bai giang duwa tren slide cua ahmed moussa
TRANSCRIPT
AN TOÀN THÔNG TIN(INFORMATION SECURITY)
AN TOÀN THÔNG TIN
Người trình bày: Đàm Lê AnhHiệp hội An toàn thông tin Việt nam - VNISA
Thông tin là gì?
An toàn thông tin là gì?
Rủi ro là gì?
Hướng dẫn về các tiêu chuẩn cho Công nghệ thông tin
Các trách nhiệm của người sử dụng
CÁC NỘI DUN
G CHÍN
H
2
‘Thông tin là một Tài sản như các Tài sản quan trọng khác trong công việc – Có giá trị với tổ chức và cần được thường
xuyên bảo vệ một cách phù hợp’‘Information is an asset which, like other
important business assets, has value to an organization and consequently needs
to be suitably protected’
BS ISO 27002:2005
Thông tin
3
Vòng đời của Thông tin
Thông tin có các trạng thái… Khởi tạo
Lưu trữ
Tiêu hủy
Xử lý
Truyền phát
Sử dụng, khai thác (Mục đích riêng–mục đích chung)
Bị hỏng
Mất
Đánh cắp
4
CÁC DẠNG GHI NHẬN THÔNG TIN
TYPES
In ra giấy
Lưu giữ dưới dạng bản ghi điện tử
Truyền phát dưới dạng điện tử
Xem dưới dạng băng video
Hiển thị, đăng tải trênWeb
Truyền miệng
‘Bất kỳ định dạng nào của thông tin được lưu giữ và chia sẻ cần luôn được bảo vệ thích đáng’
…Whatever form the information takes, or means by which it is shared or stored, it should always be appropriately protected’
(BS ISO 27002:2005)
5
AN TOÀN THÔNG TIN
An toàn thông tin là gì?
An toàn thông tin: các đối tượng Tài sản thông tin tránh khỏi mọi sự nguy hiểm
An toàn thông tin được thực hiện dựa trên một loạt kế hoạch hành động
An toàn thông tin được thực hiện đồng thới trên một loạt kế hoạch hành động hoặc phối hợp với các kế hoạch khác
An toàn thông tin được coi như cần thiết để bảo vệ các tiến trình chính cũng như hệ thống có chứa các tiến trình đó
An toàn thông tin không chỉ là cái gì đó phải mua mà là việc bạn phải làm.
6
An toàn thông tin là việc phối hợp thống nhất của các công cụ, các hệ thống, các giải pháp, phần mềm, cảnh báo và dò quét các lỗ hổng bảo mật
An toàn thông tin là gì?
ATTT là tất cả các yếu tố trên và không được coi chỉ có thiết bị và công cụ
Giám sát 24X7X365
Bao hàm cả yếu tố con người, quy trình, Công nghệ, Chính sách, Thủ tục (People, Processes, Technology, policies, procedures,)
AN TOÀN THÔNG TIN
04/13/2023
7Mohan Kamat
Các thành phần
Con người
Quy trình
CÔNG NGHỆ
Cán
bộ cô
ng n
hân
viên, n
gười lao
động
Quy trìn
h làm
việc
Côn
g n
ghệ đ
ược tổ
chức sử
dụng
Con
người
Con người – Chúng ta là ai?
Con người khai thác sử dụng hoặc có liên quan đến thông tin bao gồm: Sở hữu hoặc đồng sở hữu thông tin Quản trị thông tin Người lao động, cán bộ công nhân viên Đối tác Các nhà cung cấp dịch vụ Nhà thầu Khách hàng Lãnh đạo các cấp
04/13/2023
9Mohan Kamat
Quy trình – Chúng ta làm gì?
Quy trình được hiểu như các công việc thực tế, các tiến trình công việc. Quy trình bao gồm các bước làm việc lặp đi lặp lại nhằm hoàn thành các công việc cụ thể. Các nghiệp vụ ứng dụng Công nghệ thông tin thường chứa đựng rất nhiều quy trình
Quản trị dịch vụ Quản trị lỗi Quản trị thay đổi Thực hiện hoàn thiện yêu cầu Quản trị Tài sản Quản trị nhận dạng xác thực Quản trị hợp đồng dịch vụ Quản trị mua sắm...
