bai giang duwa tren slide cua ahmed moussa

AN TOÀN THÔNG TIN(INFORMATION SECURITY)

AN TOÀN THÔNG TIN

Người trình bày: Đàm Lê AnhHiệp hội An toàn thông tin Việt nam - VNISA

Thông tin là gì?

An toàn thông tin là gì?

Rủi ro là gì?

Hướng dẫn về các tiêu chuẩn cho Công nghệ thông tin

Các trách nhiệm của người sử dụng

CÁC NỘI DUN

G CHÍN

H

2

‘Thông tin là một Tài sản như các Tài sản quan trọng khác trong công việc – Có giá trị với tổ chức và cần được thường

xuyên bảo vệ một cách phù hợp’‘Information is an asset which, like other

important business assets, has value to an organization and consequently needs

to be suitably protected’

BS ISO 27002:2005

Thông tin

3

Vòng đời của Thông tin

Thông tin có các trạng thái… Khởi tạo

Lưu trữ

Tiêu hủy

Xử lý

Truyền phát

Sử dụng, khai thác (Mục đích riêng–mục đích chung)

Bị hỏng

Mất

Đánh cắp

4

CÁC DẠNG GHI NHẬN THÔNG TIN

TYPES

In ra giấy

Lưu giữ dưới dạng bản ghi điện tử

Truyền phát dưới dạng điện tử

Xem dưới dạng băng video

Hiển thị, đăng tải trênWeb

Truyền miệng

‘Bất kỳ định dạng nào của thông tin được lưu giữ và chia sẻ cần luôn được bảo vệ thích đáng’

…Whatever form the information takes, or means by which it is shared or stored, it should always be appropriately protected’

(BS ISO 27002:2005)

5

AN TOÀN THÔNG TIN


An toàn thông tin: các đối tượng Tài sản thông tin tránh khỏi mọi sự nguy hiểm

An toàn thông tin được thực hiện dựa trên một loạt kế hoạch hành động

An toàn thông tin được thực hiện đồng thới trên một loạt kế hoạch hành động hoặc phối hợp với các kế hoạch khác

An toàn thông tin được coi như cần thiết để bảo vệ các tiến trình chính cũng như hệ thống có chứa các tiến trình đó

An toàn thông tin không chỉ là cái gì đó phải mua mà là việc bạn phải làm.

6

An toàn thông tin là việc phối hợp thống nhất của các công cụ, các hệ thống, các giải pháp, phần mềm, cảnh báo và dò quét các lỗ hổng bảo mật


ATTT là tất cả các yếu tố trên và không được coi chỉ có thiết bị và công cụ

Giám sát 24X7X365

Bao hàm cả yếu tố con người, quy trình, Công nghệ, Chính sách, Thủ tục (People, Processes, Technology, policies, procedures,)

AN TOÀN THÔNG TIN

04/13/2023

7Mohan Kamat

Các thành phần

Con người

Quy trình

CÔNG NGHỆ

Cán

bộ cô

ng n

hân

viên, n

gười lao

động

Quy trìn

h làm

việc

Côn

g n

ghệ đ

ược tổ

chức sử

dụng

Con

người

Con người – Chúng ta là ai?

Con người khai thác sử dụng hoặc có liên quan đến thông tin bao gồm: Sở hữu hoặc đồng sở hữu thông tin Quản trị thông tin Người lao động, cán bộ công nhân viên Đối tác Các nhà cung cấp dịch vụ Nhà thầu Khách hàng Lãnh đạo các cấp

04/13/2023

9Mohan Kamat

Quy trình – Chúng ta làm gì?

Quy trình được hiểu như các công việc thực tế, các tiến trình công việc. Quy trình bao gồm các bước làm việc lặp đi lặp lại nhằm hoàn thành các công việc cụ thể. Các nghiệp vụ ứng dụng Công nghệ thông tin thường chứa đựng rất nhiều quy trình

Quản trị dịch vụ Quản trị lỗi Quản trị thay đổi Thực hiện hoàn thiện yêu cầu Quản trị Tài sản Quản trị nhận dạng xác thực Quản trị hợp đồng dịch vụ Quản trị mua sắm...

