bảng tính và ứng dụng CSDL

„ Virus khởi động lây nhiễm các tệp hệ điều hành chính trong phần boot của máy

tính Virus có thế phần loại theo virus thường trú trong bộ nhớ và không thường trú trong bộ

nhớ tùy thuộc vào việc chúng có tồn tại trong bộ nhớ của hệ thống máy tính sau khi chúng

được thực thi hay không

„ Virus thường trú có khả năng kích hoạt lại khi máy tính được khởi động và tiếp tục hành động của chúng cho đến khi hệ thống tắt, và chỉ khởi động lại vào lần khởi động tiếp theo của hệ thống

Virus và worms có thể sử dụng 8 phương thức tần công để phát tán các bản sao của

chúng tới các máy tính ngang hàng đang hoạt động trên mạng

email được tìm thấy trên hệ thống bị nhiễm Hơn nữa, sâu có thể gửi các bản sao của

chính nó lên tất cả máy chủ Web mà hệ thống bị nhiễm có thể tiếp cận; những người dùng

sau truy cập vào các trang web đó sẽ bị nhiễm

Sầu cũng lợi dụng các chia sẻ mở được tìm thấy trên mạng có hệ thống bị nhiễm Sâu đặt

các bản sao mã đang hoạt động của chúng lên máy chủ để người dùng chia sẻ mở có khả năng bị nhiễm bệnh

Trojan horses

-— Trojan horses thường được ngụy trang dưới dạng phần mềm hữu ích hoặc cần thiết, chẳng hạn như tệp readme.exe thường được bao gồm trong các gói phần mềm chia sẻ

hoặc phần mềm miễn phí

Nguy cơ đa hình

— Thách thức khi chống lại virus và sâu là các nguy cơ đa hình, nghĩa là nguy cơ virus và sầu

phát triển, thay đổi kích thước của nó và các đặc điểm bên ngoài của tập tin để tránh bị

phát hiện bởi các chương trình phần mềm chống virus

Trò lừa bịp (hoaxes) virus và sầu

-— Một trò lừa bịp virus: một cách tiếp cận tinh quái hơn, tốn nhiều thời gian và tiền bạc hơn

để giải quyết là việc tấn công hệ thống máy tính bằng cách truyền Vd: người dùng có ý

tốt nhưng lại có thể làm gián đoạn hoạt động và quy trình của một tổ chức khi gửi email

cảnh báo về một loại virus nguy hiểm KHÔNG tồn tại

— Những trò lừa bịp này làm lãng phí thời gian của người dùng và khiến mạng quá

tải

b Back doors

-— Back doors: có thể là một lối đi không chủ đích hoặc có chủ đích (do nhà thiết kế cổ tình

để lại để tạo điều kiện thực hiện kiểm soát truy cập)

— Sử dụng cơ chế truy cập đã biết hoặc mới được phát hiện, kẻ tấn công có thể giành quyền truy cập vào hệ thống hoặc tài nguyên mạng thông qua back doors (cửa hậu)

-— Đôi khi những cánh cửa này do các nhà thiết kế hệ thống hoặc nhắn viên bảo trì để lại; một cánh cửa như vậy được xem là một maintenance door

-— Thông thường kẻ tẩn công đặt một cánh cửa sau vào hệ thống hoặc mạng mà chúng đã

thâm nhập để việc quay lại hệ thống của chúng sau này sẽ dễ dàng hơn

- Rất khó phát hiện back doors vì người/ chương trình cài đặt nó thường làm cho quyền

truy cập được miễn trừ khỏi các tính năng ghi nhật ký kiểm tra thông thường của hệ thống

và cố gắng giữ kín cửa sau với chủ sở hữu hợp pháp của hệ thống

c Tấn công từ chối dịch vụ (Do5] và tấn công từ chối dịch vụ đã được phân tán (DDaS)

— Tấn công từ chối dịch vụ: cuộc tấn công cố gắng áp đảo khả năng xử lý thông tin liên lạc được đưa đến máy tính mục tiêu, nhằm cấm người dùng hợp pháp truy cập vào các hệ thống đó

„Kẻ tấn công gửi một số lượng lớn các yêu cầu kết nối hoặc yêu cầu thông tin đến một

mục tiêu

“Rất nhiều yêu cầu được đưa ra khiến hệ thống mục tiều không thể xử lý chúng thành

công cùng với các yêu cầu dịch vụ hợp pháp khác

“Có thể dẫn đến sự cố hệ thống hoặc đơn thuần là không thể thực hiện các chức năng thông thường

Tấn công từ chối dịch vụ được phân tán: là một dạng tấn công từ chối dịch vụ, trong đó

một luồng yêu cầu phối hợp được đưa ra nhắm vào một mục tiêu từ nhiều địa điểm trong cùng một thời điểm bằng cách sử dụng Bot hoặc Zombies

sHầu hết các cuộc tấn công DDoS đều diễn ra trước giai đoạn chuẩn bị trong đó hàng nghìn hệ thống hị xâm nhập Các máy bị xâm nhập bị biến thành Bạt hoặcZombies, những máy này được kẻ tấn công chỉ đạo từ xa để tham gia vào tấn công

“Cuộc tấn công DDøS khó chống lại hơn và hiện không có biện pháp kiểm soát khả thi Tuy nhiên có thể kích hoạt khả năng phòng thủ Ddos giữa các nhóm nhà cung cấp

dịch vụ

d Tấn công bằng Emails

Thư rắc (spam) là email thương mại không mong muốn Nhiều người xem thư rác là một

mối phiền toái hơn là một cuộc tấn công, tuy nhiên nó có thể là vật trung gian cho một số

cuộc tấn công Hậu quả quan trọng nhất là lãng phí máy tính và nguồn nhân lực Để đối phó thư rắc, các tổ chức có thể (1) sử dụng công nghệ lọc email, (2) yêu cầu người dùng xóa các thư không mong muốn

