An toàn thông tin
- 49 trang
- file: .pdf
đang tải dữ liệu....
Tài liệu bị giới hạn, để xem hết nội dung vui lòng tải về máy tính.
Tải xuống - 49 trangNội dung text: An toàn thông tin
An toàn hệ thống thông tin
●
Hệ thống thông tin
●
Dữ liệu
●
Quy trình xử lý dữ liệu
●
CON NGƯỜI
●
An toàn hệ thống thông tin là giảm thiểu rủi
ro có thể xảy ra tới hệ thống thông tin.
An toàn hệ thống thông tin
●
Hoàn cảnh hiện tại
●
Phát triển của hệ thống thông tin trong doanh
nghiệp (ngân hàng, bảo hiểm, quốc phòng)
●
Luật pháp ngày càng chặt chẽ (SOX)
●
Sự số hóa phổ biến hơn
●
Giá trị thông tin số tăng cao
●
Gián điệp công nghiệp
●
Chiến tranh trên mạng (honkers vs US vs VN)
●
Tiên tiến kỹ thuật (IM, Web hóa)
An toàn hệ thống thông tin
●
Hoàn cảnh hiện tại ở Việt Nam
●
Báo SGGP ngày 31 tháng 03 năm 2008: tội
phạm quốc tế đánh cắp tiền từ ngân hàng VN
●
Báo điện tử Đảng Cộng sản Việt Nam ngày 18
tháng 12 năm 2007: Nhân viên Eximbank lừa
đảo làm thẻ tín dụng quốc tế
●
Sự cố máy ATM không rút được tiền
●
Sự cố gửi tiền 04 triệu VND thành AUD
●
Sự cố trang web bộ Giáo dục Đào tạo
●
Hàng ngàn sự cố các trang web nhỏ khác
An toàn hệ thống thông tin
●
Hoàn cảnh hiện tại ở Việt Nam
●
Hội tự phát
– HVA
– HCE
– 4VN
– VNSecurity
– Và các nhóm khác chưa ra mặt
●
Tổ chức chính quy
– VNCERT
– VNISA
An toàn hệ thống thông tin
●
Hoàn cảnh hiện tại ở Việt Nam
●
Tư vấn Trăng Xanh và OWASP Việt Nam
●
BKIS
●
Athena
●
CMC InfoSec
●
Nhu cầu cao, cung ứng thấp
●
Thiếu luật (chủ yếu chỉ có luật CNTT)
●
Thiếu/sợ trách nhiệm
An toàn hệ thống thông tin
●
Sinh viên là nguồn lực quý, cần có sự đầu
tư và định hướng đúng
●
Nhà trường
●
BẢN THÂN
●
Doanh nghiệp phải nâng cao nhận thức,
trách nhiệm, áp dụng quy trình tiên tiến
như COBIT, ITIL, loạt chuẩn ISO 27000
●
Doanh nghiệp trong ngành phải có trách
nhiệm xã hội
3 trụ cột
●
Tính sẵn sàng (Availability)
●
Thông tin phải có khi cần
●
Tính toàn vẹn (Integrity)
●
Thông tin không được thay đổi khi không
được phép
●
Khi được phép, thông tin không được thay đổi
sai
●
Tính bảo mật (Confidentiality)
●
Người ngoài không được biết thông tin
3 trụ cột
3 trụ cột
●
3 trụ cột này quan hệ mật thiết với nhau
●
Tùy vào hoàn cảnh mà tổ chức tập trung
vào khía cạnh này hoặc khía cạnh khác
●
Quốc phòng quan tâm C
●
Doanh nghiệp quan tâm I
●
Ai cũng quan tâm A
●
Chính sách an toàn thông tin phải làm rõ
sự quan trọng này, và phải đi cùng hướng
với chính sách kinh doanh của công ty
3 nguyên tắc chính
●
Phòng thủ nhiều tầng (Defense in Depth)
●
Lọt sàng xuống nia
●
Cân bằng trò chơi với mũ đen
●
Chia nhiệm vụ (Separation of Duties)
●
Việc quan trọng phải do ít nhất hai người làm
●
Quyền hạn tối thiểu (Least Privilege)
●
Chỉ đủ quyền để thực hiện công việc
●
Có bị tấn công cũng hạn chế hậu quả
10 miền kiến thức chung
●
Kiểm soát truy cập
●
An toàn ứng dụng
●
Liên tục kinh doanh và kế hoạch hồi phục sau
thảm họa
●
Mã hóa
●
An toàn thông tin và quản lý rủi ro
●
Luật pháp và điều tra
●
An toàn hoạt động
●
An toàn vật lý
●