Quy trình

10

Công nghệ - Công cụ nâng cao hiệu quả nghiệp vụ

Cơ sở hạ tầng mạng: Cáp, mạng thoại, mạng số liệu cùng các thiết Dịch vụ viễn thông, VoIP, mạng truyền số liệu, Video

Conferencing… Máy chủ và các thiết bị lưu trữ số liệu Các phần mềm trên máy chủ Thiết bị thông tin liên lạc, Các kết nối Internet và mạng dùng riêng Mạng riêng ảo (VPNs) and các môi trường ảo hóa Dịch vụ truy cập từ xa Kết nối không dây

CÔNG NGHỆ

04/13/2023

11Mohan Kamat

CÔNG NGHỆ

Phần mềm ứng dụng: Hệ thống tài chính, quản trị Tài sản (Kế toán, thống kê, nhân sự, các

hệ thống kiểm soát, đánh giá báo) Dịch vụ phần mềm (khai thác và xây dựng)…

Bảo mật ở mức vật lý: Máy quay bảo vệ (CCTV) Đồng hồ hệ thống, thiết bị an toàn sinh trắc( vân tay, mống mắt, …) Hệ thống kiểm soát môi trường (Điều hòa nhiệt độ, độ ẩm, quạt gió,

báo cháy) Điện lưới và nguồn điện dự phòng

Các thiết bị Máy tính để bàn Máy tính xách tay, thiết bị di động, máy tính bảng Máy quay KTS, máy in, máy quét ảnh, máy sao chụp tài liệu...

04/13/2023

12Mohan Kamat

Công nghệ - Công cụ nâng cao hiệu quả nghiệp vụ

1. Bảo vệ thông tin trước các đe dọa2. Đảm bảo nghiệp vụ được liên tục3. Giảm thiểu mất mát tài chính4. Tối ưu hóa đầu tư5. Gia tăng các cơ hội trong công việc

An toàn thông tin

An toàn thông tin có ý nghĩa sống còn với các tổ chức

An toàn thông tin

04/13/2023

13Mohan Kamat

ISO 27002:2005 mô tả An toàn thông tin như sự đảm bảo

các thuộc tính sau của thông tin:

– Tính mật - ConfidentialityĐảm bảo chỉ thông tin không cung cấp cho những người những người không được phép

– Tính toàn vẹn - Integrity

Đảm bảo thông tin đầy đủ và chính xác.

– Tính Sẵn sàng - Availability

Đảm bảo chỉ người, tiến trình được phép mới có thể truy cập vào Tài sản thông tin khi cần thiết

An toàn thông tin

04/13/2023

14Mohan KamatCIA

• Mất uy tín, thương hiệu

• Thiệt hại tài chính

• Mất mát sở hữu trí tuệ

• Vi pham pháp luật (Luật An toàn thông tin)

• Mất thông tin cá nhân

• Tăng chi phí do gián đoạn kinh doanh

Vi phạm An toàn thông tin sẽ dẫn đến các hậu quả…

MẤT UY TÍN04/13/2023

15Mohan Kamat

• An toàn thông tin là vấn đề tổ chức hơn là vấn đề của Công nghệ thông tin

• Hơn 70% nguy cơ xuất phát từ bên trong tổ chức

• Hơn 60% người vi phạm đầu là lần vi phạm đầu tiên

• Rủi ro lớn nhất: Con người

• Tài sản lớn nhất: Con người

• Các sinh hoạt xã hội là mối đe dọa chính

• Hơn 2/3 các người quản trị nói “Không biết hệ thống của mình có mất an toàn không?”

An toàn thông tin

04/13/2023

16Mohan Kamat

Rủi ro là gì

Rủi ro là gì?

Rủi ro: Là khả năng mà một mối đe dọa khai thác một lỗ hổng trong một Tài sản và gây thiệt hại hoặc mất mát cho Tài sản

Mối đe dọa: Là điều có thê gây ra thiệt hại cho tổ chức, hệ thống Công nghệ thông tin hoặc mạng máy tinhd.

Lỗ hổng: Là một điểm yếu trong tổ chức, hệ thống Công nghệ thông tin hoặc mạng máy tính mà có thể khai thác bởi một mối đe dọa.

17

Mối quan hệ giữa Mối đe dọa, Rủi ro, Điểm yếu

Mối đe dọaMối đe dọa Điểm yếuĐiểm yếuKhai thác

* Biện pháp quản lý : là các hành động thực tế, các thủ tục, cơ chế giảm thiểu rủi ro

Rủi roRủi ro

Giá trị Tài sảnGiá trị Tài sảnYêu cầu cần bảo vệYêu cầu cần bảo vệ

Gia tăng Gia tă

ng

Tài sản Thông tinTài sản Thông tinBiện pháp quản lý*

Biện pháp quản lý*

Lộ đ

iểm

yếuC

hống lai

reduce

Chứa

Làm giảmHiển thịTạo ra

18

Mô tả mối đe dọa


Các tác nhân chính gây ra mối đe dọa

Con người

Máy móc, thiết bị

Thiên nhiên (lụt lội, hỏa hoạn, độ ẩm…)

04/13/2023

19Mohan Kamat


Các Lý do

Lý do: là điều kích hoạt các tác nhân hoạt động.

