Chương 1. Nghiên cứu một số tiêu chuẩn, quy trình quản lý, đánh giá rủi ro an toàn thông tin 9
1.2 Nghiên cứu tiêu chuẩn quản lý, đánh giá rủi ro an toàn thông tin NIST SP 800-39r1
Tiêu chuẩn quản lý, đánh giá rủi ro an toàn thông tin NIST SP 800-39 là một các tiếp cận quản lý rủi ro theo cấp độ. Các khái niệm cơ bản liên quan đến quản lý rủi ro an toàn thông tin trong một tổ chức bao gồm:
(i) các thành phần của quản lý rủi ro;
(ii) cách tiếp cận quản lý rủi ro đa tầng;
(iii) quản lý rủi ro ở Cấp độ 1 (cấp tổ chức);
(iv) quản lý rủi ro ở Cấp độ 2 (cấp độ sứ mệnh / quy trình kinh doanh);
(v) quản lý rủi ro ở Cấp độ 3 (cấp hệ thống thông tin);
(vi) rủi ro liên quan đến sự tin cậy và đáng tin cậy;
(vii) ảnh hưởng của văn hóa tổ chức đối với rủi ro;
(viii) mối quan hệ giữa các khái niệm quản lý rủi ro chính.
NIST SP800-39 cung cấp một cách tiếp cận có cấu trúc, nhưng linh hoạt để quản lý rủi ro dựa trên cơ sở đánh giá, ứng phó và giám sát rủi ro được cung cấp bởi các tiêu chuẩn và hướng dẫn bảo mật của NIST.
Hình 1.3: Các cấp độ quản lý ATTT
Quản lý rủi ro là một quá trình toàn diện yêu cầu các tổ chức phải: (i) Xây dựng khung rủi ro (nghĩa là thiết lập bối cảnh cho các quyết định dựa trên rủi ro); (ii) đánh giá rủi ro; (iii) ứng phó với rủi ro một khi đã xác định; và (iv) theo dõi rủi ro trên cơ sở liên tục bằng cách sử dụng truyền thông tổ chức hiệu quả và một vòng phản hồi để cải tiến liên tục trong hoạt động liên quan đến rủi ro của các tổ chức.
Hình 1.4: Quy trình quản lý rủi ro và các luồng thông tin
Hình trên minh họa quy trình quản lý rủi ro và các luồng thông tin và truyền thông giữa các thành phần. Mũi tên đen đại diện cho các luồng chính trong quản lý rủi ro xử lý với việc khung rủi ro thông báo cho tất cả các hoạt động tuần tự từng bước chuyển từ đánh giá rủi ro để đáp ứng rủi ro đối với giám sát rủi ro.
Đánh giá rủi ro là quá trình xác định, ước tính và ưu tiên rủi ro bảo mật thông tin.
Đánh giá rủi ro đòi hỏi phải phân tích cẩn thận thông tin về mối đe dọa và tính dễ bị tổn thương để xác định mức độ hoàn cảnh hoặc sự kiện có thể ảnh hưởng xấu đến tổ chức và khả năng xảy ra trường hợp hoặc sự kiện đó.
Một phương pháp đánh giá rủi ro thường bao gồm: (i) một quy trình đánh giá rủi ro; (ii) mô hình rủi ro rõ ràng, xác định các thuật ngữ chính và các yếu tố rủi ro có thể đánh giá được và mối quan hệ giữa các yếu tố; (iii) phương pháp đánh giá (ví dụ: định lượng, định tính hoặc bán định tính), chỉ định phạm vi giá trị mà các yếu tố rủi ro có thể giả định trong quá trình đánh giá rủi ro và cách kết hợp phân tích các yếu tố rủi ro để các giá trị của các yếu tố đó có thể được kết hợp chức năng để đánh giá rủi ro; và (iv) phương pháp phân tích, mô tả các yếu tố rủi ro để đảm bảo mức độ phù hợp của không gian vấn đề ở mức độ chi tiết nhất quán. Phương pháp đánh giá rủi ro được xác định bởi các tổ chức và là một thành phần của chiến lược quản lý rủi ro được phát triển trong bước đóng khung rủi ro của quy trình quản lý rủi ro.
Hình sau minh họa các thành phần cơ bản trong Khung quản lý rủi ro tổ chức và mối quan hệ giữa các thành phần đó.
Hình 1.5: Các thành phần cơ bản trong Khung quản lý rủi ro
Rủi ro là thước đo mức độ mà một thực thể bị đe dọa bởi một tình huống hoặc sự kiện tiềm năng và thường là một chức năng của: (i) các tác động bất lợi sẽ phát sinh nếu tình huống hoặc sự kiện xảy ra; và (ii) khả năng xảy ra.