Quy trình
10
Công nghệ - Công cụ nâng cao hiệu quả nghiệp vụ
Cơ sở hạ tầng mạng: Cáp, mạng thoại, mạng số liệu cùng các thiết Dịch vụ viễn thông, VoIP, mạng truyền số liệu, Video
Conferencing… Máy chủ và các thiết bị lưu trữ số liệu Các phần mềm trên máy chủ Thiết bị thông tin liên lạc, Các kết nối Internet và mạng dùng riêng Mạng riêng ảo (VPNs) and các môi trường ảo hóa Dịch vụ truy cập từ xa Kết nối không dây
CÔNG NGHỆ
04/13/2023
11Mohan Kamat
CÔNG NGHỆ
Phần mềm ứng dụng: Hệ thống tài chính, quản trị Tài sản (Kế toán, thống kê, nhân sự, các
hệ thống kiểm soát, đánh giá báo) Dịch vụ phần mềm (khai thác và xây dựng)…
Bảo mật ở mức vật lý: Máy quay bảo vệ (CCTV) Đồng hồ hệ thống, thiết bị an toàn sinh trắc( vân tay, mống mắt, …) Hệ thống kiểm soát môi trường (Điều hòa nhiệt độ, độ ẩm, quạt gió,
báo cháy) Điện lưới và nguồn điện dự phòng
Các thiết bị Máy tính để bàn Máy tính xách tay, thiết bị di động, máy tính bảng Máy quay KTS, máy in, máy quét ảnh, máy sao chụp tài liệu...
04/13/2023
12Mohan Kamat
Công nghệ - Công cụ nâng cao hiệu quả nghiệp vụ
1. Bảo vệ thông tin trước các đe dọa2. Đảm bảo nghiệp vụ được liên tục3. Giảm thiểu mất mát tài chính4. Tối ưu hóa đầu tư5. Gia tăng các cơ hội trong công việc
An toàn thông tin
An toàn thông tin có ý nghĩa sống còn với các tổ chức
An toàn thông tin
04/13/2023
13Mohan Kamat
ISO 27002:2005 mô tả An toàn thông tin như sự đảm bảo
các thuộc tính sau của thông tin:
– Tính mật - ConfidentialityĐảm bảo chỉ thông tin không cung cấp cho những người những người không được phép
– Tính toàn vẹn - Integrity
Đảm bảo thông tin đầy đủ và chính xác.
– Tính Sẵn sàng - Availability
Đảm bảo chỉ người, tiến trình được phép mới có thể truy cập vào Tài sản thông tin khi cần thiết
An toàn thông tin
04/13/2023
14Mohan KamatCIA
• Mất uy tín, thương hiệu
• Thiệt hại tài chính
• Mất mát sở hữu trí tuệ
• Vi pham pháp luật (Luật An toàn thông tin)
• Mất thông tin cá nhân
• Tăng chi phí do gián đoạn kinh doanh
Vi phạm An toàn thông tin sẽ dẫn đến các hậu quả…
MẤT UY TÍN04/13/2023
15Mohan Kamat
• An toàn thông tin là vấn đề tổ chức hơn là vấn đề của Công nghệ thông tin
• Hơn 70% nguy cơ xuất phát từ bên trong tổ chức
• Hơn 60% người vi phạm đầu là lần vi phạm đầu tiên
• Rủi ro lớn nhất: Con người
• Tài sản lớn nhất: Con người
• Các sinh hoạt xã hội là mối đe dọa chính
• Hơn 2/3 các người quản trị nói “Không biết hệ thống của mình có mất an toàn không?”
An toàn thông tin
04/13/2023
16Mohan Kamat
Rủi ro là gì
Rủi ro là gì?
Rủi ro: Là khả năng mà một mối đe dọa khai thác một lỗ hổng trong một Tài sản và gây thiệt hại hoặc mất mát cho Tài sản
Mối đe dọa: Là điều có thê gây ra thiệt hại cho tổ chức, hệ thống Công nghệ thông tin hoặc mạng máy tinhd.
Lỗ hổng: Là một điểm yếu trong tổ chức, hệ thống Công nghệ thông tin hoặc mạng máy tính mà có thể khai thác bởi một mối đe dọa.
17
Mối quan hệ giữa Mối đe dọa, Rủi ro, Điểm yếu
Mối đe dọaMối đe dọa Điểm yếuĐiểm yếuKhai thác
* Biện pháp quản lý : là các hành động thực tế, các thủ tục, cơ chế giảm thiểu rủi ro
Rủi roRủi ro
Giá trị Tài sảnGiá trị Tài sảnYêu cầu cần bảo vệYêu cầu cần bảo vệ
Gia tăng Gia tă
ng
Tài sản Thông tinTài sản Thông tinBiện pháp quản lý*
Biện pháp quản lý*
Lộ đ
iểm
yếuC
hống lai
reduce
Chứa
Làm giảmHiển thịTạo ra
18
Mô tả mối đe dọa
Mô tả mối đe dọa
Các tác nhân chính gây ra mối đe dọa
Con người
Máy móc, thiết bị
Thiên nhiên (lụt lội, hỏa hoạn, độ ẩm…)
04/13/2023
19Mohan Kamat
Mô tả mối đe dọa
Các Lý do
Lý do: là điều kích hoạt các tác nhân hoạt động.