Tình cờ, ngẫu nhiên

Cố ý

Do con người (tình cờ, cố ý)


04/13/2023

20Mohan Kamat


Các yếu tố của mối đe dọa

Tính mật-Confidentiality

Toàn vẹn-Integrity

Sẵn sàng-Availability


04/13/2023

21Mohan Kamat

CIA

Các mối đe dọa

• Người lao động

• Từ bên ngoài

• Nhận thức yếu về An toàn thông tin

• Sự lớn mạnh của mạng máy tính và các giải pháp xử lý phân tán

• Gia tăng các công cụ phá hoại trên mạng (hack), virus máy tính

• Thảm họa tự nhiên : Hỏa hoạn, lụt lội, động đất…

Các mối đe dọa

04/13/2023

22Mohan Kamat

Nguồn gốc của các mối đe dọa

Nguồn gốc Lý do Mối đe dọa

Hacker bên ngoài •Thách đố•Tự tôn•Trò chơi

•Hack các hệ thống•Khai thác các mối quan hệ xã hội với các công cụ•Khái thác các thông tin đã bị loại bỏ

Hacker bên trong nội bộ

Thúc ép tiến độ Vấn đề tài chínhHết cảm hứng với công việc

Backdoors Click Fraud Tài liệu hồ sơ nghèo nàn

Khủng bố Trả thù Chính trị

Tấn công hệ thốngKhai thác các mối quan hệ xã hội Bom thưViruses Tấn công từ chối dịch vụ DOS

Đào tạo chưa đầy đủ Sai sót không chủ ýLập trình saiNhập liệu sai

Phá hoại số liệuMã độcLỗi hệ thốngTruy nhập trai phép

TT Phân loại mối đe dọa Ví dụ

1 Lỗi do con người Ngẫu nhiên do nhân viên gây ra

2 Vấn đề bản quyền, sở hữu trí tuệ Vi phạm bản quyền

3 Cố ý phá hoại gián điêp Truy nhập trái phép, ưn cắp số liêu

4 Hành vi cố ý tống tiền Ăn cắp thông tin Công bố thông tin riêng tư, Thư lừa đảo

5 Hành vi cố ý phá hoại Phá hoại thông tin, phá hoại hệ thống

6 Hành vi cố ý trộm cắp Ăn trộm thiết bị

7 Phát tán phầm mềm tấn công Viruses, worms, macros Denial of service

8 Sai lệch chất lượng dịch vụ Nguồn điện, mạng nội bộ, mạng Internet

9 Thảm họa thiên nhiên Cháy , lụt lội, động đất, sóng thần…

10 Lỗi ký thuật phần cứng Hư hỏng thiết bị

11 Lỗi kỹ thuật phần mềm Mã lỗi, Bugs, lập trình có mã lỗi, lỗ hổng bảo mật không xác định

12 Công nghệ cũ

04/13/2023 24Mohan Kamat

Người sử dụng hiểu biết nhiều về

IT

Trộm cắp, phá hoại, lạm dụng

Tấn công do Virus

Lỗi mạng và hệ thống

Thiếu tài liệu, hồ sơ

Công tác bảo vệ mức vật lý

chưa đủ

Các nguyên nhân thiên tai

Rủi ro & Mối đe

dọa

04/13/2023

25Mohan Kamat

Vậy chúng ta phải làm gì để vượt qua các vấn đề trên?

04/13/2023

26Mohan Kamat

Trước 1990• BSI ban hành các bản hướng dẫn thực tế đảm bảo An toàn

thông tin

1995• BS 7799 được ban hành và là chuẩn An toàn thông tin của Vương quốc Anh

1999• BS 7799 - 1:1999 ban hành lần 2

2000 • BS 7799 - 1 Được ISO chấp nhận là chuẩn quốc tê ISO 17799• BS 7799-2:2002 Được phát hành

Giới thiệu về

ISO 2700

1

Lịch sử ISO 27001

04/13/2023

27Mohan Kamat

• ISO 27001:2005

Information technology — Security techniques — Information security management systems — Requirements

Giới thiệu về

ISO 2700

1

• ISO 27002:2005

Information technology — Security techniques — Code of practice for information security management

