Tài liệu Khoa An Toàn Thông TIn PTIT: https://drive.google.com/drive/folders/1nBWniC3Q5ulu5cJZO2HIEufUtcEUC6k1?usp=sharing Giải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông Giải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITtin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTITGiải ngân hàng Quản lý an toàn thông tin PTIT Miễn phí tại: https://drive.google.com/drive/folders/1nBWniC3Q5ulu5cJZO2HIEufUtcEUC6k1?usp=sharing
Trang 1Mục lục
Mục lục 1
Pháp luật và chính sách 2
1 Khái niệm về an toàn thông tin? 2
2 Các khái niệm cơ bản: tài sản, tấn công, biện pháp, rủi ro, đe dọa? 3
Tài sản: 3
Tấn công: 3
Biện pháp: 4
Rủi ro: 4
Đe dọa: 4
3 Khái niệm về quản trị, chính sách, luật pháp về an toàn thông tin 4
Quản trị ATTT 4
Chính sách ATTT 4
Luật pháp ATTT 5
4 Tương quan giữa đạo đức, chính sách và luật pháp an toàn thông tin 5
Luật pháp 5
Đạo đức 6
Chính sách 6
5 Các tiêu chuẩn của chính sách 6
Phổ biến (phân phát) 6
Đánh giá (đọc) 6
Nhận thức (hiểu) 6
Chấp thuận (đồng ý) 6
Thi hành nhất quán 7
6 Tương quan giữa tiêu chuẩn an toàn thông tin và chính sách an toàn thông tin 7
Trang 27 Các hành vi sử dụng máy tính bị điều chỉnh bởi Luật hình sự của Việt Nam 7
8 Các hành vi bị nghiêm cấm trong Luật giao dịch điện tử của Việt Nam 7
9 Điều kiện để đảm bảo an toàn cho chữ ký điện tử trong Luật giao dịch điện tử của Việt Nam 8
10 Các hành vi bị nghiêm cấm trong Luật an toàn thông tin mạng 8
11 Các cấp độ đánh giá an toàn của TSSEC, ITSEC và Common Criteria 9
12 Ảnh hưởng của đạo đức tới hành vi sử dụng máy tính 9
13 Các vấn đề sử dụng máy tính với chuyên gia/kỹ thuật viên/người có hiểu biết về máy tính 9
14 Thảo luận về các tình huống/hành vi/mô hình an toàn hệ thống 9
Quản lý an toàn 9
1 Khái niệm về quản lý an toàn thông tin 10
2 Phân loại các biện pháp kiểm soát 10
3 Chức năng cơ bản của các biện pháp kiểm soát 10
4 Các dạng rủi ro cơ bản 10
5 Yêu cầu với nhóm thực hiện quản lý rủi ro 10
6 Sự khác biệt giữa đánh giá rủi ro và phân tích rủi ro 10
7 Các cách thức xử lý rủi ro cơ bản? Cho ví dụ 10
8 Các nguyên tắc căn bản với việc vận hành an toàn 10
9 Các công việc/nhiệm vụ cơ bản với vận hành an toàn 10
10 Các yêu cầu với quản lý cấu hình 10
11 Các bước cơ bản của quy trình kiểm soát thay đổi 10
12 Các tình huống cơ bản làm cấu hình hệ thống thay đổi? Cho ví dụ? (Ở các vị trí công việc khác nhau: quản trị mạng, quản trị cơ sở dữ liệu) 11
13 Các vấn đề với việc hủy bỏ dữ liệu 11
14 Các biện pháp đảm bảo tính sẵn dùng của mạng và các tài nguyên 11
15 Vai trò và trách nhiệm của các bộ phận trong việc quản lý an toàn thông tin 11
Trang 316 Sự khác biệt giữa kế hoạch khôi phục sự cố và hoạt động liên tục 11
17 Vấn đề khôi phục quy trình hoạt động 11
18 Vấn đề khôi phục trang thiết bị 11
19 Vấn đề khôi phục nguồn cung cấp và công nghệ 11
20 Mục tiêu của việc kiểm tra/thực hành các kế hoạch đảm bảo hoạt động liên tục 11 21 Bài tập phân tích rủi ro dựa trên Octave và NIST 11