Kiến trúc an ninh và thiết kế
●
An toàn viễn thông và mạng
An toàn thông tin và quản lý rủi ro
●
ATTT phải đi từ trên xuống (top-down)
●
Chính sách, định hướng phải do chủ dữ
liệu đề xuất
●
Chủ dữ liệu là người chịu trách nhiệm về
dữ liệu (tổng giám đốc, giám đốc, v.v…)
●
Quản trị hệ thống, quản lý dữ liệu là người
chịu trách nhiệm thực hiện chính sách
●
Họ thực hiện qua các điều khiển (control):
hành chính, luận lý, và vật lý
An toàn thông tin và quản lý rủi ro
●
Điều khiển hành chính (administrative
control) là định hướng, chính sách, chuẩn,
hướng dẫn, thủ tục thực hiện các tác vụ
●
Điều khiển luận lý (logical control) là thiết
lập, cấu hình, bảo dưỡng thiết bị, phần
mềm, danh sách truy cập, v.v…
●
Điều khiển vật lý (physical control) bao
gồm chống trộm, hàng rào, khóa máy tính,
thẻ ra vào, bảo vệ, v.v…
An toàn thông tin và quản lý rủi ro
●
Các điều khiển này nhằm:
●
Làm nản (Deterrent)
●
Phòng ngừa (Preventive)
●
Sửa sai (Corrective)
●
Khôi phục (Recovery)
●
Phát hiện (Detective)
●
Bù đắp (Compensating)
●
Định hướng (Directive) ví dụ như luật
An toàn thông tin và quản lý rủi ro
Dữ liệu
Điều khiển hành chính
Điều khiển luận lý
Điều khiển vật lý
An toàn thông tin và quản lý rủi ro
●
Tổ chức phải có chương trình an toàn
thông tin bao trùm hoạt động của tổ chức
●
Chương trình này phải rõ ràng, phải được
mọi người trong tổ chức hiểu và thực hiện
●
Chương trình phải do một tổ phụ trách, tổ
này phải gồm tất cả những chủ dữ liệu
trong tổ chức
●
Chương trình phải được bảo trì, cập nhật
và theo dõi định kỳ
An toàn thông tin và quản lý rủi ro
●
Lỗ hổng (vulnerability) là những điểm yếu mà có
thể bị bộc lộ
●
Sự đe dọa (threat) là những điều nguy hại có thể
xảy ra, đối tượng đe dọa (threat agent) tận dụng
lỗ hổng có thể là trận bão, virus…
●
Rủi ro (risk) là xác suất một đối tượng đe dọa tận
dụng lỗ hổng và ảnh hưởng vì nó (phần trăm)
●
Sự bộc lộ (exposure) là mất mát xảy ra khi lỗ
hổng bị đối tượng đe dọa tận dụng (tiền)
●
Thiết bị an toàn (countermeasure, safeguard) để
giảm rủi ro có thể xảy ra
An toàn thông tin và quản lý rủi ro
● Xác định tài sản
● Xác định sự đe dọa
● Xác định tần số xảy ra hàng năm
● Xác định mức thiệt hại một lần
● Xác định mức thiệt hại hàng năm
● Annualized Loss Expectancy = Annualized Rate of
Occurence * Single Loss Expectancy
Tài sản Đe dọa ARO SLE ALE
Nhà máy Cháy nổ 0,1 230.000 23.000
Bí mật Mất cắp 0,01 40.000 400
Thông tin thẻ khách hàng Mất cắp 3 300.000 900.000
An toàn thông tin và quản lý rủi ro
●
Chọn phương án giải quyết dựa vào ALE
●
Giảm rủi ro (dùng các điều khiển)
●
Chuyển rủi ro (bảo hiểm)
●
Tránh rủi ro (không dùng, không sử dụng)
●
Chấp nhận (không làm gì cả)
●
Khi dùng các điều khiển để giảm rủi ro → vẫn
còn những rủi ro tồn đọng → Controls Gap
●
Total Risk * Controls Gap = Residual Risk
Điều khiển truy cập
●
Định danh (Identification)
●
Tôi là Nam
●
Xác nhận (Authentication)
●
Tôi có CMND để chứng minh điều đó
●
Phân quyền (Authorization)
●
Tôi có được thay đổi mức lương không?