Lịch sử

04/13/2023

28Mohan Kamat

ISO 27001: Là tiêu chuẩn quốc tế áp dụng cho tất cả các hình thức tổ chức (Công y thương mại, tổ chức chính phủ, tổ chức phi chính phủ). Tiêu chuẩn này mô tả yêu cầu cần thiết để thiết lập, triển khai, vận hành, giám sát, quản trị, và phát triển một Hệ thống đảm bảo An toàn thông tin (ISMS) với mục đích vượt qua các rủi ro trong nghiệp vụ. ISO 27001 mô tả yêu cầu cho việc triển khai các khâu kiểm soát theo đúng các nhu cầu của tổ chức cũng như của từng bộ phận trong tổ chức. Hệ thống đảm bảo An toàn thông tin (ISMS) được thiết kế để đảm bảo việc lựa chọn các khâu điểu chỉnh đầy đủ và hợp lý mà vẫn bảo vệ các Tài sản thông tin và bảo mật cho các bên sử dụng Tài sản này.

ISO 27001ISO 27001

04/13/2023

29Mohan Kamat

Các điểm chính chính của ISO 27001 • Hoạch định – Thực hiện – Xem xét lại – Hiệu

chỉnh nâng cấp Plan, Do, Check, Act (PDCA) Process Model

• Tiếp cận dựa trên Quy trình nghiệp vụ• Thúc đẩy quá trình nâng cấp hệ thống• Phạm vi bao gồm không chỉ An toàn trong Công

nghệ thông tin mà toàn bộ vấn đề về thông tin.• Bao gồm Con người, Quy trình, Công nghệ

Covers People, Process and Technology PPT• Hơn 7400 tổ chức trên toàn có chứng nhận• Bao gồm 11 vùng, 39 nhóm biện pháp quản lý,

133 biện pháp quản lý

Các điểm chính

Các điểm chính của ISO 27001

04/13/2023

30Mohan Kamat

InterestedParties

InterestedParties

InformationSecurity

Requirements&

Expectations

InformationSecurity

Requirements&

Expectations

PLANEstablish

ISMS

PLANEstablish

ISMS

CHECKMonitor &

Review ISMS

CHECKMonitor &

Review ISMS

ACTMaintain &Improve

ACTMaintain &Improve

Management ResponsibilityManagement Responsibility

ISMS PROCESS

Quy trình PDCA

InterestedParties

InterestedParties

ManagedInformation

Security

ManagedInformation

Security

DOImplement &Operate the

ISMS


ISMS

PDCAPROCE

SS


P D C A

Chính sách An toàn thông tin

Tổ chức nội bộ

Quản lý tài sản

Đảm bảo An toàn thông tin từ nguồn nhân

lực

Đảm bảo an toàn vật lý và

môi trường

Quản lý truyền thông và vận

hành

Quản lý truy cập

Tiếp nhận, phát triển duy

trì các hệ thống thông

tin

Quản lý sự cố An toàn thông

tin

Quản lý sự liên tục của hoạt động nghiệp vụ

Quản lý sự tuân thủ

Bảo m

ậtToàn vẹn

Sẵn sàng

Các Vùng biện pháp quản lý

33

• Chính sách An toàn thông tin – Định hướng quản lý và hỗ trợ đảm bảo An toàn thông tin.

• Tổ chức nội bộ – Nhằm quản lý An toàn thông tin bên trong tổ chức.

• Quản lý tài sản – Nhằm hoàn thành và duy trì các biện pháp bảo vệ thích hợp đối với tài sản thông tin của tổ chức.

• Đảm bảo An toàn thông tin từ nguồn nhân lực – Đảm bảo nhân viên, người của nhà thầu và bên thứ ban hiểu rõ trách nhiệm của mình và phù hợp với vai trò giảm thiểu với các rủi ro do đánh cắp, gian lận lạm dụng chức năng, quyền hạn

• Đảm bảo an toàn vật lý và môi trường – Nhằm ngăn chặn sự truy cập vật lý, làm hư hại và cản trở thông tin và tài sản của tổ chức

04/13/2023

34Mohan Kamat


• Quản lý truyền thông và vận hành – Nhằm đảm bảo sự vận hành các phương tiện xử lý thông tin đúng đắn và an toàn

• Quản lý truy cập – Quản lý truy cập thông tin và các quá trình cơ sở xử lý thông tin.