Tình cờ, ngẫu nhiên
Cố ý
Do con người (tình cờ, cố ý)
Mô tả mối đe dọa
04/13/2023
20Mohan Kamat
Mô tả mối đe dọa
Các yếu tố của mối đe dọa
Tính mật-Confidentiality
Toàn vẹn-Integrity
Sẵn sàng-Availability
Mô tả mối đe dọa
04/13/2023
21Mohan Kamat
CIA
Các mối đe dọa
• Người lao động
• Từ bên ngoài
• Nhận thức yếu về An toàn thông tin
• Sự lớn mạnh của mạng máy tính và các giải pháp xử lý phân tán
• Gia tăng các công cụ phá hoại trên mạng (hack), virus máy tính
• Thảm họa tự nhiên : Hỏa hoạn, lụt lội, động đất…
Các mối đe dọa
04/13/2023
22Mohan Kamat
Nguồn gốc của các mối đe dọa
Nguồn gốc Lý do Mối đe dọa
Hacker bên ngoài •Thách đố•Tự tôn•Trò chơi
•Hack các hệ thống•Khai thác các mối quan hệ xã hội với các công cụ•Khái thác các thông tin đã bị loại bỏ
Hacker bên trong nội bộ
Thúc ép tiến độ Vấn đề tài chínhHết cảm hứng với công việc
Backdoors Click Fraud Tài liệu hồ sơ nghèo nàn
Khủng bố Trả thù Chính trị
Tấn công hệ thốngKhai thác các mối quan hệ xã hội Bom thưViruses Tấn công từ chối dịch vụ DOS
Đào tạo chưa đầy đủ Sai sót không chủ ýLập trình saiNhập liệu sai
Phá hoại số liệuMã độcLỗi hệ thốngTruy nhập trai phép
TT Phân loại mối đe dọa Ví dụ
1 Lỗi do con người Ngẫu nhiên do nhân viên gây ra
2 Vấn đề bản quyền, sở hữu trí tuệ Vi phạm bản quyền
3 Cố ý phá hoại gián điêp Truy nhập trái phép, ưn cắp số liêu
4 Hành vi cố ý tống tiền Ăn cắp thông tin Công bố thông tin riêng tư, Thư lừa đảo
5 Hành vi cố ý phá hoại Phá hoại thông tin, phá hoại hệ thống
6 Hành vi cố ý trộm cắp Ăn trộm thiết bị
7 Phát tán phầm mềm tấn công Viruses, worms, macros Denial of service
8 Sai lệch chất lượng dịch vụ Nguồn điện, mạng nội bộ, mạng Internet
9 Thảm họa thiên nhiên Cháy , lụt lội, động đất, sóng thần…
10 Lỗi ký thuật phần cứng Hư hỏng thiết bị
11 Lỗi kỹ thuật phần mềm Mã lỗi, Bugs, lập trình có mã lỗi, lỗ hổng bảo mật không xác định
12 Công nghệ cũ
04/13/2023 24Mohan Kamat
Người sử dụng hiểu biết nhiều về
IT
Trộm cắp, phá hoại, lạm dụng
Tấn công do Virus
Lỗi mạng và hệ thống
Thiếu tài liệu, hồ sơ
Công tác bảo vệ mức vật lý
chưa đủ
Các nguyên nhân thiên tai
Rủi ro & Mối đe
dọa
04/13/2023
25Mohan Kamat
Vậy chúng ta phải làm gì để vượt qua các vấn đề trên?