Bom thư (mail bombing) là một hình thức tấn công thư điện tử khác cũng là một DnoS,

trong đó kẻ tấn công gửi một lượng lớn thư điện tử đến mục tiêu Mặc dù cuộc tấn công

lừa đảo xảy ra qua email, nhưng chúng thường được kết hợp với một social engineering

được thiết kế để lừa người dùng thực hiện một hành động, thay vì chỉ đơn giản biến người

dùng trở thành mục tiêu của cuộc tấn công qua email Dos

“Packet sniffer: Là một chương trình hoặc thiết bị có thể giám sắt dữ liệu truyền tải

qua mạng Nó có thể được sử dụng cho cả chức năng quản lý mạng hợp pháp và cho việc lấy cấp thông tin từ một mạng lưới

“Spoofing: Giả mạo địa chỉ IP là một kỹ thuật được sử dụng để truy cập trái phép vào máy tính, trong đó kẻ xâm nhập sẽ gửi tin nhắn đến máy tính có địa chỉ IP cho

biết rằng tin nhắn đến từ một máy chủ đáng tin cậy

s Sự khác biệt giữa Pharming và các social engineering attack - tấn công kỹ

thuật xã hội (được gọi là lửa đảo) là: lửa đảo là cuộc tấn công yêu cầu người dùng chủ động nhấp vào liên kết hoặc nút để chuyển hướng đến trang Web bất hợp pháp, trong khi Pharming sửa đổi lưu lượng truy cập của người dùng

mà người dùng không biết hoặc không tham gia tích cực

“Man-in-the-middle

s Man-in-the-middle: một nhóm các tấn công trong đó một người chặn luồng

liên lạc và tự chèn hình vào cuộc trò chuyện để thuyết phục mỗi bên rằng anh ta là đối tắc hợp pháp

ø Kẻ tấn công nhận dạng các packets từ mạng, sửa đối chúng và chèn chúng trở lại mạng

SG Trong một cuộc tấn công chiếm quyền điều phiên TCP (TCP hijacking attack),

kẻ tấn công sử dụng địa chỉ giả để mạo danh các thực thể hợp pháp khác

trên mạng

Lỗi phân cứng

Nguy cơ này xảy ra khi nhà sản xuất phân phối cho người dùng thiết bị có chứa một lỗi đã biết hoặc chưa biết

— Những khiếm khuyết này có thể khiến hệ thống hoạt động ngoài các thông số mong đợi,

dẫn đến dịch vụ không đáng tin cậy hoặc không khả dụng

- Một số lỗi là lỗi thiết bị đầu cuối dẫn đến việc mất thiết bị không thể khôi phục được

-— Một số lỗi không liên tục do chúng chỉ tự biểu hiện định kỳ, dẫn đến các lỗi không dễ lặp

lại, gây khó cho việc phát hiện và khắc phục Do đó, thiết bị có thể ngừng hoạt động hoặc hoạt động theo cách không mong muốn

Lỗi phân mềm

Nguy cơ này xảy ra khi mua phần mềm có lỗi ẩn, chưa được biết

— Một lượng lớn mã được viết, gỡ lỗi, xuất bản và bán trước khi tất cả các lỗi đều được giải quyết

— sự kết hợp độc đáo của một số phần mềm và phần cứng sẽ phát hiện ra các lỗi mới

— Đôi khi, những mục này không phải là lỗi mà là những việc làm có chủ đích do người lập

trình cố tình vì lý da lành tính

— Lỗi phần mềm phổ biến đến mức toàn bộ các trang Web đều có mục dành riêng để ghi lại chúng Phổ biến nhất là Bugtraq của trang web wwrw securityfocus.com, cung cấp thông tin cập nhật từng phút về các lỗ hổng bảo mật mới nhất cũng như một kho lưu trữ kỹ

lưỡng về các lỗi trong quá khứ

— Một số lỗi và lỗi phát triển phần mềm dẫn đến phần mềm khó hoặc không thể triển khai

theo cách an toàn

Công nghệ lạc hậu

Khi cơ sở hạ tầng trở nên lạc hậu dẫn đến các hệ thống không đáng tin cậy

Ban quản lý cần nhận ra rằng khi công nghệ trở nên lạc hâu, rủi ro mất tính toàn vẹn của

dữ liệu từ các cuộc tấn công sẽ luôn hiện hữu, do đó, ban quản lý cần lập kế hoạch phù

hợp để ngăn ngừa rủi ro đến từ sự lỗi thời về công nghệ

Các chuyên gia CNTT đóng vai trò lớn trong việc xác định khi nào hệ thống/ công nghệ lỗi

thời Việc thay thế hệ thống mới sẽ tốn ít chỉ phí hơn ở các tổ chức mà nhân viên CNTT kịp thời báo thời điểm hệ thống/ công nghệ sắp sửa lỗi thời cho ban quản lý hơn là báo khi hệ thống/ công nghệ ở trạng thái đã lỗi thời

Nguy cơ trộm cấp là thường xuyên Trộm cấp là việc chiếm đoạt bất hợp pháp tài sản của người khác (tài sản hữu hình, điện tử hoặc trí tuệ)

Giá trị thông tin giảm đi khi thông tin bị sao chép mà chủ sở hữu không biết

Hành vi trộm cấp vật lý (các tài sản hữu hình) dễ bị phát hiện và có thể được kiểm soát dễ dàng bằng nhiều cách: cửa khóa, nhân viên an ninh, hệ thống báo động Tuy nhiên trộm

cắp điện tử là một vấn đề phức tạp hơn để quản lý và kiểm soát, do khi thông tin điện tử

bị đánh cấp, tội phạm không phải lúc nào cũng rõ ràng Nếu tên trộm khôn khéo và che

đậy dấu vết cấn thận, tôi ác có thể không bị phát hiện cho đến khi quá muộn

Trộm cắp là loại nguy cơ thường trùng lặp với nguy cơ các cuộc tấn công phần mềm, gián

