Bài giảng An toàn thông tin và quản trị rủi ro thương mại điện tự: Chương 1 Tổng quan An toàn thông tin và quản trị rủi ro thương mại điện tự do TS. Chử Bá Quyết biên soạn gồm các nội dung chính được trình bày như sau: Một số khái niệm về An toàn thông tin, các khía cạnh của An toàn thông tin, an toàn thông tin và quản trị rủi ro,...
Trang 1AN TOÀN THÔNG TIN VÀ QU N TR R I RO
Trang 2Ch ng 1 T ng quan An toƠn thông tin
vƠ Qu n tr r i ro TM T
1 M t s khái ni m v An toàn thông tin
2 Các khía c nh c a An toàn thông tin
3 An toàn thông tin và qu n tr r i ro
Trang 31 M t s khái ni m v An toƠn thông tin
• An toàn (security),
• An toàn máy tính (computer security)
• An toàn thông tin (Information security)
• An toàn d li u (data security)
• An toàn trình duy t (Browser security)
Trang 41 M t s khái ni m … (ti p)
• An toàn (security): Là đ c b o v , không b xâm h i ho c b
t n công
• An toàn là ch ng l i, ho c b o v kh i t n công, gây t n h i
An toàn không ch g n v i b o v con ng i, mà g n v i
nhi u đ i t ng khác: tài s n, ho t đ ng kinh doanh, thông tin
Trang 51 M t s khái ni m … (ti p)
• An toàn (security):
• An toàn là tr ng thái mà kh n ng gây h i cho con ng i ho c
h y ho i tài s n đ c gi m thi u và duy trì t i ho c d i m c
đ ch p nh n đ c thông qua quá trình liên t c nh n d ng m i nguy hi m và qu n lý r i ro (53/2011/TT-BGTVT)
Trang 61 M t s khái ni m
• An toàn máy tính (Computer security) còn đc g i là an toàn m ng
(cybersecurity), an toàn thông tin (IT security) là vi c b o v các
HTTT kh i hành vi tr m c p, phá ho i ph n c ng, ph n m m, và
các thông tin trong h th ng, c ng nh làm gián đo n, ho c l c
h ng (misdirection) c a các DV mà HT cung c p
• ATMT bao g m vi c ki m soát truy c p v t lý đ n ph n c ng, c ng
nh vi c b o v ch ng l i các tác đ ng có th đ n thông qua truy
c p m ng, d li u và l h ng code injection, do s su t c a các nhà khai thác c ý, vô ý, ho c do không th c hi n đúng các quy trình
Trang 71 M t s khái ni m
• An toàn thông tin (Information security) là vi c b o đ m, duy trì tính bí m t (confidentiality), tính toàn v n (integrity) và tính s n
sàng (availability) c a thông tin; có th bao hàm: tính xác th c,
tính trách nhi m, tính ch ng ph nh n và tính tin c y" (ISO/IEC
27000:2009)
• ATTT là b o v thông tin, các HTTT t vi c truy c p, s d ng, ti t
l trái phép, làm gián đo n, s a đ i ho c phá h y đ đ m b o tính tin c y, toàn v n và tính s n có c a thông tin (CNSS, 2010)
Trang 81 M t s khái ni m
ATTT là vi c b o đ m ch nh ng ng i có th m quy n
(confidentiality) đ c truy c p thông tin đ y đ và chính xác
(integrity) khi có nhu c u (availability)." (ISACA, 2008)
ATTT là quá trình b o v tài s n trí tu c a m t t ch c (Pipkin,