04/13/2023
26Mohan Kamat
Trước 1990• BSI ban hành các bản hướng dẫn thực tế đảm bảo An toàn
thông tin
1995• BS 7799 được ban hành và là chuẩn An toàn thông tin của Vương quốc Anh
1999• BS 7799 - 1:1999 ban hành lần 2
2000 • BS 7799 - 1 Được ISO chấp nhận là chuẩn quốc tê ISO 17799• BS 7799-2:2002 Được phát hành
Giới thiệu về
ISO 2700
1
Lịch sử ISO 27001
04/13/2023
27Mohan Kamat
• ISO 27001:2005
Information technology — Security techniques — Information security management systems — Requirements
Giới thiệu về
ISO 2700
1
• ISO 27002:2005
Information technology — Security techniques — Code of practice for information security management
Lịch sử
04/13/2023
28Mohan Kamat
ISO 27001: Là tiêu chuẩn quốc tế áp dụng cho tất cả các hình thức tổ chức (Công y thương mại, tổ chức chính phủ, tổ chức phi chính phủ). Tiêu chuẩn này mô tả yêu cầu cần thiết để thiết lập, triển khai, vận hành, giám sát, quản trị, và phát triển một Hệ thống đảm bảo An toàn thông tin (ISMS) với mục đích vượt qua các rủi ro trong nghiệp vụ. ISO 27001 mô tả yêu cầu cho việc triển khai các khâu kiểm soát theo đúng các nhu cầu của tổ chức cũng như của từng bộ phận trong tổ chức. Hệ thống đảm bảo An toàn thông tin (ISMS) được thiết kế để đảm bảo việc lựa chọn các khâu điểu chỉnh đầy đủ và hợp lý mà vẫn bảo vệ các Tài sản thông tin và bảo mật cho các bên sử dụng Tài sản này.
ISO 27001ISO 27001
04/13/2023
29Mohan Kamat
Các điểm chính chính của ISO 27001 • Hoạch định – Thực hiện – Xem xét lại – Hiệu
chỉnh nâng cấp Plan, Do, Check, Act (PDCA) Process Model
• Tiếp cận dựa trên Quy trình nghiệp vụ• Thúc đẩy quá trình nâng cấp hệ thống• Phạm vi bao gồm không chỉ An toàn trong Công
nghệ thông tin mà toàn bộ vấn đề về thông tin.• Bao gồm Con người, Quy trình, Công nghệ
Covers People, Process and Technology PPT• Hơn 7400 tổ chức trên toàn có chứng nhận• Bao gồm 11 vùng, 39 nhóm biện pháp quản lý,
133 biện pháp quản lý
Các điểm chính
Các điểm chính của ISO 27001
04/13/2023
30Mohan Kamat
InterestedParties
InterestedParties
InformationSecurity
Requirements&
Expectations
InformationSecurity
Requirements&
Expectations
PLANEstablish
ISMS
PLANEstablish
ISMS
CHECKMonitor &
Review ISMS
CHECKMonitor &
Review ISMS
ACTMaintain &Improve
ACTMaintain &Improve
Management ResponsibilityManagement Responsibility
ISMS PROCESS
Quy trình PDCA
InterestedParties
InterestedParties
ManagedInformation
Security
ManagedInformation
Security
DOImplement &Operate the
ISMS
DOImplement &Operate the
ISMS
PDCAPROCE
SS
04/13/2023 31Mohan Kamat
P D C A
Chính sách An toàn thông tin
Tổ chức nội bộ
Quản lý tài sản
Đảm bảo An toàn thông tin từ nguồn nhân
lực
Đảm bảo an toàn vật lý và
môi trường
Quản lý truyền thông và vận
hành
Quản lý truy cập
Tiếp nhận, phát triển duy
trì các hệ thống thông
tin
Quản lý sự cố An toàn thông
tin
Quản lý sự liên tục của hoạt động nghiệp vụ
Quản lý sự tuân thủ
Bảo m
ậtToàn vẹn
Sẵn sàng
Các Vùng biện pháp quản lý
33
• Chính sách An toàn thông tin – Định hướng quản lý và hỗ trợ đảm bảo An toàn thông tin.
• Tổ chức nội bộ – Nhằm quản lý An toàn thông tin bên trong tổ chức.
• Quản lý tài sản – Nhằm hoàn thành và duy trì các biện pháp bảo vệ thích hợp đối với tài sản thông tin của tổ chức.
• Đảm bảo An toàn thông tin từ nguồn nhân lực – Đảm bảo nhân viên, người của nhà thầu và bên thứ ban hiểu rõ trách nhiệm của mình và phù hợp với vai trò giảm thiểu với các rủi ro do đánh cắp, gian lận lạm dụng chức năng, quyền hạn
• Đảm bảo an toàn vật lý và môi trường – Nhằm ngăn chặn sự truy cập vật lý, làm hư hại và cản trở thông tin và tài sản của tổ chức
04/13/2023
34Mohan Kamat
Các Vùng biện pháp quản lý
• Quản lý truyền thông và vận hành – Nhằm đảm bảo sự vận hành các phương tiện xử lý thông tin đúng đắn và an toàn
• Quản lý truy cập – Quản lý truy cập thông tin và các quá trình cơ sở xử lý thông tin.