điệp & xâm nhập, tổng tiền thông tin và xâm phạm quyền sở hữu trí tuệ Tin tặc hoặc các

tác nhân nguy cơ (threat agent) khác có thể truy cập vào hệ thống và thực hiện hầu hết các hành vi vi phạm này bằng cách tải xuống thông tin của doanh nghiệp và sau đó đe dọa công khai chúng nếu không nhận được tiền

Việc sử dụng ngày cảng nhiều công nghệ di động làm tăng nguy cơ bị đánh cấp dữ liệu Tuy nhiên, đáng lø hơn việc mất dữ liệu là khả năng người dùng cho phép thiết bị di động giữ lại thông tin đăng nhập tài khoản, cho phép kẻ trộm sử dụng quyền truy cập hợp pháp

để vào tài khoản doanh nghiệp hoặc tài khoản cá nhân của nạn nhã

Chương 3

QUẢN LÝ AN TOÀN THÔNG TIN

Textbook: Module 3 — Information Security Management

Mục tiêu chương

Sau khi hoàn thành chương 3, sinh viên có khả năng:

Mô tả các chức năng quản lý khác nhau liên quan đến an toàn thông tin

Định nghĩa quản trị an toàn thông tin và liệt kê các kỳ vọng của quản lý cắp cao

của tổ chức đối với nó

s Mô tả vai trò của ban quản lý trong việc phát triển, duy trì và thực thi chính sách, tiêu chuẩn, thực tiễn triển khai, thủ tục và hướng dẫn an toàn thông tin

e Liệt kê các yếu tố của chương trình giáo dục, huần luyện và nhận thức về an

toàn; mô tả phương pháp triển khai hiệu quả chính sách an toàn trong tổ chức

a Giải thích bảng kế hoạch chỉ tiết về an toàn thông tin, xác định các thành phản

chính, và giải thích cách nó hỗ trợ cho chương trình an toàn thông tin

Nội dung

Nội dung chính của chương 3 bao gồm:

Lập kế hoạch và quản trị an toàn thông tin

Chính sách, tiêu chuẩn và thực tiễn triển khai an toàn thông tin

s Bảng kế hoạch chỉ tiết về an toàn thông tin

a Chương trình giáo dục, huần luyện và nhận thức về an toàn

3.1 Lập kế hoạch và quản trị an toàn thông tin

Điểm nhãn của phần này là sự hiểu biết về lập kế hoạch và quản trị

an toàn thông tin

Nội dung chính của phần này bao gồm: cổng tác lãnh đạp an toàn thông tin; Kết quả quản trị an toàn thông tin; Các cấp đệ kể hoạch;

Lập kế hoạch và giám đốc an toàn thông tin

3.1.1 Công tác lãnh đạo an toàn thông tin (Information Security Leadership)

Công tắc lãnh đạo của chức năng an toàn thông tin mang lại kế hoạch chiến lược (strategic planning)] và trách nhiệm của tổ chức được thực hiện tốt nhất thông qua cách tiếp cận GRC: quản trị (GSovernance), quản lý rủi rõ (Risk management) và tuần thủ (Compliance) Kế hoạch chiến

lược này thiết lập phương hướng dài hạn được thực hiện bởi tổ chức, từ đó từng bộ phận của tổ chức được hướng dẫn tập trung nguồn lực hướng đến các mục tiêu cụ thể, được xác định rõ ràng

(goals) Lưu ý các mục tiêu của an toàn thông tin phải được giải quyết ở cấp cao nhất trong đội

ngũ quản lý của tổ chức để đạt hiệu quả và có cách tiếp cận bền vững

Trong các tổ chức có hội đồng quản trị chính thức, các hội đồng nên là cơ sở để xem xét và giám sát quản trị Quản trị an toàn thông tin là việc áp dụng các nguyên tắc và thông lệ quản trị doanh

nghiệp vào chức năng an toàn thông tin, nhấn mạnh trách nhiệm của ban giám đốc và/hoặc quản

lý cấp cao đối với việc giám sắt an toàn thông tin trong tổ chức Ví dụ I5SO 27014:2013 là hộ tiêu chuẩn ISO 27000 về quản trị an toàn thông tin, cung cấp gợi ý đánh giá về chương trình quản trị

an toàn thông tin, gồm sáu nguyên tắc quản trị an toàn thông tin "định hướng hành động" cấp

cao:

- Thiết lập an toàn thông tin toàn tổ chức

- Áp dụng cách tiếp cận dựa trên rủi ro

- Định hướng các quyết định đầu tư

- Đảm bảo sự phù hợp với các yêu cầu bên trong và bên ngoài

- Thúc đẩy một mỗi trường an toàn tích cực

- Xem xét hiệu suất liên quan đến kết quả kinh doanh

Bộ tiêu chuẩn I5O 27014:2013 này thúc đẩy hình thành 5 quá trình quản trị như sau:

m3

Chức năng quản trị an toàn thông tin: Quản trị bao gồm toàn hộ chức năng kiểm soát hoặc quản

lý các quá trình được sử dụng bởi một nhóm người để hoàn thành một số mục tiêu, thể hiện

chức năng kiểm soát chiến lược của ban lãnh đạo cấp cao, được thiết kế để đảm bảo đưa ra các quyết định chiến lược thận trọng và có hiểu biết vì lợi ích tốt nhất của tổ chức Các yếu tố hỗ trợ quản trị doanh nghiệp bao gồm các văn bản hướng dẫn - điều lệ công ty; các quy trình lập kế

hoạch, điều hành và bổ nhiệm nhân sự; các thủ tục, quy trình, ủy ban và thực hành kiểm soát

