Bài giảng Quản lý rủi ro và bảo mật

 QUẢN LÝ RỦI RO VÀ BẢO MẬT Trương Việt Phương Khoa Tin học Quản lý Đại học Kinh Tế Tp.HCM vietphuongtruong@yahoo.com PHẦN 1Giới thiệu về an toàn Thông tin Thông tin là gì? Cơ sở hạ tầng CNTT An toàn thông tin Các rủi ro của hệ thống thông tin ISMS ISO 27001 Giới thiệu – Thông tin là gì? Đối với một đối tượng hay hệ thống: Dữ liệu (data): Là các số liệu hay tài liệu cho trước chưa được xử lý. Thông tin (information): Là dữ liệu đã được xử lý và có ý nghĩa đối với đối tượng nhận tin. Thông tin là gì? Thông tin là tài sản, cũng như các tài sản kinh doanh quan trọng khác, có giá trị đối với một tổ chức và thường cần được bảo vệ một cách thích hợp. Nguồn: ISO/IEC 17799 Tầm quan trọng của Thông tin Thông tin là yếu tố cần thiết để duy trì lợi nhuận, dòng tiền mặt, lợi thế cạnh tranh và hình ảnh thương mại Ngày càng tăng sự phụ thuộc vào các hệ thống thông tin Thông tin là tài sản cũng như tài sản nguồn vốn và tài sản con người Thông tin Được lưu trữ trong Máy vi tính Được truyền qua mạng Được in hoặc viết ra giấy Được gửi bằng fax Được lưu trữ trong băng hoặc đĩa Được truyền đạt qua giao tiếp (kể cả điện thoại) Được hiển thị trên phim ảnh hoặc trình chiếu … Các Mối đe dọa đối với Thông tin Tai nạn và Thảm họa Nhân viên Các nhà tư vấn Đối tác Kinh doanh Người ngoài Máy vi tính (PC) và Vi rút … Phân loại thông tin Giới thiệu Nền tảng căn bản về đầu tư cho khả năng của CNTT (cả về mặt kỹ thuật và con người), được chia sẻ trong toàn doanh nghiệp nhờ vào các dịch vụ tin cậy và việc điều phối tập trung. Cơ sở hạ tầng CNTT là gì? Cơ sở hạ tầng Công nghệ Thông tin Mới Các Ứng dụng của Cơ sở hạ tầng Công nghệ Thông tin Thu thập Dữ liệu Phân tích, Rút gọn và Báo cáo Dữ liệu Phân tích Thống kê Kiểm soát quy trình Kiểm tra và Giám sát Tự động Thiết kế Hệ thống Quản lý Tài liệu … Các Ứng dụng của Cơ sở hạ tầng Công nghệ Thông tin Trong thương mại Trong quản lý công Trong giáo dục Trong dịch vụ truyền thông Trong học tập, nghiên cứu Trong giải trí … Thách thức của việc Quản lý Cơ sở hạ tầng CNTT Thách thức của việc Quản lý Cơ sở hạ tầng CNTT An toàn Thông tin là gì? Theo tiêu chuẩn ISO 27001, An toàn Thông tin được định nghĩa là việc bảo vệ: Tính bảo mật Tính toàn vẹn Tính sẵn sàng Ngoài ra, các thuộc tính khác như tính xác thực, tính trách nhiệm, tính thừa nhận và độ tin cậy cũng được đưa vào định nghĩa. Ba Khía cạnh của An toàn Thông tin Nội dung Quản lý An toàn Thông tin Rủi ro An toàn Thông tin Thách thức Quản lý hay Vấn đề Kỹ thuật? Chính sách An toàn Thông tin Trách nhiệm An toàn Thông tin Phổ biến/Huấn luyện An toàn Thông tin Kế hoạch Kinh doanh Liên tục Hệ thống, Công cụ, Cấu trúc, v.v... An toàn thông tin phải được coi là vấn đề quản lý và là thách thức kinh doanh, không đơn thuần chỉ là vấn đề kỹ thuật được giao cho các chuyên gia. Để bảo đảm an toàn cho việc kinh doanh, cần phải hiểu cả sự