• Tiếp nhận, phát triển và duy trì các hệ thống thông tin – Bảo đảm An toàn thông tin là phần không thể thiếu trong các hệ thống thông tin
• Quản trị các sự cố ATTT - Nhằm đảm bảo các sự kiện An toàn thông tin và các điểm yếu liên quan tới các hệ thống thông tin được trao đổi để các hành động khắc phục được tiến hành tạm thời.
04/13/2023
35Mohan Kamat
Các Vùng biện pháp quản lý
•Quản lý sự liên tục của hoạt động nghiệp vụ - Chống lại các gián đoạn trong hoạt động nghiệp vụ và bảo vệ các quá trình hoạt đôngh trọng yếu khỏi các ảnh hưởng do lỗi hệ thống thông tin hay các thảm họa và đảm bảo khả năng khôi phục các hoạt động bình thường
•Sự tuân thủ: - Nhằm tránh sự vi phạm pháp luật, quy định, nghĩa vụ theo các hợp đồng đã ký kết và tránh sự vi phạm các yêu cầu về đảm bảo An toàn thông tin To avoid breaches of any criminal and civil law, statutory, regulatory or contractual obligations and of any security requirements.
04/13/2023
36Mohan Kamat
Các Vùng biện pháp quản lý
PLANEstablish
ISMS
PLANEstablish
ISMS
CHECKMonitor &
Review ISMS
CHECKMonitor &
Review ISMS
ACTMaintain &
Improve
ACTMaintain &
Improve
DOImplement &Operate the
ISMS
DOImplement &Operate the
ISMS
CHÍNH SÁCH An toàn thông tin
Tổ chức nội bộ trong công tác An toàn thông
tin
Mô tả tài sản & phân loại
Lựa chọn giải pháp quản lý & Triển
khai
Thực hiên các quy trình
Quản lý các việc kiểm soát xem xét lại hệ thống
Hiệu chỉnh quy trình & Phòng
ngừa
Xem xét lại các quy trình
Chu trình triển khai các quy trình
04/13/2023
37Mohan Kamat
Lợi ích
• Ở mức độ tổ chức – Cam kết• Ở mức độ pháp lý – Sự tuân thủ• Ở mức độ quản lý – Quản lý rủi ro• Ở mức đọ thương mại – Tin cậy và bảo mật• Ở mức độ tài chính - Giảm giá thành• Ở mức độ con người(nhân văn)- nâng cao
nhận thức
04/13/2023
38Mohan Kamat
CÁC LỢI ÍCH
Trách nhiệm
04/13/2023
39Mohan Kamat
TRUNG TÂM CỦA HỆ THỐNG LÀ
CON NGƯỜI
Trách nhiệm cá nhân
Chính sách An toàn thông tin
•Chính sách An toàn thông tin phải được người đứng đầu tổ chức phê duyệt và ban hành
•Công bố đến các cá nhân trong Tổ chức
04/13/2023
40Mohan Kamat
Phân loại
Tài sản
Thông tin
Mật:Nếu các thông tin bị rò rỉ ra ngoài tổ chức sẽ gây ảnh hưởng đến tài chính, mất hình ảnh uy tín của tổ chức sẽ được xếp loại thông tin mật. Các thông tin nếu lộ, mất sẽ là phanmj luật cũng được coi là MậtCần giới hạn truy cập thông tin này, việc giới hạn theo nguyên tăc “nếu cần thiêt mới được biết” Việc công khai thông tin cần được sự cho phép của chủ thông tin. Trong trường hợp thông tin này cần thông báo cho bên thứ ba cần phải ký hợp đồng bảo mật. (Ví dụ: Hợp đồng, thông tin nhân sự, cấu hình mạng máy tính….)