Dựa vào các yếu tố hỗ trợ này, các chức năng quản trị an toàn thông tin của các cá nhân khác nhau trong tổ chức đối với việc quản trị an toàn thông tin được trình bày trong sơ đồ sau:

ly EanferErice, ID

- IDversec gvprall corpGraie securliv

# Eriel board, cusipmmers, pubdic

* Smisecurity policy, DEOCexlires,

Program, tralndrig †ar cornparig

- Respcrvl top sec.m ty breaches lon ke ml e, Min EU Chie[ Security Ollirer

ChinF Inlarmation OfieEt

Chief Risk Dllicer

- Micd-l mrel kiarioor

- Comirmuricate nolicies, program

(trairimg)

SOOrCce: TEUs irif3œrrtrller ís cher#werl from: the Emrgcwcte Gowerririce Teưsk Porce #egOrt, "irzfiorrrtetticl

Serurity ŒteerelOre.e: A Ca b0 Artinri " Appril 2OXL4 Nettoreal Cylier Security Tưsk Force

Nguyên tắc quản trị an toàn thông tin: ban lãnh đạo của nhóm an toàn thông tin giám sát và quản lý tất cả các cơ cấu tổ chức và quy trình nhằm đảm bảo cho chức năng an toàn thông tin

Thea Viện Quản trị Cũng nghệ Thông tin (ITGI), quản trị an toàn thông tin bao gồm tất cả các trách nhiệm giải trình và các phương pháp do hội đồng quản trị và ban quản lý điều hành đảm nhận để cung cấp:

- Định hướng chiến lược

- Thiết lập các mục tiêu

- Đo lường sự tiến bộ đối với các mục tiêu đó

- Xác minh rằng các thực hành quản lý rủi ro là phù hợp

- Xác nhận rằng tài sản của tổ chức được sử dụng đúng cách

3.1.2 Mục tiêu quản trị an toàn thông tin

5 mục tiêu của quản trị an toàn thông tin:

- Liên kết chiến lược của an toàn thông tin với chiến lược kinh doanh để hỗ trợ các mục

- Đo lường thành quả bằng cách đo lường, giám sát và báo cáo các chỉ số quản trị an toàn

thông tin để đảm bảo đạt được các mục tiêu của tổ chức

- Cung cấp giá trị bằng cách tối ưu hóa các khoản đầu tư an toàn thông tin để hỗ trợ các

mục tiêu của tổ chức

3.1.3 Các cấp độ kế hoạch

Nhóm điều hành (CEO, COO, CFO, CIO, .) triển khai kế hoạch chiến lược (strategic plans) cho mỗi

cấp của mỗi bộ phận chức năng thành các mục tiêu chiến thuật (tactical objectives) với các thuộc tính: có mục tiêu cụ thể; có thể đạt được; có giới hạn thời hạn; và có thể đo lường được

Từ đó các kế hoạch chiến thuật (tactical plans) được tạo ra, làm nền tảng để tiếp tục phát triển thành các kế hoạch hoạt động (operational plans) theo phương thức quy định trách nhiệm cho từng cá nhân phụ trách

Cần lưu ý kế hoạch chiến thuật (tactical planning) tập trung vào các chủ trương ngắn hạn sẽ hoàn

thành trong vòng 1 hoặc 2 năm; bao gồm kế hoạch dự án và tài liệu lập kế hoạch mua sắm nguồn

lực; cần được lập ngắn sách, phân bổ nguồn lực và nhân sự khi tiến hành Quá trình lập kế hoạch chiến thuật chia nhỏ mỗi mục tiêu chiến lược thành các mục tiêu liên tục (incremental objectives) MỖI mục tiêu này phải cụ thể, có thời hạn trong vòng một năm kể từ ngày bắt đầu kế hoạch Giám đốc an toàn thông tin (CISO) và các nhà quản lý an toàn sử dụng kế hoạch chiến thuật để tổ chức, sắp xếp thứ tự ưu tiên và thu thập các nguồn lực cần thiết hỗ trợ cho việc lập kế hoạch chiến lược (strategic plans]

Bắt nguồn từ kế hoạch chiến thuật, kể hoạch hoạt động (operational planning] được tạo ra cho

các nhà quản lý và nhân viên sử dụng để đơn vị thực hiện nhiệm vụ tác nghiệp hàng ngày Một

kế hoạch hoạt động bao gồm các nhiệm vụ cần thiết cho tất cả các bộ phận liên quan cũng như

các vều cầu liên lạc và báo cáo, các cuộc hợp hàng tuần, báo cáo tiến độ và các nhiệm vụ liên

quan khác Thông tin liên lạc và phản hồi thường xuyên từ các nhóm tới các nhà quản lý dự án,

trưởng nhóm, các cấp quản lý khác, sẽ giúp quá trình lập kế hoạch quản lý dễ dàng hơn và

thành công hơn

3.1.4 Lập kế hoạch và giám đốc an toàn thông tin (CISO)

Ưu tiền đầu tiền của CISO và nhóm quản lý an toàn thông tin là việc tạo ra một kế hoạch chiến lược (strategic plan) để hoàn thành các mục tiêu an toàn thống tin của tổ chức Khi một chiến

lược được định hướng rõ rằng từ trên xuống, cần phải có một cách tiếp cận có hệ thống để biến

nó thành một chương trình có thể thông báo và dẫn dắt tất cả các thành viên của tổ chức

Các kế hoạch chiến lược được hình thành ở các cấp cao nhất của tổ chức được sử dụng để tạo ra một chiến lược tổng thể của công ty (overall corporate strategy) Khi các cấp thấp hơn tham gia,

các kế hoạch từ các cấp cao hơn được phát triển thành kế hoạch chỉ tiết hơn, cụ thể hơn Kế hoạch chiến lược theo chức năng (chẳng hạn như chiến lược tài chính, CNTT và hoạt động) được

chuyển thành kế hoạch chiến thuật (tactical planning) cho các nhà quản lý giám sát và cuối cùng

cung cấp định hướng cho các kế hoạch hoạt động (operational plans) do các nhân viên cấp tắc

