Phương Pháp Nhận Dạng Các Nguy Cơ Gây Mất An Toàn Và Bảo Mật Thông Tin

and Security Survey - CCSS) năm 2011, có thể chia các nguy cơ gây mất an toàn và bảo mật thông tin thành 14 nhóm như sau:

(1) Sự thỏa hiệp để sở hữu trí tuệ: Điển hình của nguy cơ này là vi phạm bản quyền, sao chép bản quyền trái phép.

(2) Các cuộc tấn công vào phần mềm: Như sử dụng các loại virus, sâu máy tính, các chương trình macro, các kiểu tấn công từ chối dịch vụ, v.v...

(3) Sự sai khác trong chất lượng dịch vụ được cung cấp bởi các nhà cung cấp dịch vụ như ISP, quyền lực của các hệ thống WAN, các vấn đề gặp phải trong các dịch vụ từ các nhà cung cấp dịch vụ mạng.

(4) Gián điệp hoặc xâm nhập trái phép: Các truy cập trái phép và các dịch vụ thu thập dữ liệu trái phép, hoặc không được sự đồng ý của người dùng.

(5) Các nguy cơ từ thiên nhiên như hỏa hoạn, lũ lụt, động đất, sét, sóng thần.

(6) Lỗi do con người gây ra như các lỗi trong quá trình sử dụng máy tính, các vấn đề xảy ra khi nhân viên thực hiện tác nghiệp, sự thiếu hiểu biết của người sử dụng.

(7) Tống tiền bằng thông tin như các thư đen (blackmail), đe dọa công bố thông tin trái phép, khủng bố người dùng bằng thông tin.

(8) Thông tin bị thiếu, không đầy đủ như quá trình truy cập bị ngắt giữa chừng, lỗi mất mát thông tin trong quá trình lưu trữ, hay mất quyền truy cập vào hệ thống thông tin do hỏng hóc từ ổ đĩa mà không được sao lưu phù hợp, kế hoạch phục hồi không hiệu quả.

(9) Hệ thống điều khiển bị thiếu, không đầy đủ hoặc không đúng đắn gây nên các lỗ hổng từ mạng máy tính, hoặc làm cho hệ thống ngăn chặn bị vô hiệu hóa,...

(10) Bị phá hoại: Bị cố ý phá hoại làm hỏng hóc hệ thống thông tin như sự tấn công từ con người, các hệ thống điều khiển làm ngừng hoạt động của hệ thống.

(11) Trộm cắp: Bị trộm cắp các thiết bị vật lý, thiết bị lưu trữ thông tin, thiết bị mạng,...

(12) Hỏng hóc hoặc lỗi của thiết bị phần cứng.

(13) Hỏng hóc các phần mềm như các lỗi, vấn đề mã chương trình, các lỗ hổng,...

(14) Các thiết bị công nghệ lỗi thời, không được cập nhật kịp thời cũng làm cho các hệ thống thông tin không được an toàn khi vận hành.

2.2.3. Phương pháp nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin

Phương pháp chung để nhận dạng, xác định các nguy cơ gây mất an toàn và bảo mật thông tin trong hệ thống thông tin là thực hiện theo quy trình chung gồm 6 bước được trình bày trong Hình 2.2:

Lập kế hoạch và tổ chức

thực hiện

Phân loại các thành phần trong HTTT

Kiểm kê và phân loại các tài nguyên

Hình 2.2. Quy trình nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin

(Nguồn Mark Rhodes - Ousley [16])

Có thể bạn quan tâm!

Xem toàn bộ 142 trang tài liệu này.

(1) Bước 1: Lập kế hoạch và tổ chức quá trình thực hiện.

(2) Bước 2: Phân loại các thành phần của hệ thống thông tin.

(3) Bước 3: Liệt kê và phân loại các tài nguyên.

(4) Bước 4: Phân loại các tài nguyên theo mức độ ưu tiên.

(5) Bước 5: Xác định các nguy cơ, mối đe dọa theo mức độ nguy hiểm.

(6) Bước 6: Chỉ định các mối đe dọa tấn công các lỗ hổng.