Thông tin nội bộ:: Nếu thông tin lộ ra ngoài thiệt hại tài chin, uy tín không đáng kể hoặc chỉ chút ít bối rối thì thông tin này nên xếp vào loại thông tin nội bộ. Các Tài sản loại này co thể như: Kê hoachm chính sách chung, tài liệu huấn luyện
Thông tin rộng rãi: Là thông tin nếu lộ sẽ không có ảnh hưởng gì. Việc công bố các thông tin phải được phép (theo pháp luật và quy định của tổ chức). Các thông tin như quảng cáo, tờ rơi,… thuộc loại thông tin này
04/13/2023
41Mohan Kamat
Phân loại tài sản thông tin
Tính mật – Tài sản Thông tin
Yêu cầu bảo mật Giải thíchThấp Thông tin không nhạy cảm cho phép công khai. Việc
công khai Thông tin này không ảnh hưởng đến Tổ chức. Ví du: các báo nội bộ, thông tin chung trên Website
Trung bình Thông tin của công ty không được tiết lộ ra ngoài hay cho bên thứ ba. Việc tiết lộ sẽ gây tác hại không lớn cho Tổ chứcVí dụ: Sơ đồ tổ chức, Sổ điện thoại nội bộ
Cao Thông tin rất nhạy cảm hoặc riêng tư hoặc các dữ liệu có giá trị lớn của Tổ chức chỉ một số cá nhân được biết. Việc lộ Thông tin này có thể nguy hại đến Tổ chức (Ví dụ: Thông tin về giá, chiến lược của công ty…)
Tính chất đảm bảo mọi thực thể được phép có thể truy cập và sử dụng theo yêu cầu
Phân loại Tài sảnThông tin
04/13/2023
42Mohan Kamat
Tính toàn vẹn – Tài sản Thông tin
Yêu cầy về tính toàn
vẹn Giải thíchThấp Tác động tối thiểu đến kinh doanh khi số
liệu bị sai lệch
Trung bình Nếu số liệu bị sai lệch sẽ dẫn đến tác động đáng kể đến kết quả kinh doanh
Cao Việc sai lệch số liệu không được phép chấp nhận
Tính chất đảm bảo sự chính xác và đầy đủ của các tài sảnTính toàn vẹn bị mất nếu thay đổi trái phép hoặc hành vi vô tình hay hữu ý xảy ra trên dữ liệu hoặc hệ thống Công nghệ thông tin.Nếu sự toàn vẹn của dữ liệu không thể khôi pục được ta phải sử dụng các số liệu sai lệch sẽ dẫn đến ra các quyết định thiếu chính xác, sai lầm thậm chí bị coi là lừa đảo.
Phân loại Tài sảnThông tin
04/13/2023
43Mohan Kamat
Tính Sẵn sàng của tài sản Thông tin
Yêu cầu độ sẵn sàng Giải thích
Thấp Thông tin cung cấp được trong 7 ngày
Trung bình Thông tin cung cấp được trong 48 giờ
Cao Thông tin cung cấp được tức thì
Tính sẵn sàng được hiểu như khả năng cung cấp thông tin sớm khi có yêu cầu.Khi thông tin không sẵn sàng các nghiệp vụ sẽ bị ảnh hưởng
Phân loại Tài nguyênThông tin
04/13/2023
44Mohan Kamat
Các tài sản phi thông tin
Thông tin được xủ lý với sự hỗ trợ của công nghệ. Các tài sản. Các tài sản cung cấp các dịch vụ giúp chúng ta khởi tạo, xử lý, kết xuất, lưu trữ Thông tin là tài sản loại này. Tài sản này cần được xác định và đánh giá mức độ quan trọng.
Các tài sản không mang thông tin
04/13/2023
45Mohan Kamat
Tính mật của tài sản phi thông tin
Tính mật được xác định được bởi các tính năng của tài sản được sử dụng trong nghiệp vụ mà thông tin được khởi tạo, xư lý
Yêu cầu bảo mật Giải thíchThấp Các tài sản xử lý hay lưu trữ các thông tin có
độ mật thấp sẽ có tính mật thâp
Trung bình Các tài sản xử lý hay lưu trữ các thông tin có độ mật trung bình sẽ có tính mật trung bình
Cao Các tài sản xử lý hay lưu trữ các thông tin có độ mật cao sẽ có tính mật cao.
04/13/2023
46Mohan Kamat
Các tài sản không mang thông tin
Tính toàn vẹn của tài sản phi thông tin
Tính toàn vẹn được xác đinh bởi độ tin cậy của các tài sản trong hoạt đông nghiệp vụ và yêu cầu về tính toàn vẹn của thông tin được lưu trữ hay xử lý trong tài sản đó.
Yêu cầu về tính toàn vẹn Giải thíchThấp •Độ tin cậy của các dịch vụ mà tài sản cung cấp thấp
•Thông tin được xử lý hay lưu trữ trong tài sản có yêu cầu về độ toàn vẹn là thấp
Trung bình •Độ tin cậy của các dịch vụ mà tài sản cung cấp là Trung bình•Thông tin được xử lý hay lưu trữ trong tài sản có yêu cầu về độ toàn vẹn là Trung bình.
Cao •Độ tin cậy của các dịch vụ mà tài sản cung cấp là Cao•Thông tin được xử lý hay lưu trữ trong tài sản có yêu cầu về độ toàn vẹn là Cao.
04/13/2023
47Mohan Kamat
Các tài sản không mang thông tin
NON INFO ASSETCLASSIFICATIO
N
Tính sẵn sàng của tài sản phi thông tin
Tính sẵn sàng được xác định bởi ảnh hưởng của tài sản khi nó không sẵn sàng cung cấp dịch vụ Availability factor is to be determined on the basis of impact of non availability of the asset on the business process. This table provides a guideline to identify the Availability requirements and its link to Classification label.