3.2 Chính sách, tiêu chuẩn và thực tiễn triển khai an toàn thông tin

Phần này trình bùy về chính sách làm nền tủng cho việc lập kế hoạch

và quản lý chính sách Ban quản lý cần xây dựng các chính sách làm cơ sở cho tất cả các kế hoạch, thiết kế và triển khai

an toàn thông tin Lưu ý các chính sách này cần hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ, thông thường không bao gồm mô tả cách vận hành thích hợp của thiết bị hoặc

phần mềm (thông tin này sẽ được đặt trong các tiêu chuẩn, thủ tục và thực hành trong tài liệu

hướng dẫn sử dụng và hệ thống của người dùng) cũng như không được mâu thuẫn với luật pháp, được quản lý thích hợp thông qua truyền thông và được chấp nhận bằng văn bản

Các chính sách an toàn là biện pháp kiểm soát ít tốn kém nhất để thực thi an toàn thông tin, việc

tạo ra và phổ biến chính sách chỉ đòi hỏi thời gian và nỗ lực của đội ngũ quản lý Khi lựa chọn

phương án thuê tư vấn bên ngoài để giúp xây dựng chính sách, chỉ phí của chính sách an toàn vẫn thấp nhất so với chi phí các kiểm soát kỹ thuật khác

3.2.1 Chính sách làm nền tảng cho việc lập kế hoạch

Các chính sách hoạt động giống như luật trang một tổ chức vì các chính sách này quy định hành

vị được chấp nhận và không được chấp nhận; đặt ra các hình phạt đối với việc không tuần thủ

chính sách và quy trình kháng nghị, bao gồm các tiêu chuẩn là những tuyên bố chỉ tiết hơn về

những gì phải làm để tuân thủ chính sách, có các yêu cầu tuần thủ giống như các chính sách Tiêu

chuẩn có thể là một phần của văn hóa tổ chức, hoặc ban hành dạng không chính thức (de facto

standards) Tiêu chuẩn có thể được công bố, xem xét kỹ lưỡng, phê chuẩn, và ban hành dạng

chính thức (de Jure standards)

Các hướng dẫn, thủ tục và thực tiễn triển khai giải thích một cách hiệu quả cách thức

tuân thủ chính sách:

22, _ÐEM⁄⁄

Practices

Industri, — qoyvernment, regulatory exemplars

knilueree 010aniiEallom docuImEnis

Figure 3-3 Policies, standards, guidelines, and procedures

Chính sách có chức năng như luật tổ chức quy định hành vi chấp nhận được và không chấp nhận

được Tiêu chuẩn: tuyên bố chỉ tiết hơn về những gì phải được thực hiện để tuần thủ chính sách

Các thực tiễn triển khai, thủ tục và hướng dẫn giải thích hiệu quả cách tuần thủ chính sách Để một chính sách có hiệu quả, nó phải được phổ biến, đọc, hiểu và đồng ý đúng cách bởi tất cả các

thành viên của tổ chức và được thi hành thống nhất Ví dụ về mối quan hệ giữa Chính sách, Tiêu

chuẩn, Thực tiền triển khai, Thủ tục, và Hướng dẫn:

Policy “Usg sirung passwnrds, Írgquenlly changed."

Standard "The passward must be ai leasl 10 characlers with ai leasl on o[ each of lhese:

uppercasg Iatler, lwwvercase lallar, number, and special characier,"

Praclics "According tơ Passwords ioday, most nrganizaliuns rgquire ømployees iu chang

passwords ai lsast gvery six monlhs."

Procgdure "in ørder lo change your password, first click the Windows Start bưHẲon; then ”

Guidalirg "Wa recnmmeand vou dorrt usgø family or pai rames, of parts ơi your Social 5Sgcurity

number, emploves number, or phone number in your password."

Ý nghĩa của thuật ngữ chính sách an toàn phụ thuộc vào ngữ cảnh Nói chung, chính sách an toàn

là một tập hợp các quy tắc bảo vệ tài sản của tổ chức, cung cấp các quy tắc để bảo vệ tài sản thông tin của tổ chức

Nhà quản lý phải xác định ba loại chính sách an toàn, theo Special Publication (SP) 800-14 của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST]: chính sách an toàn thông tin doanh nghiệp

(Enterprise information security policies — EIlSF]; chính sách an toàn đặc thù (Issue-specific

security policies - ISSP); và chính sách an toàn dành riêng cho hệ thống (Systems-specific security policies — SyssP]

3.2.1.1 Chính sách an toàn thông tin doanh nghiệp (EISP)

EISP xác định mục đích, phạm vi, các rằng buộc và khả năng áp dụng của chương trình an ninh;

được điều chỉnh khi có sự thay đổi trong định hướng chiến lược của tổ chức EISP phần công trách nhiệm đối với các lĩnh vực an toàn khác nhau, bao gồm quản trị hệ thống, duy trì các chính sách an toàn thông tin, thực hành và trách nhiệm của người dùng; cũng như giải quyết vấn đề tuần thủ pháp luật

Theo NIST, EISP thường giải quyết vấn đề tuân thủ trong hai khía cạnh: đảm bảo rằng một tổ chức đắp ứng các yêu cầu để thiết lập một chương trình và phân công trách nhiệm cho các thành phần

khác nhau của tổ chức; đồng thời sử dụng các hình phạt cụ thể và hành động kỷ luật

Sau khi EISP đã được phát triển, CISO bắt đầu thành lập nhóm an toàn và thực hiện các thay đổi cần thiết đối với chương trình an toàn thông tin

EISP bao gồm các thành phần sau: tổng quan triết lý của tổ chức vẽ an toàn; thông tin về cơ cấu

tổ chức và những người thực hiện vai trò an toàn thông tin; các trách nhiệm rõ rằng, đầy đủ về

an toàn và được chia sẻ bởi tất cả các thành viên của tổ chức (nhân viên, nhà thầu, nhà tư vấn, đối tác và khách hàng); và các trách nhiệm rõ ràng, đầy đủ về an toàn cần dành riêng cho từng vai trò trong tổ chức