Bước 1. Lập kế hoạch và tổ chức quá trình thực hiện

Bước đầu tiên trong quy trình nhận dạng, xác định nguy cơ gây mất an toàn và bảo mật thông tin là thực hiện theo nguyên tắc quản lý dự án, bắt đầu bằng cách tổ chức một nhóm hoặc một đội, thường các thành viên trong đội sẽ bao gồm đại diện của tất cả các đơn vị nhóm có tài sản dễ bị ảnh hưởng hay dễ gặp phải rủi ro trong quá trình vận hành hệ thống thông tin. Việc nhận dạng, xác định rủi ro cho thông tin được thực hiện liên tục kể từ khi hệ thống thông tin bắt đầu được vận hành cho đến khi nó bị loại bỏ khỏi hoạt động của tổ chức, doanh nghiệp và được thực hiện khắp mọi nơi có nguy cơ có thể xảy ra trong tổ chức, doanh nghiệp. Quá trình này phải được lên kế hoạch, thực hiện định kỳ, có các bản đánh giá chi tiết và các báo cáo cụ thể gửi cho bộ phận lãnh đạo, quản lý của tổ chức, doanh nghiệp.

Quá trình này được thực hiện theo từng bước: xác định các nhiệm vụ, tổ chức phân công thực hiện và sắp xếp thời gian biểu cụ thể. Chỉ khi đó mới có thể nói rằng đã sẵn sàng để thực sự bắt đầu xác định, nhận dạng nguy cơ gây mất an toàn và bảo mật thông tin.

Bước 2. Phân loại các thành phần trong hệ thống thông tin

Thông thường các thành phần trong hệ thống thông tin được chia thành năm loại: Con người, thủ tục, dữ liệu, phần mềm và phần cứng.

- Con người trong hệ thống thông tin bao gồm nhân viên, những cộng sự tham gia vào vận hành, khai thác hệ thống và khách hàng. Trong các tổ

chức, doanh nghiệp thường có hai nhóm nhân viên là nhóm những người có thẩm quyền, có trách nhiệm cao và nhóm các nhân viên bình thường không có đặc quyền trong hệ thống; Cộng sự, đối tác và khách hàng có thể bao gồm các nhà thầu và chuyên gia tư vấn, thành viên của các tổ chức khác mà doanh nghiệp có mối quan hệ tin cậy và khách hàng của tổ chức.

- Các thủ tục trong hệ thống thông tin bao gồm các quy trình, thủ tục đã được ban hành và các quy trình, thủ tục nhạy cảm chưa được xác định bằng văn bản cụ thể (trong kinh doanh, đó là những quy trình, thủ tục có thể làm cho một tác nhân nào đó có thể đe dọa đến hoạt động của tổ chức như gây ra một cuộc tấn công chống lại tổ chức hoặc làm cho nguy cơ gây rủi ro cho tổ chức có thể xảy ra nhanh hơn).

- Dữ liệu trong hệ thống thông tin bao gồm toàn bộ dữ liệu đang lưu trữ, sử dụng trong hệ thống, các dữ liệu đang tham gia vào các quy trình xử lý và các dữ liệu đang được truyền trên kênh truyền. Mỗi thể hiện hay trạng thái của dữ liệu đều có thể có những nguy cơ gây mất an toàn và bảo mật khác nhau.

- Phần mềm trong hệ thống thông tin bao gồm các phần mềm ứng dụng, các phần mềm điều hành, phần mềm chuyên dụng, phần mềm bảo mật,... Việc xác định chính xác các loại phần mềm góp phần nâng cao khả năng xác định rủi ro đối với cơ sở hạ tầng của hệ thống thông tin của tổ chức, doanh nghiệp - một trong những thành phần tiềm ẩn nguy cơ gây mất an toàn và bảo mật thông tin trong hệ thống thông tin.

- Các thiết bị phần cứng bao gồm các thiết bị phần cứng máy tính, các thiết bị phần cứng mạng, các thiết bị bảo vệ (kể cả thiết bị của hệ thống kiểm soát an ninh thông tin) và các thiết bị ngoại mạng khác của tổ chức, doanh nghiệp.

Bước 3. Phân loại các tài nguyên trong hệ thống

Các tài nguyên liên quan đến an toàn và bảo mật thông tin trong hệ thống thông tin là cả năm thành phần của hệ thống thông tin (phần cứng,

phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và con người). Tuy nhiên, việc xác định nguồn nhân lực, thủ tục và dữ liệu cần đảm bảo an toàn và hạn chế rủi ro khó hơn đối với việc xác định các tài nguyên phần cứng và phần mềm.

