and Security Survey - CCSS) năm 2011, có thể chia các nguy cơ gây mất an toàn và bảo mật thông tin thành 14 nhóm như sau:
(1) Sự thỏa hiệp để sở hữu trí tuệ: Điển hình của nguy cơ này là vi phạm bản quyền, sao chép bản quyền trái phép.
(2) Các cuộc tấn công vào phần mềm: Như sử dụng các loại virus, sâu máy tính, các chương trình macro, các kiểu tấn công từ chối dịch vụ, v.v...
(3) Sự sai khác trong chất lượng dịch vụ được cung cấp bởi các nhà cung cấp dịch vụ như ISP, quyền lực của các hệ thống WAN, các vấn đề gặp phải trong các dịch vụ từ các nhà cung cấp dịch vụ mạng.
(4) Gián điệp hoặc xâm nhập trái phép: Các truy cập trái phép và các dịch vụ thu thập dữ liệu trái phép, hoặc không được sự đồng ý của người dùng.
(5) Các nguy cơ từ thiên nhiên như hỏa hoạn, lũ lụt, động đất, sét, sóng thần.
(6) Lỗi do con người gây ra như các lỗi trong quá trình sử dụng máy tính, các vấn đề xảy ra khi nhân viên thực hiện tác nghiệp, sự thiếu hiểu biết của người sử dụng.
(7) Tống tiền bằng thông tin như các thư đen (blackmail), đe dọa công bố thông tin trái phép, khủng bố người dùng bằng thông tin.
(8) Thông tin bị thiếu, không đầy đủ như quá trình truy cập bị ngắt giữa chừng, lỗi mất mát thông tin trong quá trình lưu trữ, hay mất quyền truy cập vào hệ thống thông tin do hỏng hóc từ ổ đĩa mà không được sao lưu phù hợp, kế hoạch phục hồi không hiệu quả.
(9) Hệ thống điều khiển bị thiếu, không đầy đủ hoặc không đúng đắn gây nên các lỗ hổng từ mạng máy tính, hoặc làm cho hệ thống ngăn chặn bị vô hiệu hóa,...
(10) Bị phá hoại: Bị cố ý phá hoại làm hỏng hóc hệ thống thông tin như sự tấn công từ con người, các hệ thống điều khiển làm ngừng hoạt động của hệ thống.
(11) Trộm cắp: Bị trộm cắp các thiết bị vật lý, thiết bị lưu trữ thông tin, thiết bị mạng,...
(12) Hỏng hóc hoặc lỗi của thiết bị phần cứng.
(13) Hỏng hóc các phần mềm như các lỗi, vấn đề mã chương trình, các lỗ hổng,...
(14) Các thiết bị công nghệ lỗi thời, không được cập nhật kịp thời cũng làm cho các hệ thống thông tin không được an toàn khi vận hành.
2.2.3. Phương pháp nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin
Phương pháp chung để nhận dạng, xác định các nguy cơ gây mất an toàn và bảo mật thông tin trong hệ thống thông tin là thực hiện theo quy trình chung gồm 6 bước được trình bày trong Hình 2.2:
Hình 2.2. Quy trình nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin (Nguồn Mark Rhodes - Ousley [16]) |
Có thể bạn quan tâm!
- Các Chính Sách An Toàn Và Bảo Mật Thông Tin Trên Thế Giới
- An toàn và bảo mật thông tin: Phần 1 - PGS.TS. Đàm Gia Mạnh, TS. Nguyễn Thị Hội Chủ biên - 8
- Xác Định, Nhận Dạng Các Nguy Cơ Gây Mất An Toàn Và Bảo Mật Thông Tin
- Minh Họa Các Kiểu Đe Dọa Và Biện Pháp Kiểm Soát An Toàn
- Kiểm Soát An Toàn Và Bảo Mật Thông Tin
- Các Kiểu Tấn Công Gây Mất An Toàn Và Bảo Mật Thông Tin
Xem toàn bộ 142 trang tài liệu này.
(1) Bước 1: Lập kế hoạch và tổ chức quá trình thực hiện.
(2) Bước 2: Phân loại các thành phần của hệ thống thông tin.
(3) Bước 3: Liệt kê và phân loại các tài nguyên.