cố và giải pháp. Tại sao phải An toàn Thông tin? Bảo vệ thông tin khỏi những mối đe dọa Bảo đảm tính liên tục trong kinh doanh Tối đa hóa lợi nhuận đầu tư và các cơ hội kinh doanh Đây là một vấn đề kinh doanh! Làm cách nào để Đảm bảo An toàn Thông tin? Đảm bảo an toàn thông tin bằng cách thực hiện một nhóm công cụ kiểm soát thích hợp, có thể bao gồm các chính sách, thực hành, thủ tục, cơ cấu tổ chức và các chức năng phần mềm. Các công cụ kiểm soát này cần phải được thiết lập để đảm bảo đáp ứng các mục tiêu an toàn cụ thể của tổ chức. Tìm hiểu các Đe dọa, Lỗ hổng và Rủi ro Tìm hiểu các Đe dọa, Lỗ hổng và Rủi ro Các Đe dọa, Rủi ro và Lỗ hổng Risk Giảm Kiểm soát An toàn Giảm Đánh giá và Quản lý Rủi ro Tài sản là những gì mà tổ chức trực tiếp gán giá trị cho nó và do đó cần phải được bảo vệ. Tài sản Thông tin Tài sản Phần mềm Tài sản Vật chất Dịch vụ Những tài sản này phải nằm trong phạm vi của Hệ thống Quản lý An toàn Thông tin (ISMS). Đánh giá và Quản lý Rủi ro Theo ISO 27001, “tài sản” không nhất thiết phải bao gồm tất cả những gì thường được coi là có giá trị trong tổ chức. Tổ chức phải xác định tài sản nào có thể ảnh hưởng quan trọng đến việc tạo ra sản phẩm/dịch vụ khi bị thiếu hoặc bị hư hỏng; hoặc dẫn đến thiệt hại cho tổ chức do mất đi tính bảo mật hoặc tính toàn vẹn. Đánh giá và Quản lý Rủi ro Một số ví dụ: Tài sản Thông tin – cơ sở dữ liệu, bản sao điện tử Tài liệu Giấy – hợp đồng, hồ sơ nhân sự, hóa đơn, sổ tay hướng dẫn Tài sản Phần mềm – phần mềm ứng dụng, hệ điều hành, công cụ phát triển, chương trình tiện ích Tài sản Vật chất – máy vi tính, máy chủ, hub, tường lửa, thiết bị thông tin liên lạc, lưu trữ dữ liệu, kệ tủ, két sắt, phòng ốc, đồ nội thất Con người – nhân sự, khách hàng, người thuê bao, nhà thầu, lao công, bảo vệ Dịch vụ – viễn thông, sưởi, máy điều hòa, chiếu sáng, máy phát điện, bộ lưu điện UPS, chuông báo cháy, chuông chống trộm Hình ảnh/uy tín công ty – điều tiếng xấu, lỗi giao hàng Đánh giá và Quản lý Rủi ro Tài sản phải được xác định và phải được thiết lập quyền sở hữu. Cũng phải thiết lập một giá trị tương đối cho mỗi tài sản để có thể xác định mức độ quan trọng khi định lượng rủi ro. Đánh giá và Quản lý Rủi ro Tùy vào dạng thiệt hại / hư hỏng Thiệt hại tài chính Thiệt hại doanh thu / thị phần Tính sẵn sàng và sự gián đoạn hoạt động của dịch vụ Khả năng và năng suất xử lý Thiệt hại hình ảnh và uy tín Đánh giá và Quản lý Rủi ro Đe dọa là khả năng gây ra một sự cố không mong muốn, có thể dẫn đến việc hư hỏng cho một hệ thống hoặc một tổ chức và các tài sản của tổ chức. Có thể thuộc về môi trường (như bão lụt), kỹ thuật (như sập máy chủ), hoặc con người (như biểu tình). Có thể từ bên ngoài hoặc bên trong. Có thể do chủ ý hoặc vô ý. Tài sản chịu nhiều hình thức đe dọa bị khai thác các lỗ hổng. Đánh giá và Quản lý Rủi ro Đe dọa khai thác hoặc lợi dụng các lỗ hổng của tài sản để tạo ra rủi ro. Các