Các nhân sự tham gia vào hoạt động của hệ thống thông tin, thông thường được đánh số, cấp mã hoặc chỉ mục theo số hiệu, chức danh, phòng ban, vị trí làm việc. Những nhân viên tham gia vào công tác đảm bảo an toàn và bảo mật thông tin cho hệ thống cần nắm chắc vị trí và chức năng của từng nhân sự để đảm bảo có thể nhận được các thông báo kịp thời các sự cố ở mọi vị trí trong tổ chức nhằm duy trì hệ thống làm việc ổn định.

Các quy trình thủ tục cần được mô tả cụ thể, rõ ràng mục đích, phạm vi, mối quan hệ với các phần cứng, phần mềm, vị trí lưu trữ, các bản sao nếu có. Các yếu tố về mạng, về phạm vi tác động của các quy trình cần được chỉ rõ nhằm đảm bảo người dùng trong hệ thống có thể hiểu được các thủ tục này.

Các dữ liệu cần lưu trữ và xử lý trong hệ thống cũng cần được phân loại, theo chủ sở hữu, người tạo ra, người quản lý, kích thước của cấu trúc dữ liệu, các kiểu cấu trúc dữ liệu được sử dụng (tuần tự, quan hệ...), kiểu lưu trữ và xử lý là trực tuyến hoặc offline; vị trí lưu trữ ở đâu, những ai có thể sử dụng chúng, các cơ chế sao lưu tác động lên chúng, cách thức sao lưu, phục hồi theo định kỳ như thế nào? đều phải được quản lý rõ ràng và chi tiết.

Ngoài ra, cũng cần phân loại dữ liệu và thông tin theo mức độ bảo mật của các thông tin trong hệ thống, như tính bảo mật, tính sẵn sàng, khả năng gặp rủi ro, kế hoạch kiểm soát, vấn đề truy cập, cá nhân hay đơn vị chịu trách nhiệm...

Đối với phần cứng, phần mềm, hệ thống mạng: Cần xác định rõ những thành phần nào của thiết bị phần cứng, các thành phần nào của các phần mềm và những thành phần nào của mạng cần được theo dõi? Điều này phụ thuộc vào nhu cầu và những nỗ lực quản lý rủi ro của tổ chức, doanh nghiệp, cũng như các chính sách và nhu cầu của cộng đồng an ninh

thông tin và công nghệ thông tin của tổ chức. Thông thường các vấn đề sau đây cần được đưa ra xem xét:

- Tên tài khoản: Có thể gặp các vấn đề như trùng tên, nhiều tên cho cùng một đối tượng, tên không đặt theo chuẩn... Vì vậy, cần thống nhất quy chuẩn đặt tên cho các đối tượng tham gia vào các thành phần tham gia vào hệ thống như người dùng, tên thiết bị phần cứng, các máy chủ, các thư mục dùng chung,...

- Địa chỉ IP: Việc nhiều tổ chức, doanh nghiệp sử dụng các giao thức DHCP trong giao thức TCP/IP hoặc chưa đăng ký các địa chỉ IP tĩnh trong các truy cập quốc tế có thể gây ra các rủi ro cho hệ thống thông tin của tổ chức, doanh nghiệp.

- Địa chỉ MAC (địa chỉ duy nhất của tất cả các thiết bị phần cứng) cũng là một mục tiêu có thể bị giả mạo hoặc bị tấn công của những người không được phép khi hệ thống thông tin hoạt động.

- Đối với các thành phần khác như các phần cứng (như máy chủ, máy tính để bàn, các thiết bị kết nối mạng, hoặc các thiết bị kiểm tra như camera, máy quét...), phần mềm (kể cả các phần mềm ứng dụng đặc biệt như các phần mềm bảo mật - tường lửa, hệ thống quản lý mạng riêng ảo, hệ thống quản lý các giao dịch...) cần xây dựng một danh sách các yếu tố có thể gây nên các lỗ hổng, điểm yếu trong hệ thống; cũng như các yếu tố như số serial hay các phiên bản (Version), tên nhà sản xuất ra sản phẩm, vị trí địa lý... Cần xác định các mức độ ưu tiên khác nhau, các vấn đề được sắp xếp theo thứ tự ưu tiên.

Ngoài ra, cần có chế độ kiểm soát các thực thể này, xác định tổ chức, đơn vị điều khiển từng thành phần, phân biệt được các nhóm hoặc đơn vị kiểm soát từng thành phần cụ thể và có chính sách cụ thể cho từng đối tượng.

