CHƯƠNG 1: QUY TRÌNH QUẢN LÝ RỦI RO VÀ PHƯƠNG PHÁP ĐÁNH GIÁ
1.2. Đánh giá rủi ro hệ thống thông tin
1.2.5. Quy trình thực hiện đánh giá rủi ro
Thông qua phân tích hiện trạng của hệ thống bao gồm mô tả hệ thống, những lần bị
tấn công trong quá khứ, lỗ hổng bảo mật tồn tại, các biện pháp an toàn bảo mật đang dùng, từ đó xác định rủi ro và đánh giá ảnh hưởng của rủi ro tạo nên cho hệ thống, đồng thời đưa ra giải pháp nhằm giảm thiểu rủi ro.
Để xây dựng một phương pháp đánh giá rủi do cho một tổ chức sẽ thường bao gồm:
- Xây dựng và ban hành quy trình đánh giá rủi ro.
- Phương pháp đánh giá, chỉ định phạm vi giá trị mà các yếu tố rủi ro có thể giả định trong quá trình đánh giá rủi ro và cách kết hợp phân tích các yếu tố rủi ro để các giá trị của các yếu tố đó có thể được kết hợp chức năng để đánh giá rủi ro.
- Xác định các thuật ngữ và các yêu tố có thể đánh giá được, mối quan hệ của các yếu tốt đó.
- Mô tả chi tiết các yếu tố để đảm bảo sự phù hợp và tính nhất quán của vấn đề. Phương pháp phấn tích đánh giá rủi ro được xác định trong các cơ quan, tổ chức và nằm trong chiến lược của mỗi đơn vị trong việc quản lý rủi ro.
1.2.5.1. Phương pháp đánh giá
Rủi ro và các yếu tố của nó có thể được đánh giá theo nhiều cách khác nhau, bao gồm cả định lượng, định tính hoặc bán định lượng.
Đánh giá định lượng: Thường sử dụng một tập hợp các phương pháp, nguyên tắc hoặc quy tắc để đánh giá rủi ro dựa trên việc sử dụng các con số, trong đó ý nghĩa và tỷ lệ của các giá trị được duy trì bên trong và bên ngoài bối cảnh của đánh giá. Loại đánh giá này hỗ trợ hiệu quả nhất cho các phân tích lợi ích chi phí của các phản ứng rủi ro thay thế hoặc các khóa học hành động.
Đánh giá định tính: Thường sử dụng một bộ phương pháp, nguyên tắc hoặc quy tắc để đánh giá rủi ro dựa trên các danh mục hoặc cấp độ không số lượng (ví dụ: Rất thấp, Thấp, Trung bình, Cao, Rất cao). Loại đánh giá này hỗ trợ truyền đạt kết quả rủi ro cho những người ra quyết định.
Đánh giá bán định lượng: Thường sử dụng một tập hợp các phương pháp, nguyên tắc hoặc quy tắc để đánh giá rủi ro sử dụng khoảng (bins), thang đo (scales) hoặc số đại diện (representative numbers) có giá trị và ý nghĩa không được duy trì trong các bối cảnh khác. Loại đánh giá này có thể kế thừa những ưu điểm của đánh giá định lượng và định tính.
1.2.5.2. Quy trình thực hiện đánh giá
Bao gồm 4 bước, mỗi bước được chia thành một nhóm các nhiệm vụ. Đối với mỗi nhiệm vụ, hướng dẫn bổ sung cung cấp thông tin bổ sung cho các tổ chức thực hiện đánh giá rủi ro. Hình sau minh họa các bước cơ bản trong quy trình đánh giá rủi ro và các nhiệm vụ cụ thể để thực hiện đánh giá.
Hình 1.5 - Các bước cơ bản trong quy trình đánh giá rủi ro Bảng dưới đây là tổng hợp các nhiệm vụ đánh giá rủi ro:
Nhiệm vụ (Task) Mô tả nhiệm vụ (Task description) Bước 1: Chuẩn bị đánh giá (Prepare for Risk Assessment)
Nhiệm vụ 1-1: Xác định mục đích
Xác định mục đích của đánh giá rủi ro theo thông tin mà đánh giá được dự định đưa ra và các quyết định mà đánh giá nhằm hỗ trợ.