Phương pháp đánh giá: Rủi ro và các yếu tố của nó có thể được đánh giá theo nhiều cách khác nhau, bao gồm cả định lượng, định tính hoặc bán định lượng.
Đánh giá định lượng thường sử dụng một tập hợp các phương pháp, nguyên tắc hoặc quy tắc để đánh giá rủi ro dựa trên việc sử dụng các con số, trong đó ý nghĩa và tỷ lệ của các giá trị được duy trì bên trong và bên ngoài bối cảnh của đánh giá. Loại đánh giá này hỗ trợ hiệu quả nhất cho các phân tích lợi ích chi phí của các phản ứng rủi ro thay thế hoặc các khóa học hành động.
Đánh giá định tính thường sử dụng một bộ phương pháp, nguyên tắc hoặc quy tắc để đánh giá rủi ro dựa trên các danh mục hoặc cấp độ không số lượng (ví dụ: Rất thấp, Thấp, Trung bình, Cao, Rất cao). Loại đánh giá này hỗ trợ truyền đạt kết quả rủi ro cho những người ra quyết định. uses bins, scales, or representative numbers
Đánh giá bán định lượng thường sử dụng một tập hợp các phương pháp, nguyên tắc hoặc quy tắc để đánh giá rủi ro sử dụng khoảng (bins), thang đo (scales) hoặc số đại diện (representative numbers) có giá trị và ý nghĩa không được duy trì trong các bối cảnh khác.
Loại đánh giá này có thể kế thừa những ưu điểm của đánh giá định lượng và định tính.
Các tiếp cận phân tích: Một cách tiếp cận phân tích có thể là: (i) định hướng mối đe dọa; (ii) tài sản/định hướng tác động; hoặc (iii) dễ bị tổn thương.
Tiếp cận theo hướng đe dọa bắt đầu bằng việc xác định các nguồn đe dọa và các sự kiện đe dọa, và tập trung vào việc phát triển các kịch bản đe dọa; các lỗ hổng được xác định trong bối cảnh các mối đe dọa và đối với các mối đe dọa đối nghịch, các tác động được xác định dựa trên ý định đối nghịch.
Tiếp cận theo hướng tài sản/tác động bắt đầu bằng việc xác định các tác động hoặc hậu quả của mối quan tâm và tài sản quan trọng, có thể sử dụng kết quả của nhiệm vụ hoặc phân tích tác động kinh doanh và xác định các sự kiện đe dọa có thể dẫn đến và / hoặc các nguồn đe dọa có thể tìm kiếm các tác động đó hoặc hậu quả.
Tiếp cận theo hướng dễ bị tổn thương bắt đầu bằng một tập hợp các điều kiện có xu hướng hoặc các điểm yếu / thiếu sót có thể khai thác trong các hệ thống thông tin tổ
chức hoặc môi trường mà các hệ thống hoạt động và xác định các sự kiện đe dọa có thể thực hiện các lỗ hổng đó cùng với các hậu quả có thể xảy ra.
Mỗi phương pháp phân tích đều xem xét các yếu tố rủi ro giống nhau và do đó đòi hỏi cùng một tập hợp các hoạt động đánh giá rủi ro, mặc dù theo thứ tự khác nhau.
NIST 800-39, cung cấp nhiều quan điểm rủi ro từ cấp chiến lược đến cấp chiến thuật. Đánh giá rủi ro truyền thống thường tập trung ở cấp độ 3 (nghĩa là cấp độ hệ thống thông tin) và do đó, có xu hướng bỏ qua các yếu tố rủi ro quan trọng khác có thể được đánh giá phù hợp hơn ở cấp độ 1 hoặc cấp 2 (ví dụ: lỗ hổng trong nhiệm vụ/quy trình nghiệp vụ đối với một mối đe dọa đối nghịch dựa trên các kết nối hệ thống thông tin).
Quy trình đánh giá rủi ro gồm 4 bước: (i) chuẩn bị cho việc đánh giá; (ii) tiến hành đánh giá; (iii) truyền thông kết quả đánh giá; và (iv) duy trì đánh giá. Mỗi bước được chia thành một nhóm các nhiệm vụ. Đối với mỗi nhiệm vụ, hướng dẫn bổ sung cung cấp thông tin bổ sung cho các tổ chức thực hiện đánh giá rủi ro. Hình sau minh họa các bước cơ bản trong quy trình đánh giá rủi ro và các nhiệm vụ cụ thể để thực hiện đánh giá.