Pháp luật và chính sách
1 Khái niệm về an toàn thông tin?
An toàn thông tin là hành động ngăn cản, phòng ngừa sự sử dụng,
truy cập, tiết lộ, chia sẻ, phát tán, ghi lại hoặc phá hủy thông tin chưa có sự cho phép
Hoạt động bảo vệ thông tin và các Thành phần thiết yếu bao gồm hệ thống và phần cứng mà sử dụng, lưu trữ, chuyển tiếp thông tin đó cho tới việc áp dụng các chính sách, các chương trình đào tạo và công nghệ Quá trìnhtiếpdiễnliêntụcdo giớihạnvềnguồnnhân
Quá trình tiếp diễn liên tục do giới hạn về nguồn nhân lực và tài chính
Cân bằng giữ anhu cầu đảm bảo an toàn cho các tài nguyên thông tin
và việc thực hiện các hoạt động bình thường của cơ quan
Trang 42 Các khái niệm cơ bản: tài sản, tấn công, biện pháp, rủi ro, đe dọa?
Trang 5Rủi ro thặng dự là rủi ro còn lại sau khi mọi biện pháp thận trọng đã được thực thi
Rủi ro chấp nhận được là rủi ro mà cơ quan/tổ chức chấp nhận sau khi
đã hoàn tất chương trình quản lý rủi ro
Đe dọa:
Phân loại các vấn đề có thể xảy ra cho tài sản của cơ quan/tổ chức
Đe dọa là các hành động chưa xảy ra nhưng khái niệm xảy ra của chúng có thể thấy được
3 Khái niệm về quản trị, chính sách, luật pháp về an toàn thông tin
Quản trị ATTT
+ Bao gồm các yêu cầu và các hành động cụ thể để đảm bảo sự tuân thủ
chính sách, quy trình, tiêu chuẩn và hướng dẫn của cơ quan/tổ chức
+ Việc quản trị tốt mang lại sự tin tưởng và tự tin về mọi người tuân theo cácqui định đã được xây dựng
Trang 6+Luật pháp đi kèm với cơ quan quyền lực để quản lý
4 Tương quan giữa đạo đức, chính sách và luật pháp an toàn thông tin
Trang 7+ Luật pháp là các quy định bắt buộc hay cấm một số hành vi nhất định; chúng được xây dựng dựa trên đạo đức xác định các hành vi chấp nhận đượctrong xã hội
+ Luật pháp đi kèm với cơ quan quyền lực để quản lý
Đạo đức
+ Dựa trên cơ sở các tập tục văn hóa: thái độ đạo đức hay thói quen của một nhóm cụ thể
Chính sách
+ Các chuyên gia an toàn thông tin duy trì an ninh thông qua việc thiết lập
và thực thi các chính sách Đó chính là các hướng dẫn về các hành vi được
và không được chấp nhập tại nơi làm việc Các chính sách này đóng vai trò như luật pháp của nơi làm việc
+ Sự khác biệt giữa luật và chính sách là nhân viên có thể không biết gì về chính sách của cơ quan Lỗi này có thể chấp nhận được
5 Các tiêu chuẩn của chính sách
Trang 8+ Các tiêu chuẩn thường xác định các yêu cầu tối thiểu nhưng rất chi tiết + Luật pháp hay các thông lệ được chấp thuận tạo ra các tiêu chuẩn Như vậy các chuẩn trở thành các tiêu chí cho việc quản trị hay chứng thực
+ Các tiêu chuẩn thường khởi đầu từ các quy phạm công nghiệp Qua thời gian phát triển được tổ chức công bố như tiêu chuẩn
7 Các hành vi sử dụng máy tính bị điều chỉnh bởi Luật hình sự của Việt Nam Luật hình sự sửa đổi bổ sung 2009/Chương XIX cho bộ luật 1999 (có hiệu lực từ 1/1/2010) Xác định tội phạm mạng trong 5 điều khoản
+ Điều 224 Tội phát tán vi rút, chương trình tin học có tính năng gây hại
cho hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị
số
+ Điều 225 Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính,
mạng viễn thông, mạng Internet, thiết bị số
+ Điều 226 Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng
viễn thông, mạng Internet
+ Điều 226a Tội truy cập bất hợp pháp vào mạng máy tính, mạng viễn
thông, mạng Internet hoặc thiết bị số của người khác
+ Điều 226b Tội sử dụng mạng máy tính, mạng viễn thông, mạng Internet
hoặc thiết bị số thực hiện hành vi chiếm đoạt tài sản
8 Các hành vi bị nghiêm cấm trong Luật giao dịch điện tử của Việt Nam Luật Giao dịch điện tử số 51/2005/QH11: QH thông qua 29/11/2005
+ Điều 9 Các hành vi bị nghiêm cấm trong giao dịch điện tử
Trang 91 Cản trở việc lựa chọn sử dụng giao dịch điện tử
2 Cản trở hoặc ngăn chặn trái phép quá trình truyền, gửi, nhận thông điệp
5 Tạo ra thông điệp dữ liệu nhằm thực hiện hành vi trái pháp luật
6 Gian lận, mạo nhận, chiếm đoạt hoặc sử dụng trái phép chữ ký điện tử củangười khác
9 Điều kiện để đảm bảo an toàn cho chữ ký điện tử trong Luật giao dịch điện
tử của Việt Nam
+ Điều 22 Điều kiện để bảo đảm an toàn cho chữ ký điện tử
1 Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận và đáp ứng được các điều kiện sau đây:
a Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh
2 Chữ ký điện tử đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện
tử chứng thực được xem là bảo đảm các điều kiện an toàn quy định tại
khoản 1 Điều này
10.Các hành vi bị nghiêm cấm trong Luật an toàn thông tin mạng
6 nhóm hành vi bị nghiêm cấm
Trang 101 Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật
2 Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng
3 Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ
an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin
4 Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừađảo
5 Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân
6 Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của
cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc
11.Các cấp độ đánh giá an toàn của TSSEC, ITSEC và Common Criteria
TSSEC Lớp D: Bảo vệ tối thiểu
+ Được dành cho các hệ thống đã được đánh giá và không thỏa
mã cac tiêu chuẩn và yêu cầu của lớp cao hơn
Lớp C: Bảo vệ chấp nhận được Được chia thành 2 lớp nhỏ
hơn Lớp có được đánh số lớn hơn thỏa mãn yêu cầu an toàn cao hơn
+ Lớp C1: bảo vệ an toàn chấp nhận được Yêu cầu phân chia
người dùng và thông tin, định danh và xác thực các thực thể riêng rẽ Lập tài liệu thiết kế thể hiện cách thưc và cơ chế bảo
vệ của hệ thống, tài liệu kiểm tra, hướng dẫn cài đặt và cấu hình hệ thống
+ Lớp C2: Bảo vệ giám sát truy nhập
Trang 11- Người dùng cần được định danh riêng biệt để đảm bảo việc kiểm soát truy nhập và kiểm toán chính xác
- Các cơ chế kiểm soát truy nhập lô-gíc được dùng để thực thi đăng nhập và tính duy nhất của mỗi cá nhân
- Các sự kiện liên quan đến an toàn phải được kiểm toán và bảo
vệ khỏi sửa đổi trái phép
- Kiến trúc hệ thống đảm bảo các hoạt động lên các tài nguyên phải được kiểm toán phù hợp
- Bất kỳ phương tiện lưu trữ nào không để lại dấu vết của các đối tượng sử dụng sau khi được dùng xong
Lớp B: Bảo vệ được thực hiện Dựa trên kiến trúc
Bell-LaPadula
+ Lớp B1: Đặt nhãn an toàn
Mỗi đối tượng dữ liệu chứa nhãn phân loại và mỗi đối tượng phải có nhãn giới hạn (clearance) Khi một đối tượng muốn truy nhập dữ liệu thì nhãn giới hạn của nó được so sánh với nhãn an toàn của dữ liệu