Nhiệm vụ 1-2: Xác định phạm vi
Xác định phạm vi đánh giá rủi ro về khả năng áp dụng của tổ chức, khung thời gian được hỗ trợ và cân nhắc về kiến trúc / công nghệ
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống
Nhiệm vụ 1-3: Xác định các đánh giá và hạn chế
Xác định các giả định và ràng buộc cụ thể theo đó đánh giá rủi ro được thực hiện.
Nhiệm vụ 1-4: Xác định nguồn thông tin
Xác định các nguồn thông tin mô tả, đe dọa, dễ bị tổn thương và tác động sẽ được sử dụng trong đánh giá rủi ro.
Nhiệm vụ 1-5: Xác định mô hình rủi ro và tiếp cận phân tích
Xác định mô hình rủi ro và phương pháp phân tích được sử dụng trong đánh giá rủi ro.
Bước 2: Thực hiện đánh giá rủi ro Nhiệm vụ 2-1: Xác
định nguồn gốc
Xác định và mô tả các nguồn đe dọa, bao gồm khả năng, ý định và đặc điểm nhắm mục tiêu cho các mối đe dọa đối nghịch và phạm vi ảnh hưởng đối với các mối đe dọa không đối nghịch
Nhiệm vụ 2-2: Xác định sự kiện
Xác định các sự kiện đe dọa tiềm ẩn, mức độ liên quan của các sự kiện và các nguồn đe dọa có thể bắt đầu các sự kiện.
Nhiệm vụ 2-3: Xác định nhiệm vụ và điều kiện bảo đảm
Xác định các lỗ hổng và các điều kiện có xu hướng ảnh hưởng đến khả năng các mối quan tâm đe dọa dẫn đến các tác động bất lợi
Nhiệm vụ 2-4: Xác định khả năng xảy ra
Xác định khả năng các sự kiện đe dọa gây ra các tác động bất lợi, xem xét: (i) các đặc điểm của các nguồn đe dọa có thể bắt đầu các sự kiện; (ii) các lỗ hổng / điều kiện có khuynh hướng được xác định; và (iii) tính nhạy cảm của tổ chức phản ánh các biện pháp bảo vệ / biện pháp đối phó được lên kế hoạch hoặc thực hiện để cản trở các sự kiện đó
Nhiệm vụ 2-5: Xác định các tác động
Xác định các tác động bất lợi từ các sự kiện đe dọa đáng quan tâm, xem xét: (i) các đặc điểm của các nguồn đe dọa có thể bắt đầu các sự kiện; (ii) các lỗ hổng / điều kiện có khuynh hướng được xác định; và (iii) tính nhạy cảm của tổ chức phản ánh các biện pháp bảo vệ / biện pháp đối phó được lên kế hoạch hoặc thực hiện để cản trở các sự kiện đó
Nhiệm vụ 2-6: Xác định rủi ro
Xác định rủi ro cho tổ chức từ các sự kiện đe dọa cần quan tâm: (i) tác động sẽ xảy ra từ các sự kiện; và (ii) khả năng xảy ra sự kiện
Bước 3: Truyền thông và chia sẻ kết quả đánh giá rủi ro Nhiệm vụ 3-1: Truyền
đạt kết quả đánh giá rủi ro
Truyền đạt kết quả đánh giá rủi ro cho những người ra quyết định tổ chức để hỗ trợ các phản ứng rủi ro
Nhiệm vụ 3-2: Chia sẻ thông tin liên quan
Chia sẻ thông tin liên quan đến rủi ro được tạo ra trong quá trình đánh giá rủi ro với nhân viên tổ chức phù hợp
Bước 4: Duy trì đánh giá rủi ro
Nhiệm vụ 4-1: Giám sát các yếu tố rủi ro
Tiến hành giám sát liên tục các yếu tố rủi ro góp phần thay đổi rủi ro đối với hoạt động của tổ chức và tài sản, cá nhân, tổ chức khác hoặc quốc gia Nhiệm vụ 4-2: Cập
nhật đánh giá rủi ro
Cập nhật đánh giá rủi ro hiện có