• Tiếp nhận, phát triển và duy trì các hệ thống thông tin – Bảo đảm An toàn thông tin là phần không thể thiếu trong các hệ thống thông tin

• Quản trị các sự cố ATTT - Nhằm đảm bảo các sự kiện An toàn thông tin và các điểm yếu liên quan tới các hệ thống thông tin được trao đổi để các hành động khắc phục được tiến hành tạm thời.

04/13/2023

35Mohan Kamat


•Quản lý sự liên tục của hoạt động nghiệp vụ - Chống lại các gián đoạn trong hoạt động nghiệp vụ và bảo vệ các quá trình hoạt đôngh trọng yếu khỏi các ảnh hưởng do lỗi hệ thống thông tin hay các thảm họa và đảm bảo khả năng khôi phục các hoạt động bình thường

•Sự tuân thủ: - Nhằm tránh sự vi phạm pháp luật, quy định, nghĩa vụ theo các hợp đồng đã ký kết và tránh sự vi phạm các yêu cầu về đảm bảo An toàn thông tin To avoid breaches of any criminal and civil law, statutory, regulatory or contractual obligations and of any security requirements.

04/13/2023

36Mohan Kamat


PLANEstablish

ISMS

PLANEstablish

ISMS

CHECKMonitor &

Review ISMS

CHECKMonitor &

Review ISMS

ACTMaintain &

Improve

ACTMaintain &

Improve


ISMS


ISMS

CHÍNH SÁCH An toàn thông tin

Tổ chức nội bộ trong công tác An toàn thông

tin

Mô tả tài sản & phân loại

Lựa chọn giải pháp quản lý & Triển

khai

Thực hiên các quy trình

Quản lý các việc kiểm soát xem xét lại hệ thống

Hiệu chỉnh quy trình & Phòng

ngừa

Xem xét lại các quy trình

Chu trình triển khai các quy trình

04/13/2023

37Mohan Kamat

Lợi ích

• Ở mức độ tổ chức – Cam kết• Ở mức độ pháp lý – Sự tuân thủ• Ở mức độ quản lý – Quản lý rủi ro• Ở mức đọ thương mại – Tin cậy và bảo mật• Ở mức độ tài chính - Giảm giá thành• Ở mức độ con người(nhân văn)- nâng cao

nhận thức

04/13/2023

38Mohan Kamat

CÁC LỢI ÍCH

Trách nhiệm

04/13/2023

39Mohan Kamat

TRUNG TÂM CỦA HỆ THỐNG LÀ

CON NGƯỜI

Trách nhiệm cá nhân

Chính sách An toàn thông tin

•Chính sách An toàn thông tin phải được người đứng đầu tổ chức phê duyệt và ban hành

•Công bố đến các cá nhân trong Tổ chức

04/13/2023

40Mohan Kamat

Phân loại

Tài sản

Thông tin

Mật:Nếu các thông tin bị rò rỉ ra ngoài tổ chức sẽ gây ảnh hưởng đến tài chính, mất hình ảnh uy tín của tổ chức sẽ được xếp loại thông tin mật. Các thông tin nếu lộ, mất sẽ là phanmj luật cũng được coi là MậtCần giới hạn truy cập thông tin này, việc giới hạn theo nguyên tăc “nếu cần thiêt mới được biết” Việc công khai thông tin cần được sự cho phép của chủ thông tin. Trong trường hợp thông tin này cần thông báo cho bên thứ ba cần phải ký hợp đồng bảo mật. (Ví dụ: Hợp đồng, thông tin nhân sự, cấu hình mạng máy tính….)

Thông tin nội bộ:: Nếu thông tin lộ ra ngoài thiệt hại tài chin, uy tín không đáng kể hoặc chỉ chút ít bối rối thì thông tin này nên xếp vào loại thông tin nội bộ. Các Tài sản loại này co thể như: Kê hoachm chính sách chung, tài liệu huấn luyện

Thông tin rộng rãi: Là thông tin nếu lộ sẽ không có ảnh hưởng gì. Việc công bố các thông tin phải được phép (theo pháp luật và quy định của tổ chức). Các thông tin như quảng cáo, tờ rơi,… thuộc loại thông tin này

04/13/2023

41Mohan Kamat

Phân loại tài sản thông tin

Tính mật – Tài sản Thông tin

Yêu cầu bảo mật Giải thíchThấp Thông tin không nhạy cảm cho phép công khai. Việc

công khai Thông tin này không ảnh hưởng đến Tổ chức. Ví du: các báo nội bộ, thông tin chung trên Website