3.2.1.2 Chính sách an toàn đặc thù (ISSP)]

ISSP đề cập đến quan điểm của tổ chức về các lĩnh vực công nghệ, được cập nhật thường xuyên

về các nội dung: email / Sử dụng Internet và World Wide Web; cấu hình máy tính tối thiểu để chống lại sầu và vi rút; các lệnh cấm đối với việc hack / kiểm tra các hiện pháp kiểm soát an toàn

của tổ chức; sử dụng các thiết bị máy tính của tổ chức tại nhà; sử dụng thiết bị cá nhân kết nối

hệ thống mạng công ty; sử dụng các công nghệ viễn thông, chẳng hạn như fax và điện thoại; Sử

dụng thiết bị photocopy; sử dụng các thiết bị lưu trữ di động như thẻ nhớ USB, máy chơi game,

máy nghe nhạc và bất kỹ thiết bị nào khác có khả năng lưu trữ các tệp kỹ thuật số; và sử dụng các dịch vụ lưu trữ dựa trên đám mây không do tổ chức tự lưu trữ hoặc được ký kết theo hợp đồng (Google Drive, Dropbox, Microsoft Live, .}

ISSP bao gồm các thành phần sau: tuyên bố về chính sách, quyền truy cập và sử dụng thiết bị,

cấm sử dụng thiết bị sai mục đích, quản lý hệ thống, vi phạm chính sách, rà soát và sửa đối chính

sách, và giới hạn của trách nhiệm pháp lý

3.2.1.3 Chính sách an toàn dành riêng cho hệ thóng (SysSP)

SvsSP thường hoạt động như các tiêu chuẩn hoặc thủ tục được sử dụng khi cấu hình hoặc bảo trì

hệ thống Ví dụ, một SysSP có thể mô tả cấu hình và hoạt động của tường lửa mạng Tài liệu này

có thể bao gồm một tuyên bố về ý định của người quản lý; hướng dẫn cho các kỹ sự mạng về việc lựa chọn, cấu hình và vận hành tường lửa; và danh sách kiểm soát truy cập xác định các cấp độ

truy cập cho từng người dùng được ủy quyền SvsSPs bao gồm 2 nhóm: nhóm hướng dẫn về quản

lý, và nhóm quản lý về kỹ thuật

3.2.2 Phát triển và triển khai chính sách an toàn hữu hiệu

Để đảm bảo tính hiệu quả và được bảo vệ về mặt phắp lý, các chính sách cần thực hiện đúng cách theo các tiêu chỉ sau:

- Phát triển (Development): Phải được viết bằng cách sử dụng các thông lệ được chấp nhận trong ngành và được ban quản lý chính thức phê duyệt

- Truyền đạt (Dissemination]: Phải được truyền thông bằng tất cả các phương pháp thích

hợp

- Dễ sử dụng (Reading): Phải được tất cả nhân viên chấp nhận

- Dễhiểu (Comprehension): Phải được hiểu bởi tất cả nhân viên

- Tuần thủ (Compliance): Phải được chính thức đồng ý bằng hành động hoặc khẳng định, cam kết

- Thực thi thống nhất (Enforcement)}: Phải được áp dụng thống nhất cho tất cả nhân viên

3.2.3 Quản lý chính sách

Chính sách cần được truyền đạt, đọc hiếu, xác nhận đồng ý, áp dụng và quản lý một cách thống

nhất

Để duy trì tính khả thi, các chính sách an toàn cần có:

Quan trị viên chính sách: không nhất thiết phải thành thạo công nghệ liên quan, có trách nhiệm thông báo cho tất cả các thành viên chịu tác động của tổ chức khi chính sách được sửa đổi, là đầu

mối liên hệ chính thức khi nhãn viễn cần biết thêm thông tin hoặc đề xuất sửa đối chính sách

Lich trình đánh giá: Một lịch trình đánh giá được tổ chức hợn lý cần được xác định, công bố, và nên được xem xét lại tối thiểu hàng năm để đảm bảo chính sách vẫn là một biện pháp kiểm soát

hiệu quả Các chính sách không được duy trì, cập nhật theo hiện hành có thể trở thành trách

nhiệm pháp lý do các quy tắc lỗi thời được thực thi và các yêu cầu mới bị bỏ qua

Xem xét, đánh giá lai quy trình và thủ tuc: Để tạo điều kiện thuận lợi cho việc rà soát chính sách,

cần tạo cơ chế qua đó mọi người có thể thoải mái đưa ra các đề xuất sửa đổi (qua email, thư văn

phòng hoặc ẩn danh) Nếu chính sách này gây tranh cãi, việc gửi các khuyến nghị ẩn danh có thể

là cách tốt nhất để khuyến khích ý kiến của nhân viễn Khi chính sách đã được đưa ra để xem xét, tất cả các ý kiến cần được kiếm tra và việc thực hiện các cải tiến cần được cấp quản lý phê duyệt

Ngày ban hành và ngày sửa đối chính sách: Chính sách cần có ngày công bố và (các) ngày của (các) bản cập nhật tiếp theo Nếu không phải là chính sách áp dụng vĩnh viễn, cần có điều khoản ngừng

hoạt động cho biết ngày hết hạn của chính sách đó

Nội dung quản lý chính sách tự động sinh viên tự đọc thêm

3.3 Chương trình giáo dục, huắn luyện và nhận thức về an toàn

Phần này tập trung vào việc trình bùy về giáo dục an toàn, huãn luyện an toàn, và nhận thức về an toàn