Bước 4. Xác định độ ưu tiên dựa trên vai trò, sự quan trọng của các tài nguyên

Cần có đánh giá độ nhạy cảm và độ ưu tiên mức độ quan trọng trong an toàn và bảo mật của thông tin như thông tin bí mật, thông tin nội bộ,

thông tin công khai công cộng và các thiết bị liên quan đến quá trình vận động của thông tin như các thiết bị lưu trữ thông tin, thiết bị truyền thông tin và các quy tắc, quy trình xử lý thông tin.

Cách phân loại và đánh giá phải được lựa chọn sao cho chúng bao hàm hết được các mức độ và không bị chồng chéo hoặc loại trừ lẫn nhau. Các bước thường tiến hành thực hiện là: đánh giá thông tin, xác định độ ưu tiên, xác định mối đe dọa dựa trên các nhóm, xác định các lỗ hổng và xây dựng tài liệu đánh giá.

- Đánh giá thông tin:

Để đánh giá thông tin có thể dùng một bảng đánh giá bao gồm các câu hỏi và điểm cho câu trả lời. Các câu hỏi thường liên quan đến các nội dung sau:

+ Thông tin hay dịch vụ nào mang lại nhiều doanh thu nhất cho tổ chức?

+ Những thông tin nào tạo ra khả năng sinh lời cao nhất?

+ Những thông tin nào có chi phí quá tốn kém cần phải thay thế?

+ Những thông tin đắt giá hoặc ít tốn kém nhất cần bảo vệ?

+ Những thông tin dễ gây ra cho tổ chức, doanh nghiệp gặp phải vấn đề pháp lý hoặc gây ra rò rỉ thông tin?

- Đo lường thông tin:

Việc tính toán, ước lượng, hoặc đo lường thông tin cần đánh giá có thể dựa trên xem xét các giá trị sau của thông tin:

+ Giá trị nhận được từ chi phí của việc tạo ra các thông tin?

+ Giá trị nhận được từ duy trì lâu dài các thông tin?

+ Giá trị từ việc cung cấp các thông tin cần đánh giá cho người sử dụng?

+ Giá trị phát sinh từ chi phí của việc bảo vệ thông tin cần đánh giá?

+ Giá trị của việc sở hữu các thông tin cần đánh giá?

+ Giá trị của sở hữu trí tuệ các thông tin cần đánh giá?

+ Giá trị đánh giá từ đối thủ cạnh tranh?

- Xác định mức độ ảnh hưởng của thông tin:

Khi đã hoàn tất danh sách các thông tin cần đánh giá, cần đưa ra bảng phân tích các yếu tố ảnh hưởng (ví dụ như doanh thu, lợi nhuận, hình ảnh thương hiệu, v.v...) dựa theo trọng số của chúng. Thông thường độ ưu tiên (hay trọng số) của các yếu tố ảnh hưởng được xác định có tổng bằng 100, nghĩa là:

𝑤 = 𝑤1 + 𝑤2+. . +𝑤𝑛 = 1,

Trong đó 𝑤1, 𝑤2, . . . , 𝑤𝑛 tương ứng là trọng số của các yếu tố ảnh hưởng.

Bước 5. Xác định hay nhận dạng các mối đe dọa

Sau khi đã xác định và phân loại được các nhóm thông tin cần đánh giá trong tổ chức, cần phân tích và kiểm tra các nguy cơ, các mối đe dọa có thể xảy ra đối với các thông tin đó của tổ chức. Các mối đe dọa gây mất an toàn và bảo mật thông tin trong tổ chức, doanh nghiệp thông thường được xác định dựa trên một số đặc trưng.

Mối đe dọa kiểu vectơ là một thuật ngữ dùng để mô tả nơi một mối đe dọa bắt nguồn và con đường cần thiết phải đi qua để mục tiêu tấn công đạt được (nguy cơ biến thành hiện thực). Ví dụ: Một thông điệp qua thư điện tử được gửi từ bên ngoài tổ chức cho một nhân viên bên trong tổ chức, thư điện tử có một tập tin đính kèm chứa một đoạn mã độc Trojan, khi người nhận mở ra sẽ kích hoạt mã độc Trojan hoạt động. Ở đây, nguồn gốc của nguy cơ là tệp tin và đường dẫn đến mục tiêu là thư điện tử.

Bước 6. Đặc tả lỗ hổng của các tài nguyên

Dựa trên các nhóm thông tin cần đánh giá của hệ thống và các mối đe dọa mà hệ thống có thể sẽ gặp phải, cần đưa ra danh sách các lỗ hổng

Xem tất cả 142 trang.

Ngày đăng: 18/05/2023