Trang 9Tam giác CIA v an toƠn thông tin
• Tam giác CIA (Confidenttiality, integrity, availability) là tr ng tâm (tâm đi m) c a ATTT, và các b ph n này: Confidentiality,
Integrity và Availability đ c xem nh là các thu c tính, đ c tính,
m c tiêu, các khía c nh c b n, tiêu chí … c a ATTT
Confidentiality
Availability Integrity
Trang 10• Ngoài 3 y u t trên, nh ng y u t khác đã đ c đ xu t nh : tính trách nhi m (Accountability), tính không th ch i cãi (Non –
Repudiation), và v i s phát tri n c a h th ng máy tính nh hi n nay, tính riêng t (privacy) ngày càng tr thành m t nhân t r t quan tr ng
Tam giác CIA m r ng
Trang 11Tam giác CIA m r ng
• Trong n m 1992 và s a đ i n m 2002, OECD đã đ a ra h ng
d n v an toàn cho các HTTT và m ng v i 9 yêu c u: tính nh n
th c (Awareness), tính trách nhi m (Responsibility), tính ph n h i (Response), đ o đ c (Ethics), tính dân ch (Democracy), đánh giá
r i ro (Risk Assessment), thi t k b o m t và th c thi (security
design and implementation), qu n lý an toàn (security
management), và đánh giá l i (Reassessment)
Trang 12Tam giác CIA m r ng
Ti p theo, n m 2004, t ch c NIST đã đ a ra các lu t b o m t thông tin, trong đó đ xu t 33 nguyên t c
N m 2002, Donn Parker đã đ xu t mô hình sao 6 cánh (tam giá
kép): confidentiality, possession, integrity, authenticity,
Trang 13nh ng n i mà nó đ c l u l i N u m t ng i nào đó ch a đ c xác th c (ví d hacker…) l y s th này b ng b t kì cách nào, thì tính bí m t không còn n a.
Trang 14Các khái ni m c a CIA + 3
• Tính toàn v n I: ngh a là d li u không b ch nh s a, nó khác v i
tính toàn v n trong tham chi u c a c s d li u, m c dù nó có
th đ c xem nh là m t tr ng h p đ c bi t c a tính nh t quán
nh đ c hi u trong mô hình c đi n ACID (tính nguyên t
(atomicity), tính nh t quán (consistency), tính cách ly (isolation), tính lâu b n (durability) – là m t t p các thu c tính đ m b o r ng
c s d li u đáng tin c y) c a x lý giao d ch I b xâm ph m khi
m t thông đi p b ch nh s a trong giao d ch HTTT an toàn luôn cung c p các thông đi p toàn v n và bí m t
Trang 15Các khái ni m c a CIA + 3
• Tính s n sàng: M i HTTT đ u có m c đích riêng và thông tin
ph i luôn luôn s n sàng khi c n thi t i u đó có ngh a r ng h
th ng tính toán s d ng đ l u tr và x lý thông tin, có m t h
th ng đi u khi n b o m t s d ng đ b o v nó, và kênh k t n i
Trang 17Các khái ni m c a CIA + 3
• Tính xác th c: Trong ho t đ ng tính toán, kinh doanh qua
m ng và an toàn thông tin, tính xác th c là vô cùng c n thi t
đ đ m b o r ng d li u, giao d ch, k t n i ho c các tài li u
(tài li u đi n t ho c tài li u c ng) đ u là xác th t (genuine)
Nó c ng quan tr ng cho vi c xác nh n r ng các bên liên quan
Trang 181 M t s khái ni m … (ti p)