mối đe dọa đối với tài sản phải được nhận diện. Có thể có nhiều mối đe dọa đối với mỗi tài sản. Việc nhận diện các mối đe dọa phải mang tính thực tế. Chỉ những đe dọa có xác suất đáng kể hoặc đặc biệt nguy hại mới cần được xem xét. Đánh giá và Quản lý Rủi ro Một số ví dụ: Truy cập Ngẫu nhiên – dữ liệu để bừa bãi, để lộ hoặc bị nhìn thấy dữ liệu trên màn hình máy vi tính, xem trên phương tiện giao thông công cộng Nhân viên và Cán bộ Bất mãn – Họ thường dễ nhận thấy lỗ hổng trong hệ thống của tổ chức. Họ có thể hành động vì lợi ích cá nhân hoặc để trả thù. Kẻ trộm Máy vi tính – Máy tính xách tay dễ bị trộm khi trông coi thiếu cẩn thận. Kẻ Buôn bán Thông tin và Tội phạm có Tổ chức – Tình báo Công nghiệp, tống tiền Hacker Máy vi tính – tự thử thách hoặc vì mục đích tài chính Báo chí – Các Phóng viên Điều tra có thể khai thác thông tin Tình báo Kinh tế – trộm cắp công nghệ, bí quyết, công thức, phá hoại Lễ hội/Kỳ nghỉ – Nhân viên quản trị hệ thống nghỉ làm Các Tổ chức Khủng bố – Những kẻ cực đoan Đánh giá và Quản lý Rủi ro Đánh giá và Quản lý Rủi ro Đánh giá và Quản lý Rủi ro Lỗ hổng là điểm yếu hoặc là lỗ hổng trong an toàn thông tin của tổ chức. Tự thân lỗ hổng không thể gây thiệt hại, mà chủ yếu nó là một điều kiện hoặc nhóm điều kiện cho phép các mối đe dọa tác động đến tài sản. Nếu không được quản lý, nó có thể làm cho các mối đe dọa trở thành hiện thực. Chẳng hạn như thiếu nhân sự chủ chốt, mạng lưới điện không ổn định, thiếu ý thức về an toàn, mật khẩu sai, cửa không khóa. Đánh giá và Quản lý Rủi ro Lỗ hổng là những khiếm khuyết được phát hiện trong tài sản, các mối đe dọa có thể bị khai thác những khiếm khuyết này để tạo ra rủi ro. Một tài sản có thể có nhiều lỗ hổng. Đánh giá và Quản lý Rủi ro Một số ví dụ: Các Hệ thống Báo động Hệ thống Thư thoại Gọi đến Cặp tài liệu/Túi xách Bất cẩn Kệ tủ Máy vi tính Đàm thoại Các Liên kết Dữ liệu Nhân sự Bưu phẩm/Thư từ Đánh giá và Quản lý Rủi ro Đánh giá và Quản lý Rủi ro Đe dọa và Lỗ hổng: An toàn Nhân sự Đánh giá và Quản lý Rủi ro Xác suất của mỗi tổ hợp đe dọa/lỗ hổng Các tổ hợp không có ý nghĩa quan trọng theo thống kê nên được bỏ qua. Đánh giá và Quản lý Rủi ro Thiệt hại (đôi khi còn được gọi là tác động) có thể được định lượng bằng con số để phản ảnh mức độ thiệt hại của một lần khai thác thành công. Giá trị định lượng này được tính trên thang đo mức độ nghiêm trọng tương đối của một rủi ro cho trước không phụ thuộc vào xác suất của nó. Đánh giá và Quản lý Rủi ro Đánh giá và giảm nhẹ rủi ro là mục tiêu của ISMS. Một rủi ro an toàn là khả năng một mối đe dọa biết trước sẽ khai thác các lỗ hổng để gây ra các thiệt hại/hư hỏng cho tài sản. Nó là một hàm tính mức tác động của một sự kiện không mong muốn và xác suất xảy ra sự kiện đó. Đánh giá và Quản lý Rủi ro Đánh giá Rủi ro là đánh giá các mối đe dọa, các tác động và các lỗ hổng đối với tài sản và khả năng xảy ra của