Trung bình Thông tin của công ty không được tiết lộ ra ngoài hay cho bên thứ ba. Việc tiết lộ sẽ gây tác hại không lớn cho Tổ chứcVí dụ: Sơ đồ tổ chức, Sổ điện thoại nội bộ

Cao Thông tin rất nhạy cảm hoặc riêng tư hoặc các dữ liệu có giá trị lớn của Tổ chức chỉ một số cá nhân được biết. Việc lộ Thông tin này có thể nguy hại đến Tổ chức (Ví dụ: Thông tin về giá, chiến lược của công ty…)

Tính chất đảm bảo mọi thực thể được phép có thể truy cập và sử dụng theo yêu cầu

Phân loại Tài sảnThông tin

04/13/2023

42Mohan Kamat

Tính toàn vẹn – Tài sản Thông tin

Yêu cầy về tính toàn

vẹn Giải thíchThấp Tác động tối thiểu đến kinh doanh khi số

liệu bị sai lệch

Trung bình Nếu số liệu bị sai lệch sẽ dẫn đến tác động đáng kể đến kết quả kinh doanh

Cao Việc sai lệch số liệu không được phép chấp nhận

Tính chất đảm bảo sự chính xác và đầy đủ của các tài sảnTính toàn vẹn bị mất nếu thay đổi trái phép hoặc hành vi vô tình hay hữu ý xảy ra trên dữ liệu hoặc hệ thống Công nghệ thông tin.Nếu sự toàn vẹn của dữ liệu không thể khôi pục được ta phải sử dụng các số liệu sai lệch sẽ dẫn đến ra các quyết định thiếu chính xác, sai lầm thậm chí bị coi là lừa đảo.

Phân loại Tài sảnThông tin

04/13/2023

43Mohan Kamat

Tính Sẵn sàng của tài sản Thông tin

Yêu cầu độ sẵn sàng Giải thích

Thấp Thông tin cung cấp được trong 7 ngày

Trung bình Thông tin cung cấp được trong 48 giờ

Cao Thông tin cung cấp được tức thì

Tính sẵn sàng được hiểu như khả năng cung cấp thông tin sớm khi có yêu cầu.Khi thông tin không sẵn sàng các nghiệp vụ sẽ bị ảnh hưởng

Phân loại Tài nguyênThông tin

04/13/2023

44Mohan Kamat

Các tài sản phi thông tin

Thông tin được xủ lý với sự hỗ trợ của công nghệ. Các tài sản. Các tài sản cung cấp các dịch vụ giúp chúng ta khởi tạo, xử lý, kết xuất, lưu trữ Thông tin là tài sản loại này. Tài sản này cần được xác định và đánh giá mức độ quan trọng.

Các tài sản không mang thông tin

04/13/2023

45Mohan Kamat

Tính mật của tài sản phi thông tin

Tính mật được xác định được bởi các tính năng của tài sản được sử dụng trong nghiệp vụ mà thông tin được khởi tạo, xư lý

Yêu cầu bảo mật Giải thíchThấp Các tài sản xử lý hay lưu trữ các thông tin có

độ mật thấp sẽ có tính mật thâp

Trung bình Các tài sản xử lý hay lưu trữ các thông tin có độ mật trung bình sẽ có tính mật trung bình

Cao Các tài sản xử lý hay lưu trữ các thông tin có độ mật cao sẽ có tính mật cao.

04/13/2023

46Mohan Kamat


Tính toàn vẹn của tài sản phi thông tin

Tính toàn vẹn được xác đinh bởi độ tin cậy của các tài sản trong hoạt đông nghiệp vụ và yêu cầu về tính toàn vẹn của thông tin được lưu trữ hay xử lý trong tài sản đó.

Yêu cầu về tính toàn vẹn Giải thíchThấp •Độ tin cậy của các dịch vụ mà tài sản cung cấp thấp

•Thông tin được xử lý hay lưu trữ trong tài sản có yêu cầu về độ toàn vẹn là thấp

Trung bình •Độ tin cậy của các dịch vụ mà tài sản cung cấp là Trung bình•Thông tin được xử lý hay lưu trữ trong tài sản có yêu cầu về độ toàn vẹn là Trung bình.

Cao •Độ tin cậy của các dịch vụ mà tài sản cung cấp là Cao•Thông tin được xử lý hay lưu trữ trong tài sản có yêu cầu về độ toàn vẹn là Cao.

04/13/2023

47Mohan Kamat


NON INFO ASSETCLASSIFICATIO

N

Tính sẵn sàng của tài sản phi thông tin

Tính sẵn sàng được xác định bởi ảnh hưởng của tài sản khi nó không sẵn sàng cung cấp dịch vụ Availability factor is to be determined on the basis of impact of non availability of the asset on the business process. This table provides a guideline to identify the Availability requirements and its link to Classification label.