●
Trách nhiệm (Accountability)
●
Ai đã thay đổi mức lương của tôi?
●
Hệ thống thông tin
●
Dữ liệu
●
Quy trình xử lý dữ liệu
●
CON NGƯỜI
●
An toàn hệ thống thông tin là giảm thiểu rủi
ro có thể xảy ra tới hệ thống thông tin.
An toàn hệ thống thông tin
●
Hoàn cảnh hiện tại
●
Phát triển của hệ thống thông tin trong doanh
nghiệp (ngân hàng, bảo hiểm, quốc phòng)
●
Luật pháp ngày càng chặt chẽ (SOX)
●
Sự số hóa phổ biến hơn
●
Giá trị thông tin số tăng cao
●
Gián điệp công nghiệp
●
Chiến tranh trên mạng (honkers vs US vs VN)
●
Tiên tiến kỹ thuật (IM, Web hóa)
An toàn hệ thống thông tin
●
Hoàn cảnh hiện tại ở Việt Nam
●
Báo SGGP ngày 31 tháng 03 năm 2008: tội
phạm quốc tế đánh cắp tiền từ ngân hàng VN
●
Báo điện tử Đảng Cộng sản Việt Nam ngày 18
tháng 12 năm 2007: Nhân viên Eximbank lừa
đảo làm thẻ tín dụng quốc tế
●
Sự cố máy ATM không rút được tiền
●
Sự cố gửi tiền 04 triệu VND thành AUD
●
Sự cố trang web bộ Giáo dục Đào tạo
●
Hàng ngàn sự cố các trang web nhỏ khác
An toàn hệ thống thông tin
●
Hoàn cảnh hiện tại ở Việt Nam
●
Hội tự phát
– HVA
– HCE
– 4VN
– VNSecurity
– Và các nhóm khác chưa ra mặt
●
Tổ chức chính quy
– VNCERT
– VNISA
An toàn hệ thống thông tin
●
Hoàn cảnh hiện tại ở Việt Nam
●
Tư vấn Trăng Xanh và OWASP Việt Nam
●
BKIS
●
Athena
●
CMC InfoSec
●
Nhu cầu cao, cung ứng thấp
●
Thiếu luật (chủ yếu chỉ có luật CNTT)
●
Thiếu/sợ trách nhiệm
An toàn hệ thống thông tin
●
Sinh viên là nguồn lực quý, cần có sự đầu
tư và định hướng đúng
●
Nhà trường
●
BẢN THÂN
●
Doanh nghiệp phải nâng cao nhận thức,
trách nhiệm, áp dụng quy trình tiên tiến
như COBIT, ITIL, loạt chuẩn ISO 27000
●
Doanh nghiệp trong ngành phải có trách
nhiệm xã hội
3 trụ cột
●
Tính sẵn sàng (Availability)
●
Thông tin phải có khi cần
●
Tính toàn vẹn (Integrity)
●
Thông tin không được thay đổi khi không
được phép
●
Khi được phép, thông tin không được thay đổi
sai
●
Tính bảo mật (Confidentiality)
●
Người ngoài không được biết thông tin
3 trụ cột
3 trụ cột
●
3 trụ cột này quan hệ mật thiết với nhau
●
Tùy vào hoàn cảnh mà tổ chức tập trung
vào khía cạnh này hoặc khía cạnh khác
●
Quốc phòng quan tâm C
●
Doanh nghiệp quan tâm I
●
Ai cũng quan tâm A
●
Chính sách an toàn thông tin phải làm rõ
sự quan trọng này, và phải đi cùng hướng
với chính sách kinh doanh của công ty
3 nguyên tắc chính
●
Phòng thủ nhiều tầng (Defense in Depth)
●
Lọt sàng xuống nia
●
Cân bằng trò chơi với mũ đen
●
Chia nhiệm vụ (Separation of Duties)
●
Việc quan trọng phải do ít nhất hai người làm
●
Quyền hạn tối thiểu (Least Privilege)
●
Chỉ đủ quyền để thực hiện công việc
●
Có bị tấn công cũng hạn chế hậu quả
10 miền kiến thức chung
●
Kiểm soát truy cập
●
An toàn ứng dụng
●
Liên tục kinh doanh và kế hoạch hồi phục sau
thảm họa
●
Mã hóa
●
An toàn thông tin và quản lý rủi ro
●
Luật pháp và điều tra
●
An toàn hoạt động
●
An toàn vật lý
●
Kiến trúc an ninh và thiết kế
●
An toàn viễn thông và mạng
An toàn thông tin và quản lý rủi ro
●