chúng. Đánh giá đưa ra dự báo về rủi ro đối với một tài sản tại một thời điểm nhất định. Đánh giá trên trả lời cho các câu hỏi sau: Sai sót nào có thể xảy ra? Mức độ tồi tệ của nó như thế nào? Xác suất xảy ra ra sao? Làm cách nào để quản lý nó? Xác định và Định giá Tài sản Nhận diện các Lỗ hổng Nhận diện các Mối đe dọa Đánh giá Mức tác động Các rủi ro Kinh doanh Đánh giá/Xếp hạng các Rủi ro Mức độ Chấp nhận Rủi ro Quy trình đánh giá và quản lý Rủi ro (1) Đánh giá và Quản lý Rủi ro  Đánh giá và Quản lý Rủi ro Quy trình Đánh giá và Quản lý Rủi ro (2) Rà soát các Công cụ Kiểm soát An toàn Hiện hữu Xác định các Công cụ Kiểm soát An toàn Mới Chính sách và Thủ tục Thực hiện và Giảm thiểu Rủi ro Chấp nhận Rủi ro (Các Rủi ro Tồn đọng) Phân tích các Sai sót Đánh giá và Quản lý Rủi ro  Đánh giá và Quản lý Rủi ro Đánh giá và Quản lý Rủi ro Đo lường để Phòng ngừa, Phát hiện hoặc Giảm thiểu Rủi ro. An toàn hiệu quả thường đòi hỏi sự kết hợp của các yếu tố sau: Phát hiện Ngăn chặn Phòng ngừa Hạn chế Khắc phục Phục hồi Theo dõi Nhận thức Các Công cụ Kiểm soát An toàn Hệ thống Quản lý Kinh doanh Hệ thống Quản lý An toàn Thông tin Hệ thống Quản lý An toàn Thông tin Hệ thống Quản lý An toàn Thông tin (ISMS) là gì? là một phần của hệ thống quản lý chung, được dựa trên phương pháp về rủi ro trong kinh doanh, để thiết lập, thực hiện, vận hành, theo dõi, rà soát, duy trì và cải thiện hệ thống an toàn thông tin. LƯU Ý: Hệ thống quản lý bao gồm: cơ cấu tổ chức, chính sách, kế hoạch hành động, trách nhiệm, thực hành, thủ tục, quy trình và nguồn lực. Hệ thống Quản lý An toàn Thông tin Là một bộ công cụ kiểm soát được thiết lập trên cơ sở các thực hành tốt nhất về an toàn thông tin; Là một tiêu chuẩn quốc tế bao hàm mọi lĩnh vực của an toàn thông tin: Thiết bị Chính sách quản lý Nguồn nhân lực Pháp lý ISO 17799 / ISO 27001 là gì? Hệ thống Quản lý An toàn Thông tin ISO 17799 là gì? ISO/IEC 17799:2005 đưa ra các hướng dẫn và nguyên tắc chung để khởi động, thực hiện, duy trì và cải tiến việc quản lý an toàn thông tin trong tổ chức. Các mục tiêu trong tiêu chuẩn là hướng dẫn chung cho các mục đích được chấp nhận rộng rãi của việc quản lý an toàn thông tin. Hệ thống Quản lý An toàn Thông tin ISO 27001 là gì? ISO/IEC 27001:2005 quy định các yêu cầu của việc thiết lập, thực hiện, vận hành, theo dõi, rà soát, duy trì và cải tiến một Hệ thống Quản lý An toàn Thông tin được lập tài liệu trong môi trường có các rủi ro kinh doanh chung của tổ chức. Nó quy định các yêu cầu đối với việc thực hiện các công cụ kiểm soát an toàn được điều chỉnh phù hợp với từng tổ chức hoặc bộ phận của tổ chức. Hệ thống Quản lý An toàn Thông tin Ai cần ISMS? Mọi tổ chức, công ty, doanh nghiệp có xử lý thông tin: CĂN BẢN LÀ TẤT CẢ MỌI NGƯỜI!!!!!!!!!!!!!!! Ngân hàng Công ty CNTT và phát triển phần mềm Chính quyền (ví dụ: cơ quan thuế) Công ty Tư vấn Bệnh viện Trường học, Đại học