+ Lớp B2: Bảo vệ cấu trúc
- Các chính sách ả được định nghĩa rõ ràng và lập tài liệu, thiết
kế hệ thống và triển khai cần được đánh giá qua các thủ tục kiểm tra kỹ hơn
- Cần cơ chế xác thực nghiêm ngặt hơn và giao tiếp giữa các lớp được xác định rõ ràng
- Kênh tin cậy cho việc đăng nhập và xác thực phải có và kênh này phải được bảo vệ
- Tách bạch chức năng cho người vận hành và người quản trị
- Không gian địa chỉ phải cách ly các chương trình và đảm bảo không tồn tại kênh riêng (covert channel)
Trang 12Lớp A: Bảo vệ được thẩm tra
+ Các phương pháp chính tắc được sử dụng để đảm bảo toàn
bộ các chủ thể và đối tượng được giám sát với các phương pháp kiểm soát truy nhập cần thiết và chấp nhận được (của lớp
B và C)
+Lớp A1: thiết kế được kiểm tra
Kiến trúc và đặc tính bảo vệ không khác nhiều so với B3 song mức đảm bảo của A1 cao hơn nhờ phương pháp chính tắc được
áp dụng trong thiết kế, đặc tả và kỹ thuật kiểm tra
ITSEC F00: Identification and
E01: Configuration management
E02: Vulnerability assessment
E03: Delivery and operation
E04: Life-cycle support
E0 = D E1+F1 = C1 E2+F2 = C2 E3+F3 = B1 E4+F4 = B2E5+F5 = B3 E6+F5 = A1 F6 = Đảm bảo tính toàn vẹn cao
F7 = Đảm bảo tính sẵn sàng cao
F8 = Đảm bảo toàn vẹn khi liên lạc
F9 = Đảm bảo tính bí mật cao
F10 = Mạng lưới đảm bảo yêu cầu cao về tính bí mật
và toàn vẹn
Trang 13E05: Assurance maintenance E06: Development Testing
EAL 6: thiết kế được thẩm tra và kiểm tra bán chính tắc EAL 7: thiết kế được thẩm tra và kiểm tra chính tắc12.Ảnh hưởng của đạo đức tới hành vi sử dụng máy tính
Luật được xây dựng dựa trên đạo đức xác định các hành vi chấp nhận được trong xã hội Tác động vào nhận thức của con người về ý thức những việc mình làm với sự chấp nhận, đánh giá của xá hội
Mười điều răn về đạo đức sử dụng máy tính (Viện đạo đức máy Computer Ethics Institutes)
tính-+ Không được sử dụng máy tính để làm hại người khác
+ Không được can thiệp vào công việc điện toán của người khác
+ Không được rình rập quanh các tệp dữ liệu và máy tính của người khác + Không được dùng máy tính để ăn cắp
+ không được dùng máy tính để sinh ra các bằng chứng giả
+ Không được sao chép hoặc sử dụng phần mềm có chủ sở hữu mà không trả tiền
+ Không dùng trái phép các tài nguyên máy tính của người khác
+ Không được chiếm đoạt kết quả trí tuệ của người khác
+ Phải nghĩ đến hậu quả xã hội khi xây dựng chương trình máy tính hay thiết
kế hệ thống
+ Phải luôn sử dụng máy tính theo cách đảm bảo sự kính trọng và ngưỡng
mộ của các đồng nghiệp
Trang 1413.Các vấn đề sử dụng máy tính với chuyên gia/kỹ thuật viên/người có hiểu biết về máy tính
Mười điều răn về đạo đức sử dụng máy tính (Viện đạo đức máy Computer Ethics Institutes)
tính Không được sử dụng máy tính để làm hại người khác
- Không được can thiệp vào công việc điện toán của người khác
- Không được rình rập quanh các tệp dữ liệu và máy tính của người khác
- Không được dùng máy tính để ăn cắp
- không được dùng máy tính để sinh ra các bằng chứng giả
- Không được sao chép hoặc sử dụng phần mềm có chủ sở hữu mà không trả tiền