ATTT phải đi từ trên xuống (top-down)
●
Chính sách, định hướng phải do chủ dữ
liệu đề xuất
●
Chủ dữ liệu là người chịu trách nhiệm về
dữ liệu (tổng giám đốc, giám đốc, v.v…)
●
Quản trị hệ thống, quản lý dữ liệu là người
chịu trách nhiệm thực hiện chính sách
●
Họ thực hiện qua các điều khiển (control):
hành chính, luận lý, và vật lý
An toàn thông tin và quản lý rủi ro
●
Điều khiển hành chính (administrative
control) là định hướng, chính sách, chuẩn,
hướng dẫn, thủ tục thực hiện các tác vụ
●
Điều khiển luận lý (logical control) là thiết
lập, cấu hình, bảo dưỡng thiết bị, phần
mềm, danh sách truy cập, v.v…
●
Điều khiển vật lý (physical control) bao
gồm chống trộm, hàng rào, khóa máy tính,
thẻ ra vào, bảo vệ, v.v…
An toàn thông tin và quản lý rủi ro
●
Các điều khiển này nhằm:
●
Làm nản (Deterrent)
●
Phòng ngừa (Preventive)
●
Sửa sai (Corrective)
●
Khôi phục (Recovery)
●
Phát hiện (Detective)
●
Bù đắp (Compensating)
●
Định hướng (Directive) ví dụ như luật
An toàn thông tin và quản lý rủi ro
Dữ liệu
Điều khiển hành chính
Điều khiển luận lý
Điều khiển vật lý
An toàn thông tin và quản lý rủi ro
●
Tổ chức phải có chương trình an toàn
thông tin bao trùm hoạt động của tổ chức
●
Chương trình này phải rõ ràng, phải được
mọi người trong tổ chức hiểu và thực hiện
●
Chương trình phải do một tổ phụ trách, tổ
này phải gồm tất cả những chủ dữ liệu
trong tổ chức
●
Chương trình phải được bảo trì, cập nhật
và theo dõi định kỳ
An toàn thông tin và quản lý rủi ro
●
Lỗ hổng (vulnerability) là những điểm yếu mà có
thể bị bộc lộ
●
Sự đe dọa (threat) là những điều nguy hại có thể
xảy ra, đối tượng đe dọa (threat agent) tận dụng
lỗ hổng có thể là trận bão, virus…
●
Rủi ro (risk) là xác suất một đối tượng đe dọa tận
dụng lỗ hổng và ảnh hưởng vì nó (phần trăm)
●
Sự bộc lộ (exposure) là mất mát xảy ra khi lỗ
hổng bị đối tượng đe dọa tận dụng (tiền)
●
Thiết bị an toàn (countermeasure, safeguard) để
giảm rủi ro có thể xảy ra
An toàn thông tin và quản lý rủi ro
● Xác định tài sản
● Xác định sự đe dọa
● Xác định tần số xảy ra hàng năm
● Xác định mức thiệt hại một lần
● Xác định mức thiệt hại hàng năm
● Annualized Loss Expectancy = Annualized Rate of
Occurence * Single Loss Expectancy
Tài sản Đe dọa ARO SLE ALE
Nhà máy Cháy nổ 0,1 230.000 23.000
Bí mật Mất cắp 0,01 40.000 400
Thông tin thẻ khách hàng Mất cắp 3 300.000 900.000
An toàn thông tin và quản lý rủi ro
●
Chọn phương án giải quyết dựa vào ALE
●
Giảm rủi ro (dùng các điều khiển)
●
Chuyển rủi ro (bảo hiểm)
●
Tránh rủi ro (không dùng, không sử dụng)
●
Chấp nhận (không làm gì cả)
●
Khi dùng các điều khiển để giảm rủi ro → vẫn
còn những rủi ro tồn đọng → Controls Gap
●
Total Risk * Controls Gap = Residual Risk
Điều khiển truy cập
●
Định danh (Identification)
●
Tôi là Nam
●
Xác nhận (Authentication)
●
Tôi có CMND để chứng minh điều đó
●
Phân quyền (Authorization)
●
Tôi có được thay đổi mức lương không?
●
Trách nhiệm (Accountability)
●
Ai đã thay đổi mức lương của tôi?