Công ty Bảo hiểm Các Tổ chức Chứng nhận (CSP) ……………………………. chỉ là một số ít điển hình! Hệ thống Quản lý An toàn Thông tin Tại sao một tổ chức cần áp dụng ISMS? ISO 27001 đưa ra giải pháp tốt nhất về Quản lý An toàn Thông tin Nếu không có một Hệ thống Quản lý An toàn Thông tin (ISMS) chính thức như hệ thống theo ISO 27001, thì an toàn sẽ bị vi phạm – sớm hay muộn. Điều cần thiết nhất của việc An toàn Thông tin là một quy trình quản lý, không phải là một quy trình kỹ thuật. PHẦN 2Hệ thống Quản lý An toàn Thông tin ISO 27001 Hệ thống Quản lý An toàn Thông tin Hệ thống Tiêu chuẩn ISO 27000 ISO 27001 - Là tiêu chuẩn quy định các yêu cầu của hệ thống ISMS, tiền thân là BS 7799 Phần 2:2002, chứng nhận cho các tổ chức. Bản dự thảo của ISO 27001 được phát hành đầu tháng 6/2005. ISO 27002 (hiện nay là ISO 17799:2005) – Quy phạm Thực hành, là một tập hợp các mục tiêu kiểm soát an toàn thông tin và một danh mục các công cụ thực hành kiểm soát an toàn tốt nhất. Phiên bản 2005 của ISO 17799 được phát hành tháng 6/2005. Phiên bản mới vừa được ban hành (2006/2007). Hệ thống Quản lý ISO 27001 Cấu trúc ISO 27001:2005 1. Phạm vi 2. Tiêu chuẩn Viện dẫn 3. Thuật ngữ và Định nghĩa 4. Hệ thống Quản lý An toàn Thông tin 4.1 Các Yêu cầu Chung 4.2 Thiết lập và Quản lý ISMS 4.3 Các Yêu cầu về Tài liệu 5. Trách nhiệm Quản lý 6. Đánh giá Nội bộ ISMS 7. Rà Soát ISMS ở Cấp quản lý 8. Cải tiến ISMS 9. Phụ lục A, B, C và D Cơ cấu Quản lý ISO 27001:2005 (1) Xác định Chính sách Xác định Phạm vi của Hệ thống ISMS Tổ chức Đánh giá Rủi ro Bước 1 Bước 2 Bước 3 Chính sách Phạm vi ISMS Đánh giá Rủi ro Đe dọa, Lỗ hổng, Xác suất, Tác động Kết quả và Kết luận Hệ thống Quản lý ISO 27001 Cơ cấu Quản lý ISO 27001:2005 (2) Quản lý Rủi ro Chọn Công cụ Kiểm soát Soạn thảo Thông cáo Áp dụng (SOA) Bước 4 Bước 5 Bước 6 Công cụ Kiểm soát Được chọn SOA Các mục tiêu và công cụ kiểm soát Kết quả và Kết luận Phương pháp riêng của tổ chức để quản lý rủi ro và mức độ đảm bảo Các mục tiêu và công cụ kiểm soát được chọn Hệ thống Quản lý ISO 27001 Quy trình Áp dụng Mô hình PDCA vào ISMS Chu trình thiết lập, duy trì và cải tiến Phương pháp Thực hiện theo Quy trình Các Yêu cầu của Hệ thống Quản lý ISO 27001 Lập kế hoạch Các Yêu cầu của Hệ thống Quản lý ISO 27001 Thiết lập hệ thống ISMS a) Xác định phạm vi của ISMS b) Đề ra một chính sách ISMS c) Xác định một phương pháp đánh giá rủi ro của tổ chức d) Nhận diện các rủi ro e) Phân tích và đánh giá các rủi ro f) Xác định và đánh giá các giải pháp xử lý rủi ro g) Lựa chọn các mục tiêu và các công cụ kiểm soát để xử lý rủi ro h) Quyết định của cấp quản lý chấp thuận các rủi ro còn tồn đọng i) Nhận ủy quyền của cấp quản lý cho thực hiện và vận hành ISMS j) Soạn thảo Thông cáo Áp dụng Thực hiện Thực hiện và vận hành hệ thống ISMS a) Thiết lập kế hoạch xử lý rủi ro b) Thực hiện kế hoạch xử lý rủi ro c) Thực hiện các công cụ kiểm soát được