Khi tổ chức đã xác định các chính sách hướng dẫn chương trình an toàn và chọn mô hình an toàn

tổng thể bằng cách tạo / điều chỉnh bảng kế hoạch chỉ tiết tương ứng ữ triển khai chương trình

giáo dục, huấn luyện và nâng cao nhận thức về an toàn (security educatian, training, and

awareniess - SETA) SETA do CISO phụ trách và là một biện pháp kiểm soát được thiết kế để giảm

các sự cố do nhắn viên vô tình vi phạm an ninh Lỗi của nhân viên là một trong những mối đe dọa

hàng đầu đối với tài sản thông tin, do đó, phát triển chương trình SETA để chống lại mối đe dọa này là cần thiết SETA được thiết kế để bổ sung cho các chương trình giáo dục và huấn luyện chung mà nhiều tổ chức sử dụng đề huấn luyện nhãn viên về an toàn thông tin

Chương trình SETA bao gồm ba yếu tố: giáo dục an toàn, huấn luyện an toàn và nâng cao nhận thức về an toàn Một tổ chức có thể không có khả năng hoặc sẵn sàng đảm nhận cả ba yếu tố này

và nó có thể dung dịch vụ thuê ngoài (0utsaurce) như các cơ sở giáo dục địa phương Mục đích

của SETA là tăng cường an toàn bằng cách thực hiện những điều sau: nâng cao nhận thức về sự cần thiết phải bảo về tải nguyên hệ thống; phát triển kỹ năng và kiến thức để người dùng máy tính có thể thực hiện công việc của họ một cách an toàn hơn; và xây dựng kiến thức chuyên sâu khi cần thiết để thiết kế, triển khai hoặc vận hành các chương trình an toàn cho các tổ chức và

hệ thống

Awareness Training Education

the organization what security | organization how they should 0rganization as tơ why it has

¡s and what the employee react and respond when threats | prepared in the way it has and why

should do in some situations: | are encountered ¡n specified the organizationi reacts in the ways

Lewvel Offers basic information Offers more detalled knowledge | Offers the background and depth

abaoutthreatsandresponses | ahout detecting threats and øf knowledge ta gain insight into

teaches skills needed far how processes are developed and

Improvement Objective Members of the organization | Miernbers of the organization can | Mernbers of the organization can

cạn recognize threats and mount effective responses Using | engapge in active defenise and uUse

0bjectives tơ make continugus improvement

* Posters * Hands-on practice * Background reading

Mọi người trong tổ chức cần được huấn luyện và nâng cao nhận thức về an toàn thông tin, nhưng

không phải ai cũng cần có bằng cấp hoặc chứng chỉ chính thức về an toàn thông tin

Khi ban giám đốc đồng ý rằng áp dụng giáo dục chính thức là phù hợp, nhân viên có thể tìm hiểu các khóa học về giáo dục thường xuyên từ các cơ sở giáo dục đại học tại địa phương Các trường đại học trên thể giới đã có các khóa học chính thức về an toàn thông tin (Bộ môn Hệ thống thông tin kế toắn-Khoa Kế toán-Trường Kinh doanh-Đại học UEH tiền phong giảng dạy ở Việt Nam)

Đối với những người quan tâm đến việc nghiên cứu các chương trình an toàn thông tin chính

thức, có các tài nguyên hạn như chương trình National Centers øf Academic Excellence (xem

www iad gov/NIETE/index cm] Chương trình này xác định các trường đại học cung cấp các môn

học về an toàn thông tin và quan điểm tích hợp về an toàn thông tin trong tổ chức Các tài nguyên

địa phương khác cũng có thể cung cấp thông tin về giáo dục an toàn, chẳng hạn như Trung tâm Giáo dục An ninh Thông tin của Bang Kennesaw (hitp://infosec.kennesaw.edu]

3.3.2 Huắn luyện an toàn

Huấn luyện an toàn cung cấp cho nhân viên thông tin chỉ tiết và hướng dẫn thực hành để chuẩn

bị cho họ thực hiện nhiệm vụ một cách an toàn Quản lý an toàn thông tin có thể phát triển huấn luyện nội bộ hoặc thuê dịch vụ huấn luyện

Các lựa chọn thay thế cho các chương trình huấn luyện chính thức là các hội nghị và chương trình

huấn luyện trong ngành được cung cấp thông qua các cơ quan chuyển môn như SANS

(www.sans.ore), ISC2 (www.isc2.org) và ISSA (www.issa.org) Nhiều chương trình trong số này

phủ hợp với các chuyên gia an toàn thông tin hơn so với người dùng bình thường vì khá thiên về khía cạnh kỹ thuật

Một sổ tài nguyên để thực hiện các chương trình SETA cung cấp hỗ trợ dưới dạng các chủ đề và cấu trúc mẫu cho các lớp bảo mật Đối với các tổ chức, Trung tâm Tài nguyên An ninh Máy tính

tại NIST cung cấp miễn phí một số tài liệu hữu ích trong lĩnh vực này (http://csrc.nist.gov)

3.3.3 Nhận thức an toàn

Chương trình nâng cao nhận thức về an toàn là một trong những chương trình ít được thực hiện

thường xuyên nhất nhưng mang lại nhiều lợi ích nhất trong một tổ chức, được thiết kế để giữ an

toàn thông tin được đặt lên hàng đầu trong tầm trí người dùng Nếu chương trình này không được triển khai tích cực, nhân viên có thể bắt đầu bỏ qua các vấn đề an toàn và nguy cơ có thể

phát sinh với an toàn thông tin của tổ chức

Các chương trình nâng cao nhận thức không cần phải phức tạp hoặc tốn kém chỉ phí (bản tin, áp

phích tuyên truyền an toàn thông tin, video, bảng thông báo, tờ rơi, khẩu hiệu an ninh in trên

miếng lót chuột, cốc cà phề, áo phỏng, bút hoặc bất kỹ đồ vật nào thường xuyên được sử dụng

trong ngày làm việc để nhắc nhở nhân viên về an toàn)