Yêu cầu tính sẵn sàng Giải thích

Low •Khi tài sản không sẵn sàng ảnh hưởng thấp đến nghiệp vụ•Thông tin được xủ lý lưu trữ trong tài sản hoặc dịch vụ mà tài sản cung cấp là thấp

Medium •Khi tài sản không sẵn sàng ảnh hưởng trung bình đến nghiệp vụ•Thông tin được xủ lý lưu trữ trong tài sản hoặc dịch vụ mà tài sản cung cấp là trung bình

High •Khi tài sản không sẵn sàng ảnh hưởng cao đến nghiệp vụ•Thông tin được xủ lý lưu trữ trong tài sản hoặc dịch vụ mà tài sản cung cấp là cao

04/13/2023

48Mohan Kamat

Phân loai Tài nguyên Con người

Tài nguyên con người

Thông tin được truy cập hoặc xử lý bởi những người từ bên trong tổ chức cũng như những người có liên quan để tổ chức cho các yêu cầu nghiệp vụ. Việc xác định rõ những người bên trong tổ chức cũng như những người bên ngoài nhưng cùng sử dụng tài sản Thông tin cũng trở nên cần thiết Việc cấp quyền được cấp bởi người đứng đầu bộ phận quản lý nghiệp vụ (QA)

Tài nguyên con người có thể gồma. Nhân viênb. Nhân viên hợp đồngc. Đối tác và nhân viên của họ

04/13/2023

49Mohan Kamat

Tính mật với tài nguyên con ngườiYêu cầu bảo

mật Giải thíchThấp Các vị trí chỉ khai thác thông tin công khai, Khi

họ vi phạm sẽ không ảnh hưởng lắm đến nghiệp vụ

Trung bình Các vị trí khai thác thông tin Nội bộ và công khai. Khi họ vi phạm sẽ gây ra các thiệt hại không lớn

High Các vị trí khai thác tất cả các thông tin bao gồm cả thông tin Mật hay các tài sản Công nghệ thông tin quan trọng. Khi họ vi phạm sẽ gây ra các thiệt hại lớn

Tài nguyên con người

04/13/2023

50Mohan Kamat

Tính toàn vẹn của tài nguyên con người

Yêu cầu về tính toàn vẹn Giải thích

Thấp Các vị trí có quyền hạn chế thay đổi các Thông tin thuộc loại “công khai” hay “Nội bộ” và các thao tác của họ được quản lý. Khi họ vi phạm tạc động không lớn đên tổ chức.

Trung bình Các vị trí có quyền hạn chế thay đổi các Thông tin thuộc loại “công khai” hay “Nội bộ” và các thao tác của họ được quản lý. Khi họ vi phạm tạc động với mức đọ vừa phải đên tổ chức.

High Các vị trí có quyền hạn chế thay đổi các Thông tin thuộc loại “Mật” hay thay đổi cấu hình các tài sản Công nghệ thông tin quan trọng và các thao tác của họ được quản lý. Khi họ vi phạm tạc động lớn đên tổ chức.

Tai nguyên con người

04/13/2023

51Mohan Kamat

Tính sẵn sàng của tài nguyên con người

Yêu cầu về tính sẵn

sàng Giải thíchThấp Các cá nhân khi vắng mặt họ sẽ không

ảnh hưởng đến hoạt động nghiệp vụ.

Trung bình Các cá nhân khi vắng mặt họ sẽ ảnh hưởng mức trung bình đến hoạt động nghiệp vụ.

Cao Các cá nhân khi vắng mặt họ sẽ không ảnh hưởng lớn đến hoạt động nghiệp vụ.

04/13/2023

52Mohan Kamat

Tai nguyên con người


Kiểm soát truy nhập mức vật lý

• Tuân thủ các quy trình Bảo mật• Luôn đeo thẻ ngành Wear Identity Cards and Phù hiệu• Yêu cầu khách cung cấp thông tin• Yêu cầu khách chỉ đến khu vực Tiếp tân và Phòng họp