• An toàn máy tính (computer security)
• An toàn thông tin (Information security)
• An toàn d li u (data security)
• An toàn trình duy t (Browser security)
Trang 191 M t s khái ni m
• An toàn Internet (internet security) là m t nhánh c a ATMT, liên quan đ n Internet, th ng đ c p đ n an toàn trình duy t (Browser
security) c ng nh an toàn d li u nh p vào d i d ng web, và xác
th c t ng th và b o v d li u g i qua giao th c Internet Internet là
m t kênh không an toàn cho vi c trao đ i thông tin d n đ n kh n ng
r i ro b xâm nh p, gian l n, l a đ o cao M c tiêu c a an toàn
Internet là thi t l p các quy t c và các bi n pháp đ ch ng l i các
cu c t n công trên Internet
Trang 201 M t s khái ni m
• An toàn trình duy t (Browser security) là ng d ng an toàn
Internet cho các trình duy t web đ b o v d li u m ng và các h
th ng máy tính t vi ph m bí m t riêng t ho c ph n m m đ c
h i Khai thác an toàn trình duy t c ng có th l i d ng các l h ng
b o m t (security holes) và th ng đ c s d ng v i t t c các
trình duy t nh Mozilla Firefox, Google Chrome, Opera,
Microsoft Internet Explorer, và Safari
Trang 211 M t s khái ni m
• An toàn m ng (Network security) bao g m các chính sách và
th c t áp d ng đ ng n ch n và giám sát truy c p trái phép, s
d ng sai, s a đ i, ho c t ch i c a m t m ng máy tính và các tài nguyên m ng có th truy c p An toàn m ng đ c p đ n vi c c p phép truy c p vào d li u trong m t m ng, (đ c ki m soát b i
qu n tr m ng) Ng i s d ng ch n ho c đ c ch đ nh m t ID và
m t kh u ho c các thông tin ch ng th c khác đ truy c p thông tin
và các ch ng trình theo th m quy n c a minh
Trang 221 M t s khái ni m
An toàn m ng bao g m m t lo t các m ng máy tính, c công
c ng và t nhân, đ c s d ng trong công vi c hàng ngày; th c
hi n giao d ch và truy n thông gi a các DN, CP, CN An toàn
Trang 23Phơn bi t An toƠn m ng vƠ An toƠn máy tính
• c p đ đ n gi n, ATMT là m t k thu t đ c s d ng đ b o v d li u
đ c l u tr trên 1 máy tính Vi c b o v này đ m b o các d li u ho c
thông tin đ c l u tr trên máy tính cá nhân không th b truy c p, đ c,
ho c sao chép… Các h th ng b o m t máy tính t đ n gi n đ n ph c t p tùy thu c vào m c đ b o m t mong mu n
• An toàn m ng là các bi n pháp đ b o v m ng riêng ây là lo i hình b o
v bao g m b t k máy tính nào k t n i vào m ng và đ c p đ n vi c đ m
b o s d ng, tính toàn v n và an toàn m ng riêng và b t k d li u liên quan
đ n m ng
• ATMT đ c thi t k đ b o v m t đ n v duy nh t ho c m t máy tính,
trong khi an toàn m ng b o v t t c các máy và ng i dùng k t n i vào
m ng M c đ b o m t là t ng t và phòng ng a nhi u v n đ t ng t Tuy nhiên, h u h t các DN k t h p c an toàn máy tính và an toàn m ng đ thi t l p m c đ b o v cao nh t.