Bản tin an toàn là phương pháp tiết kiệm chỉ phí nhất để phổ hiến thông tin cho nhân viên, được phân phổi qua bản cứng, email hoặc mạng nội bộ Các chủ đề bao gồm: các mối đe dọa mới đối

với tài sản thông tin của tổ chức, lịch trình cho các lớp bảo mật sắp tới và việc bổ sung nhân viên

an toàn mới Mục đích là giữ ý tưởng về an toàn thông tin trong tâm trí người dùng và kích thích người dùng quan tầm đến an toàn

3.4 Bảng kế hoạch chỉ tiết về an toàn thông tin

Phần này tập trung vùa việc trình bùy về thiết kế kiến trúc an toàn, các cấp độ kiểm soát, phòng thủ sâu, và vành đại an toàn

3.4.1 Giới thiệu mô hình, khuôn mẫu an toàn

Sau khi đã phát triển tiêu chuẩn và thực tiễn triển khai an toàn thông tin, tổ chức bắt đầu phát

triển bảng kế hoạch chi tiết về an toàn thông tin Nếu bất kỹ chính sách, tiêu chuẩn hoặc thực

tiễn triển khai nào chưa được hoàn thiện, nhà quản lý cần xác định xem có nên tiếp tục phát triển bảng kế hoạch chỉ tiết về an toàn thông tin hay là không

Nhóm an toàn thông tin tiền hành kiểm kê các tài sản thông tin của tỏ chức 5 đánh giá và sắp xếp mức độ ưu tiền các nguy cơ đối với các tài sản đó (đánh giá rủi ro thông qua các phân

tích định lượng hoặc định tính, nghiên cứu tính khả thi và phân tích chỉ phí - lợi ích để xác định

mức độ bảo vệ hiện tại của từng tài sản) để ra quyết định có thực hiện biện pháp kiểm soát hay không

Nhóm an toàn phát triển một bản kế hoạch chỉ tiết với thiết kế được sử dụng để triển khai chương trình an toàn và được trang hị ý tưởng chung về các điểm yếu tiềm ấn (vulnerabilities)

trong hệ thống công nghệ thông tin của tổ chức

Bảng kế hoạch chỉ tiết về an toàn thông tin là cơ sở cho việc thiết kế, lựa chọn và thực hiện chính

sách, quản lý chính sách, quản lý rủi ro, chương trình huấn luyện, kiểm soát công nghệ và duy trì

chương trình an toàn; được xây dựng dựa trên các chính sách an toàn thông tin của tổ chức; là bản triển khai chi tiết từ khuôn mẫu an toàn thông tin, chỉ định các nhiệm vụ và thứ tự hoàn thành

Khi chọn cách thức để phát triển một bản kế hoạch chỉ tiết an toàn thông tin, tổ chức nên điều chỉnh hoặc áp dụng một mô hình an toàn thông tin được công nhận rộng rãi bởi một tổ chức hoặc cơ quan an toàn đã thành lập Các mô hình của các khuôn mẫu chuẩn mực này có thể giúp phác thảo các hước thiết kế và thực hiện an toàn thông tin trong tổ chức Nhóm an toàn lưu ý cần sửa đổi hoặc điều chỉnh mô hình cho phù hợp với đặc thù của tổ chức trước khi áp dụng Danh sách các mô hình an toàn: The I5O 27000 Series, mô hình an toàn NIST SP 800-

14, NIST vả khuôn mẫu quản trị rủi ro

Mô hình an toàn NIST SP 800-14: các nguyên tắc thực hành được chấp nhận về an toàn hệ thống

công nghệ thông tin (SP 800-14) hỗ trợ đơn vị phát triển bảng kế hoạch chỉ tiết về an toàn thông tin, thông qua cung cấp các nguyên tắc thực hành về an toàn như: an toàn hỗ trợ sử mệnh của

tổ chức, an toàn là một vếu tố không thể thiếu của quản lý hữu hiệu, an toàn cần hiệu quả về mặt

chỉ phí, chủ sở hữu hệ thống có trách nhiệm bảo mật thông tin của các bền liên quan, trách nhiệm

bảo mật và trách nhiệm giải trình phải được thực hiện rõ ràng, an toàn yêu cầu một phương pháp

toàn diện và tích hợp, an toàn nên được đánh giá lại định kỳ, an toàn bị hạn chế bởi các yếu tổ

xã hội

NIST và khuôn mẫu quản trị rủi rơ: Khuôn mẫu quản lý rủi rõ (RMF) trình bày cách tiếp cận của

NIST để quản lý rủi rõ trong đơn vị, tập trung vào: xây dựng khả năng an toàn thông tin vào các

hệ thống thông tin liên thông qua việc áp dụng các biện pháp kiểm soát an ninh kỹ thuật, hoạt

động và quản lý hiện đại; duy trì nhận thức về trạng thái an toàn của hệ thống thông tin thường xuyên thông qua các quy trình giám sát näng cao; cung cấp thông tin cần thiết để giúp nhà quản

lý cấp cao đưa ra quyết định về việc chấp nhận rủi rõ đổi với hoạt động và tài sản của đơn vị, cả

nhân và các đơn vị khác phát sinh từ việc sử dụng hệ thống thông tin Để đạt được các mục tiêu này, RMF có các đặc điểm sau: thúc đấy khái niệm quản lý rủi ro theo thời gian thực và phân quyền hệ thống thông tin liên tục thông qua việc triển khai giám sắt liễn tục mạnh mẽ; khuyến khích sử dụng tự động hóa để cung cấp cho các nhà quản lý cấp cao thông tin cần thiết nhằm đưa

ra các quyết định dựa trên rủi ro, hiệu quả vẽ chỉ phí về hệ thống thông tin, từ đó hỗ trợ các sứ

mệnh cốt lõi và các chức năng kinh doanh của đơn vị; tích hợp an toàn thông tin vào kiến trúc