chọn để đáp ứng các mục tiêu kiểm soát d) Quy định cách đo lường sự hiệu quả của các công cụ kiểm soát được chọn e) Thực hiện các chương trình huấn luyện và phổ biến f) Quản lý các hoạt động g) Quản lý nguồn lực cho ISMS g) Thực hiện các thủ tục và các công cụ kiểm soát khác Các Yêu cầu của Hệ thống Quản lý ISO 27001 Kiểm tra Theo dõi và rà soát hệ thống ISMS a) Thực hiện các thủ tục theo dõi, soát xét và các công cụ kiểm soát khác b) Tổ chức rà soát định kỳ hiệu quả của ISMS c) Đo lường hiệu quả của các công cụ kiểm soát d) Xem xét các đánh giá rủi ro theo định kỳ e) Tiến hành các đợt đánh giá nội bộ ISMS f) Tổ chức rà soát ISMS ở cấp quản lý g) Cập nhật các kế hoạch an toàn h) Ghi nhận các hoạt động và các sự kiện có thể tác động đến hiệu quả hoặc hiệu năng của ISMS Các Yêu cầu của Hệ thống Quản lý ISO 27001 Duy trì và cải tiến hệ thống ISMS a) Thực hiện các cải tiến đã được xác định b) Thực hiện các hành động khắc phục và phòng ngừa thích hợp c) Thông tin về các hoạt động và cải tiến với tất cả các bên liên quan d) Bảo đảm các cải tiến đạt được mục tiêu đề ra Cải tiến Các Yêu cầu của Hệ thống Quản lý ISO 27001 Lập tài liệu Hệ thống Quản lý ISO 27001 PHẦN 3Phương pháp Thực hiện ISMS Khởi động dự án Quy định ISMS Đánh giá rủi ro Quản lý rủi ro Huấn luyện và phổ biến Chuẩn bị đánh giá Đánh giá Cải tiến liên tục 8 Bước cần tuân thủ khi áp dụng tiêu chuẩn ISO 17799 / ISO 27001. Phương pháp Thực hiện ISO 27001 Phương pháp Thực hiện ISO 27001 Phương pháp Thực hiện ISO 27001 1.Khởi động Dự án Đây là giai đoạn chuẩn bị của dự án. Để thực hiện dự án thành công, cần phải: Có sự Cam kết của Lãnh đạo Cấp cao Thành lập hội đồng quản lý dự án Khởi động Dự án TẠI SAO CẦN PHẢI KHỞI ĐỘNG? Để đảm bảo việc vận dụng hợp lý các chức năng của cơ cấu quản lý an toàn thông tin, cần thiết phải có sự phê duyệt và cam kết của lãnh đạo cấp cao. Không có cam kết của lãnh đạo, việc thực hiện dự án có thể gặp một số khó khăn. Để giảm bớt sự trì hoãn kéo dài, phải đạt được sự cam kết của lãnh đạo cấp cao ở tất cả các cấp độ: điều hành, kỹ thuật, tài chính, và cả cam kết về tiến độ thực hiện. Khởi động Dự án VAI TRÒ VÀ TRÁCH NHIỆM Hội đồng quản lý dự án thường bao gồm một viên chức quản lý cao cấp, một giám đốc dự án và đại diện của các đơn vị hành chính khác nhau. Giám đốc dự án thường quản lý các hoạt động nghiệp vụ và quy định các thứ tự ưu tiên. Giám đốc dự án phải nắm vững quy trình thực hiện và luôn thường trực. Trong một số tổ chức lớn, Giám đốc An toàn Thông tin (CISO) thực hiện các nhiệm vụ này. Khởi động Dự án 2. Quy định ISMS Quy định ISMS Quy định ISMS Quy định ISMS Soát xét hệ thống tài liệu hiện tại để đánh giá phạm vi của các biện pháp an toàn hiện tại, như sổ tay hướng dẫn Quản lý Chất lượng ISO 9000, sổ tay hướng dẫn Quản lý Môi trường ISO 14001 và sổ tay hướng dẫn Chính sách An toàn. Trưởng phòng ban liên quan đến ISMS phải phác t