- Không dùng trái phép các tài nguyên máy tính của người khác
- Không được chiếm đoạt kết quả trí tuệ của người khác
- Phải nghĩ đến hậu quả xã hội khi xây dựng chương trình máy tính hay thiết kế hệ thống
- Phải luôn sử dụng máy tính theo cách đảm bảo sự kính trọng và ngưỡng
mộ của các đồng nghiệp
14.Thảo luận về các tình huống/hành vi/mô hình an toàn hệ thống
// Câu bài tập
Quản lý an toàn
1 Khái niệm về quản lý an toàn thông tin
Quản lý an toàn thông tin là hoạt động bảo vệ thông tin và các Thành phần thiết yếu bao gồm hệ thống và phần cứng mà sử dụng, lưu trữ, chuyển tiếp thông tin đó cho tới việc áp dụng các chính sách, các chương trình đào tạo và công nghệ Quá trìnhtiếpdiễnliêntụcdo giớihạnvềnguồnnhân
Quá trình tiếp diễn liên tục do giới hạn về nguồn nhân lực và tài chính
Cân bằng giữ anhu cầu đảm bảo an toàn cho các tài nguyên thông tin
và việc thực hiện các hoạt động bình thường của cơ quan
Trang 152 Phân loại các biện pháp kiểm soát
Kiểm soát quản trị: yêu cầu về an toàn, quản lý rủi ro, đào tạo
Kiểm soát kỹ thuật: phần cứng hay phần mềm như tương
Kiểm soát kỹ thuật: phần cứng hay phần mềm như tương lửa, kiểm soát truy nhập, phát hiện xâm nhập
Kiểm soát vật lý: biện pháp bảo vệ các phương tiện, tài sản như nhà xưởng, phòng ốc4
Trang 163 Chức năng cơ bản của các biện pháp kiểm soát
Ngăn chặn (Deterrent): làm nản chí những kẻ tấn công tiềm tàng
Phòng ngừa (Preventive): tránh xảy ra các sự cố
Sửa chữa (Corrective): sửa các phần hay hệ thống sau khi sự cố xuất hiện Phục hồi (Recovery): làm cho toàn bộ môi trường làm việc trở lại bình
thường
Phát hiện (Detective): giúp nhận biết và xác định các sự cố và xâm nhập
Bổ sung (Compensating): cung cấp phương tiện kiểm soát thay thế khác.
4 Các dạng rủi ro cơ bản
- Vật lý: cháy, ngập, thảm họa tự nhiên
- Con người: Hành động bất ngờ hay có chủ ý làm gián đoạn hoạt động sản xuất
- Hỏng thiết bị: Hư hỏng hệ thống hay các thiết bị ngoại vi
- Tấn công từ bên trong và bên ngoài: Bẻ khóa, tấn công
Trang 17- Lạm dụng dữ liệu: Lừa đảo, chia sẻ bí mật thương mại, gián điệp
- Mất dữ liệu: Mất có hay không có chủ ý do sử dụng không được phép
- Lỗi chương trình: Lỗi tính toán, đầu vào, tràn bộ đệm
5 Yêu cầu với nhóm thực hiện quản lý rủi ro
1 Mức rủi ro chấp nhận được mà được xác lập bởi quản lý cấp cao
2 Thủ tục và quy trình đánh giá rủi ro
3 Thủ tục xác định và giảm thiểu rủi ro
4 Nguồn lực phù hợp và phân bổ tài chính từ quản lý cấp cao
5 Đào tạo nhận thức an ninh cho toàn bộ cán bộ/nhân viên cùng với tài sản thông tin
6 Khả năng thiết lập nhóm ứng phó theo lĩnh vực cụ thể khi cần thiết
7 Chỉ rõ các yêu cầu tuân thủ các quy định và luật pháp để kiểm soát và thực hiện các yêu cầu này
8 Phát triển các số đo và chỉ số hiệu năng để đo lường vf quản lý các loại rủi
6 Sự khác biệt giữa đánh giá rủi ro và phân tích rủi ro
phương pháp nhận biết lỗ hổng và
mối đe dọa và đánh giá tác động
có thể để xác định vị trí triển khai
các biện pháp kiểm soát
đảm bảo việc an ninh có chi phí hiệu quả, thích đáng, kịp thời và sẵn sàng phản ứng lại với các đe dọa
Vấn đề an ninh phức tạp: chi phí quá mức, hay không đủ, nhầm biện pháp bảo vệ