Yêu cầu tính sẵn sàng Giải thích
Low •Khi tài sản không sẵn sàng ảnh hưởng thấp đến nghiệp vụ•Thông tin được xủ lý lưu trữ trong tài sản hoặc dịch vụ mà tài sản cung cấp là thấp
Medium •Khi tài sản không sẵn sàng ảnh hưởng trung bình đến nghiệp vụ•Thông tin được xủ lý lưu trữ trong tài sản hoặc dịch vụ mà tài sản cung cấp là trung bình
High •Khi tài sản không sẵn sàng ảnh hưởng cao đến nghiệp vụ•Thông tin được xủ lý lưu trữ trong tài sản hoặc dịch vụ mà tài sản cung cấp là cao
04/13/2023
48Mohan Kamat
Phân loai Tài nguyên Con người
Tài nguyên con người
Thông tin được truy cập hoặc xử lý bởi những người từ bên trong tổ chức cũng như những người có liên quan để tổ chức cho các yêu cầu nghiệp vụ. Việc xác định rõ những người bên trong tổ chức cũng như những người bên ngoài nhưng cùng sử dụng tài sản Thông tin cũng trở nên cần thiết Việc cấp quyền được cấp bởi người đứng đầu bộ phận quản lý nghiệp vụ (QA)
Tài nguyên con người có thể gồma. Nhân viênb. Nhân viên hợp đồngc. Đối tác và nhân viên của họ
04/13/2023
49Mohan Kamat
Tính mật với tài nguyên con ngườiYêu cầu bảo
mật Giải thíchThấp Các vị trí chỉ khai thác thông tin công khai, Khi
họ vi phạm sẽ không ảnh hưởng lắm đến nghiệp vụ
Trung bình Các vị trí khai thác thông tin Nội bộ và công khai. Khi họ vi phạm sẽ gây ra các thiệt hại không lớn
High Các vị trí khai thác tất cả các thông tin bao gồm cả thông tin Mật hay các tài sản Công nghệ thông tin quan trọng. Khi họ vi phạm sẽ gây ra các thiệt hại lớn
Tài nguyên con người
04/13/2023
50Mohan Kamat
Tính toàn vẹn của tài nguyên con người
Yêu cầu về tính toàn vẹn Giải thích
Thấp Các vị trí có quyền hạn chế thay đổi các Thông tin thuộc loại “công khai” hay “Nội bộ” và các thao tác của họ được quản lý. Khi họ vi phạm tạc động không lớn đên tổ chức.
Trung bình Các vị trí có quyền hạn chế thay đổi các Thông tin thuộc loại “công khai” hay “Nội bộ” và các thao tác của họ được quản lý. Khi họ vi phạm tạc động với mức đọ vừa phải đên tổ chức.
High Các vị trí có quyền hạn chế thay đổi các Thông tin thuộc loại “Mật” hay thay đổi cấu hình các tài sản Công nghệ thông tin quan trọng và các thao tác của họ được quản lý. Khi họ vi phạm tạc động lớn đên tổ chức.
Tai nguyên con người
04/13/2023
51Mohan Kamat
Tính sẵn sàng của tài nguyên con người
Yêu cầu về tính sẵn
sàng Giải thíchThấp Các cá nhân khi vắng mặt họ sẽ không
ảnh hưởng đến hoạt động nghiệp vụ.
Trung bình Các cá nhân khi vắng mặt họ sẽ ảnh hưởng mức trung bình đến hoạt động nghiệp vụ.
Cao Các cá nhân khi vắng mặt họ sẽ không ảnh hưởng lớn đến hoạt động nghiệp vụ.