Trang 241 M t s khái ni m
• An toàn di đ ng (mobile security) ho c an toàn đi n tho i di
đ ng ngày càng quan tr ng trong máy tính di đ ng (mobile
computing) Quan tâm đ c bi t là s an toàn c a thông tin cá
nhân và kinh doanh hi n nay đ c l u tr trên đi n tho i thông
minh
• Ngày càng có nhi u CN và DN s d ng đi n tho i thông minh
đ qu n tr , l u tr thông tin cá nhân, và công vi c Vi c l u tr thông tin và k t n i Internet là ngu n g c c a nh ng RR m i
Trang 252 Các khía c nh c a an toàn thông tin
• ITU-T là c m t vi t t t c a International Telecommunication
Union - Telecommunication Standardization Sector là l nh v c Tiêu chu n vi n thông - thu c T ch c Vi n thông qu c t
• Theo ITU-T X.800, ATTT bao g m ba khía c nh (aspects):
T n công (security attack);
Trang 262 Các khía c nh c a … (ti p)
• T n công: B t k hành đ ng nào làm nh h ng ho c tác
đ ng t i ATTT Nhi u lo i khác nhau c a các cu c t n công,
có th đ c phân lo i: t n công th đ ng Passive attacks các
b o m t: Mã hóa: Mã hóa đ i x ng, Mã hóa khóa công khai,
Qu n lý chìa; Hàm b m; Các mã xác th c thông đi p; Ch ký
Trang 273 An toƠn vƠ r i ro (Security and Risk)
• Khái ni m r i ro (risk)
• T đi n Oxford English Dictinary trích d n s m nh t thu t
ng risk (ti ng Pháp là risque, ngu n g c là 'risque' ) as of
1621, and the spelling as risk from 1655 It defines risk as:
“(Exposure to) the possibility of loss, injury, or other adverse or
unwelcome circumstance; a chance or situation involving such
Trang 283 An toƠn vƠ r i ro (Security and Risk)
• R i ro: ti m n t n th t, thi t h i ho c phá h y tài s n nh là
k t qu c a m t m i đe d a khai thác m t l h ng
RR là m t hàm th hi n m i quan h gi a đe
d a khai thác l h ng đ gây t n th t ho c phá h y tài s n.
• Các m i đe d a có th t n t i, nh ng n u không có các l h ng, thì có r t ít ho c không có RR.
• T ng t , có th có m t l h ng, nh ng
n u không có m i đe d a, thì s có ít ho c không có RR.
Trang 293 An toƠn vƠ r i ro (Security and Risk) D
H
TM
U
Trang 30• RR ch phát sinh khi có m t s không ch c ch n v m t mát s
x y ra (uncertainty about the occurrence of a loss) N u xác
Trang 32Các khái ni m RR
• RR c h u (Inherent Risk): còn g i là RR v n có, hay r i ro
c n thi t; là r i ro có tr c khi có b t k tác đ ng can thi p nào
• RR còn l i (Residual Risk): RR t n t i sau khi có nh ng hành
Trang 34Nguyên nhân RR trong TM T
• Nguyên nhân khách quan
i u ki n t nhiên: bão l t, đ ng đ t, bi n đ i khí h u,…
i u ki n môi tr ng: Chính sách kinh t v mô, kh ng
Trang 36Phân lo i R i ro tmđt
+ Theo Holmes Miller: có 3 lo i RR chính trong TM T là:
RR thông tin (Information Risk)
RR công ngh (Technology Risk)
RR kinh doanh (Business Risk)
+ Phân lo i RR trong TM T và các RR chính trong TM T s
đ c nghiên c u chi ti t trong ch ng 2, 3: Nh n d ng RR
Trang 37th ng/công vi c/doanh nghi p c th , phân tích và l a ch n
các x lý r i ro, theo dõi s thay đ i c a r i ro c ng nh đ a
Trang 39Risk Management
R Planning AssessmentRisk
R
Identification Risk Analysis Risk Priority
Risk Handling
Risk Monitoring
Trang 40Qu n tr RR trong TM T
• Qu n tr RR trong TM T là cách th c trong đó nh ng tác đ ng
ng c t r i ro (tính 2 m t) đ c qu n lý và các c h i, ti m
n ng đ c tri n khai th c hi n Vì v y, qu n tr RR bao hàm:
T i thi u hóa các tác đ ng, các ngu n nguy hi m đ i v i h
Trang 41Nguyên t c và h n ch qu n tr r i ro
• Nguyên t c:
Ch p nh n r i ro (Accept No Unnecessary Risk)
L a ch n r i ro m c phù h p (Make Risk Decisions at the
Appropriate Level):
Ch p nh n r i ro khi l i ích cao h n chi phí (Accept Risk
When Benefits Outweigh the Cost):
D phòng, b o hi m và r i ro
• H n ch :
Có th tác đ ng, nh h ng t i các quy t đ nh kinh doanh
Không b o đ m các s c , đe d a s không còn x y ra