• Đưa khách vào khu vực làm việc mà họ không được phép

• Mang theo hóa chất độc hại dễ cháy nổ vào khu vực cần đảm bảo an toàn

• Không đưa các xác thực của nhân viên cho khách thăm

• Mang các thẻ nhớ, Ipod… hay các thiết bị lưu trữ hoặc các thiêt bị tương tự

04/13/2023

53Mohan Kamat

Hướng dẫn quy tắc mật khẩu

Ít nhất 8 chữ cái với chữ số và các dấu (*, %, @, #, $, ^) Dùng mật khẩu dễ nhớ đối với riêng bạn Thây đổi mật khẩu thường xuyên theo chính sách KHông dùng mặt khẩu đã sử dụng

Dùng mật khẩu có liên quan nhiều đên bạnViết ra hoặc lưu trữ mật khẩu ở các dạng dễ truy cậpChia sẻ mật khẩu qua điện thoai, thư điện tửSử dụng các mật khẩu không đáp ứng quy định

04/13/2023

54Mohan Kamat



Các bộ phận công nghệ liên tục theo dõi việc sủ dụng Internet. Bất kỳ dấu hiệu bất hợp pháp sử dụng tài nguyên và mạng Internet phải bị xử lý

Không sử dụng Internet qua đường quay số điện thoại Không dung Internet xem lưu trữ phát tán hính hảnh khiêu

dâm Không dùng Internet truy cập các trang đấu giá Không dùng Internet để tấn công các máy tính khác. Không dùng Internet lấy các phần mềm vi phạm bản quyền

Chỉ sủ dụng Internet cho công việc

Sủ dụng Internet

04/13/2023

55Mohan Kamat

Sử dụng thư điện tử

Không sủ dụng tài khoản thư điện cho công việc cá nhân Không gủi thư điện tử không có lý do, các thư lớn hoặc thư có

tính lừa đảo Không gửi thư tới khách hàng trừ khi được phép làm Không gửi các thư ngoài nghiệp vụ đên một số lơn người nhận Không mở thư hoạc các tệp đính kèm có nghi ngờ virus hoặc

thư từ người gửi không rõ ràng.

Chỉ sử dụng thư điện tử cho công tác nghiệp vụThực hiên các hướng dẫn lưu trữ để tránh các thư điện tử bị chặn Nếu nhận được thư rác hay chứa mã độc cần:

a) Xoá thư ngay.b) Thông báo cho bộ phận hỗ trợ An toàn thông tinc) Thông báo cho người quản trị máy chủ thư điện tửd) Thông báo cho người gửi về việc không chấp nhận thư

04/13/2023

56Mohan Kamat



Sự cố An toàn thông tin

Thông báo sự cố mất An toàn thông tin đến một địa chỉ duy nhất

• Thư điện tử tới: [email protected]• Điện thoại: xxxx-xxxx-xxxx• Khách không rõ dịnh danh qua trang web (drop-box)

Ví dụ:

Thuộc về Công nghệ thông tin: Thư rác, tấn công của virus,tin tặc…

Không thuộc IT: khách thăm không có giám sát, Lộ Thông tin, cầm các tài liệu thiết bj lưu trữ không hợp pháp

•Không bàn bạc về các sự cố bảo mật với bất lỳ ai ngoài tổ chức, cơ quan

• Không ngăn chặn, can thiệp, cản trở bất kỳ ai báo cáo sự cố

04/13/2023

57Mohan Kamat


Chắc chăn rằng tất các bảng vá cho các phần mềm trên máy tính của bạn đã được cập nhật bản mơi nhất

Chắc chắn rằng chương trình chống virus máy tính của bạn được cập nhật bản mới nhất

Hệ thống của bạn phải đảm bảo đã khóa khi bạn đi ra ngoài Luôn giữ máy tính của bạn và các thiết bị lư chữ tại nơi chắc

chắn, có khóa Cần nhắc nhở khi dùng máy tính xách tay trong khi di chuyển. Đảm bảo các thông tin nghiệp vu nhạy cảm được bảo quản tôt

có khóa Việc lưu trữ dự phòng tài sản thông tin nhạy cảm và quan trọng

được thực hiện tốt Năm được các điều luật như :

Nghị định 72

Kiểm tra các thông tin nếu nhận được thư, tin nhắn từ nguwoif không quen biết

Luôn tắt máy tính khi không làm việc Luôn cập nhật các vấn đề về An toàn thông tin

04/13/2023

58Mohan Kamat

2013-07-Nghi dinh 72-2013-ND-CP.pdf

“Bức tường” người thống nhất luôn tốt hơn Tường lửa

… Hãy xây dựng tổ chức thành “Bức tường” người cùng với Tường lửa04/13/2023 59Mohan Kamat


Câu hỏi và trả lời

bai giang duwa tren slide cua ahmed moussa

Documents