04/13/2023
52Mohan Kamat
Tai nguyên con người
Trách nhiệm cá nhân
Kiểm soát truy nhập mức vật lý
• Tuân thủ các quy trình Bảo mật• Luôn đeo thẻ ngành Wear Identity Cards and Phù hiệu• Yêu cầu khách cung cấp thông tin• Yêu cầu khách chỉ đến khu vực Tiếp tân và Phòng họp
• Đưa khách vào khu vực làm việc mà họ không được phép
• Mang theo hóa chất độc hại dễ cháy nổ vào khu vực cần đảm bảo an toàn
• Không đưa các xác thực của nhân viên cho khách thăm
• Mang các thẻ nhớ, Ipod… hay các thiết bị lưu trữ hoặc các thiêt bị tương tự
04/13/2023
53Mohan Kamat
Hướng dẫn quy tắc mật khẩu
Ít nhất 8 chữ cái với chữ số và các dấu (*, %, @, #, $, ^) Dùng mật khẩu dễ nhớ đối với riêng bạn Thây đổi mật khẩu thường xuyên theo chính sách KHông dùng mặt khẩu đã sử dụng
Dùng mật khẩu có liên quan nhiều đên bạnViết ra hoặc lưu trữ mật khẩu ở các dạng dễ truy cậpChia sẻ mật khẩu qua điện thoai, thư điện tửSử dụng các mật khẩu không đáp ứng quy định
04/13/2023
54Mohan Kamat
Trách nhiệm cá nhân
Trách nhiệm cá nhân
Các bộ phận công nghệ liên tục theo dõi việc sủ dụng Internet. Bất kỳ dấu hiệu bất hợp pháp sử dụng tài nguyên và mạng Internet phải bị xử lý
Không sử dụng Internet qua đường quay số điện thoại Không dung Internet xem lưu trữ phát tán hính hảnh khiêu
dâm Không dùng Internet truy cập các trang đấu giá Không dùng Internet để tấn công các máy tính khác. Không dùng Internet lấy các phần mềm vi phạm bản quyền
Chỉ sủ dụng Internet cho công việc
Sủ dụng Internet
04/13/2023
55Mohan Kamat
Sử dụng thư điện tử
Không sủ dụng tài khoản thư điện cho công việc cá nhân Không gủi thư điện tử không có lý do, các thư lớn hoặc thư có
tính lừa đảo Không gửi thư tới khách hàng trừ khi được phép làm Không gửi các thư ngoài nghiệp vụ đên một số lơn người nhận Không mở thư hoạc các tệp đính kèm có nghi ngờ virus hoặc
thư từ người gửi không rõ ràng.
Chỉ sử dụng thư điện tử cho công tác nghiệp vụThực hiên các hướng dẫn lưu trữ để tránh các thư điện tử bị chặn Nếu nhận được thư rác hay chứa mã độc cần:
a) Xoá thư ngay.b) Thông báo cho bộ phận hỗ trợ An toàn thông tinc) Thông báo cho người quản trị máy chủ thư điện tửd) Thông báo cho người gửi về việc không chấp nhận thư
04/13/2023
56Mohan Kamat
Trách nhiệm cá nhân
Trách nhiệm cá nhân
Sự cố An toàn thông tin
Thông báo sự cố mất An toàn thông tin đến một địa chỉ duy nhất
• Thư điện tử tới: [email protected]• Điện thoại: xxxx-xxxx-xxxx• Khách không rõ dịnh danh qua trang web (drop-box)
Ví dụ:
Thuộc về Công nghệ thông tin: Thư rác, tấn công của virus,tin tặc…
Không thuộc IT: khách thăm không có giám sát, Lộ Thông tin, cầm các tài liệu thiết bj lưu trữ không hợp pháp
•Không bàn bạc về các sự cố bảo mật với bất lỳ ai ngoài tổ chức, cơ quan
• Không ngăn chặn, can thiệp, cản trở bất kỳ ai báo cáo sự cố
04/13/2023
57Mohan Kamat
Trách nhiệm cá nhân
Chắc chăn rằng tất các bảng vá cho các phần mềm trên máy tính của bạn đã được cập nhật bản mơi nhất
Chắc chắn rằng chương trình chống virus máy tính của bạn được cập nhật bản mới nhất
Hệ thống của bạn phải đảm bảo đã khóa khi bạn đi ra ngoài Luôn giữ máy tính của bạn và các thiết bị lư chữ tại nơi chắc
chắn, có khóa Cần nhắc nhở khi dùng máy tính xách tay trong khi di chuyển. Đảm bảo các thông tin nghiệp vu nhạy cảm được bảo quản tôt
có khóa Việc lưu trữ dự phòng tài sản thông tin nhạy cảm và quan trọng
được thực hiện tốt Năm được các điều luật như :
Nghị định 72
Kiểm tra các thông tin nếu nhận được thư, tin nhắn từ nguwoif không quen biết
Luôn tắt máy tính khi không làm việc Luôn cập nhật các vấn đề về An toàn thông tin
04/13/2023
58Mohan Kamat
2013-07-Nghi dinh 72-2013-ND-CP.pdf
“Bức tường” người thống nhất luôn tốt hơn Tường lửa
… Hãy xây dựng tổ chức thành “Bức tường” người cùng với Tường lửa04/13/2023 59Mohan Kamat
04/13/2023 60Mohan Kamat
Câu hỏi và trả lời