Hình 1.6: Quy trình đánh giá rủi ro
Quy trình đánh giá rủi ro ATTT được mô tả cụ thể như trong bảng sau:
Bảng 1.2: Quy trình đánh giá rủi ro
Nhiệm vụ (Task) Mô tả nhiệm vụ (Task description) Bước 1: Chuẩn bị đánh giá (Prepare for Risk Assessment) Nhiệm vụ 1-1: Xác định
mục đích
Xác định mục đích của đánh giá rủi ro theo thông tin mà đánh giá được dự định đưa ra và các quyết định mà đánh giá nhằm hỗ trợ.
Nhiệm vụ 1-2: Xác định phạm vi
Xác định phạm vi đánh giá rủi ro về khả năng áp dụng của tổ chức, khung thời gian được hỗ trợ và cân nhắc về kiến trúc / công nghệ
Nhiệm vụ 1-3: Xác định các đánh giá và hạn chế
Xác định các giả định và ràng buộc cụ thể theo đó đánh giá rủi ro được thực hiện.
Nhiệm vụ 1-4: Xác định nguồn thông tin
Xác định các nguồn thông tin mô tả, đe dọa, dễ bị tổn thương và tác động sẽ được sử dụng trong đánh giá rủi ro.
Nhiệm vụ 1-5: Xác định mô hình rủi ro và tiếp cận phân tích
Xác định mô hình rủi ro và phương pháp phân tích được sử dụng trong đánh giá rủi ro.
Bước 2: Thực hiện đánh giá rủi ro Nhiệm vụ 2-1: Xác định
nguồn gốc
Xác định và mô tả các nguồn đe dọa, bao gồm khả năng, ý định và đặc điểm nhắm mục tiêu cho các mối đe dọa đối nghịch và phạm vi ảnh hưởng đối với các mối đe dọa không đối nghịch
Nhiệm vụ 2-2: Xác định sự kiện
Xác định các sự kiện đe dọa tiềm ẩn, mức độ liên quan của các sự kiện và các nguồn đe dọa có thể bắt đầu các sự kiện.
Nhiệm vụ 2-3: Xác định nhiệm vụ và điều kiện bảo đảm
Xác định các lỗ hổng và các điều kiện có xu hướng ảnh hưởng đến khả năng các mối quan tâm đe dọa dẫn đến các tác động bất lợi
Nhiệm vụ 2-4: Xác định khả năng xảy ra
Xác định khả năng các sự kiện đe dọa gây ra các tác động bất lợi, xem xét:
(i) các đặc điểm của các nguồn đe dọa có thể bắt đầu các sự kiện;
(ii) các lỗ hổng / điều kiện có khuynh hướng được xác định;
và
(iii) tính nhạy cảm của tổ chức phản ánh các biện pháp bảo vệ / biện pháp đối phó được lên kế hoạch hoặc thực hiện để cản trở các sự kiện đó.
Nhiệm vụ 2-5: Xác định các tác động
Xác định các tác động bất lợi từ các sự kiện đe dọa đáng quan tâm, xem xét:
(i) các đặc điểm của các nguồn đe dọa có thể bắt đầu các sự kiện;
(ii) các lỗ hổng / điều kiện có khuynh hướng được xác định;
và
(iii) tính nhạy cảm của tổ chức phản ánh các biện pháp bảo vệ / biện pháp đối phó được lên kế hoạch hoặc thực hiện để cản trở các sự kiện đó
Nhiệm vụ 2-6: Xác định rủi ro
Xác định rủi ro cho tổ chức từ các sự kiện đe dọa cần quan tâm:
(i) tác động sẽ xảy ra từ các sự kiện; và
(ii) khả năng xảy ra sự kiện.
Bước 3: Truyền thông và chia sẻ kết quả đánh giá rủi ro Nhiệm vụ 3-1: Truyền
thông kết quả đánh giá rủi ro
Truyền thông kết quả đánh giá rủi ro cho những người ra quyết định tổ chức để hỗ trợ các phản ứng rủi ro
Nhiệm vụ 3-2: Chia sẻ thông tin liên quan
Chia sẻ thông tin liên quan đến rủi ro được tạo ra trong quá trình đánh giá rủi ro với nhân viên tổ chức phù hợp
Bước 4: Duy trì đánh giá rủi ro Nhiệm vụ 4-1: Giám sát
các yếu tố rủi ro
Tiến hành giám sát liên tục các yếu tố rủi ro góp phần thay đổi rủi ro đối với hoạt động của tổ chức và tài sản, cá nhân, tổ chức khác hoặc quốc gia
Nhiệm vụ 4-2: Cập nhật đánh giá rủi ro
Cập nhật đánh giá rủi ro hiện có