(4) Bước 4: Phân loại các tài nguyên theo mức độ ưu tiên.
(5) Bước 5: Xác định các nguy cơ, mối đe dọa theo mức độ nguy hiểm.
(6) Bước 6: Chỉ định các mối đe dọa tấn công các lỗ hổng.
Bước 1. Lập kế hoạch và tổ chức quá trình thực hiện
Bước đầu tiên trong quy trình nhận dạng, xác định nguy cơ gây mất an toàn và bảo mật thông tin là thực hiện theo nguyên tắc quản lý dự án, bắt đầu bằng cách tổ chức một nhóm hoặc một đội, thường các thành viên trong đội sẽ bao gồm đại diện của tất cả các đơn vị nhóm có tài sản dễ bị ảnh hưởng hay dễ gặp phải rủi ro trong quá trình vận hành hệ thống thông tin. Việc nhận dạng, xác định rủi ro cho thông tin được thực hiện liên tục kể từ khi hệ thống thông tin bắt đầu được vận hành cho đến khi nó bị loại bỏ khỏi hoạt động của tổ chức, doanh nghiệp và được thực hiện khắp mọi nơi có nguy cơ có thể xảy ra trong tổ chức, doanh nghiệp. Quá trình này phải được lên kế hoạch, thực hiện định kỳ, có các bản đánh giá chi tiết và các báo cáo cụ thể gửi cho bộ phận lãnh đạo, quản lý của tổ chức, doanh nghiệp.
Quá trình này được thực hiện theo từng bước: xác định các nhiệm vụ, tổ chức phân công thực hiện và sắp xếp thời gian biểu cụ thể. Chỉ khi đó mới có thể nói rằng đã sẵn sàng để thực sự bắt đầu xác định, nhận dạng nguy cơ gây mất an toàn và bảo mật thông tin.
Bước 2. Phân loại các thành phần trong hệ thống thông tin
Thông thường các thành phần trong hệ thống thông tin được chia thành năm loại: Con người, thủ tục, dữ liệu, phần mềm và phần cứng.
- Con người trong hệ thống thông tin bao gồm nhân viên, những cộng sự tham gia vào vận hành, khai thác hệ thống và khách hàng. Trong các tổ
chức, doanh nghiệp thường có hai nhóm nhân viên là nhóm những người có thẩm quyền, có trách nhiệm cao và nhóm các nhân viên bình thường không có đặc quyền trong hệ thống; Cộng sự, đối tác và khách hàng có thể bao gồm các nhà thầu và chuyên gia tư vấn, thành viên của các tổ chức khác mà doanh nghiệp có mối quan hệ tin cậy và khách hàng của tổ chức.
- Các thủ tục trong hệ thống thông tin bao gồm các quy trình, thủ tục đã được ban hành và các quy trình, thủ tục nhạy cảm chưa được xác định bằng văn bản cụ thể (trong kinh doanh, đó là những quy trình, thủ tục có thể làm cho một tác nhân nào đó có thể đe dọa đến hoạt động của tổ chức như gây ra một cuộc tấn công chống lại tổ chức hoặc làm cho nguy cơ gây rủi ro cho tổ chức có thể xảy ra nhanh hơn).
- Dữ liệu trong hệ thống thông tin bao gồm toàn bộ dữ liệu đang lưu trữ, sử dụng trong hệ thống, các dữ liệu đang tham gia vào các quy trình xử lý và các dữ liệu đang được truyền trên kênh truyền. Mỗi thể hiện hay trạng thái của dữ liệu đều có thể có những nguy cơ gây mất an toàn và bảo mật khác nhau.
- Phần mềm trong hệ thống thông tin bao gồm các phần mềm ứng dụng, các phần mềm điều hành, phần mềm chuyên dụng, phần mềm bảo mật,... Việc xác định chính xác các loại phần mềm góp phần nâng cao khả năng xác định rủi ro đối với cơ sở hạ tầng của hệ thống thông tin của tổ chức, doanh nghiệp - một trong những thành phần tiềm ẩn nguy cơ gây mất an toàn và bảo mật thông tin trong hệ thống thông tin.
- Các thiết bị phần cứng bao gồm các thiết bị phần cứng máy tính, các thiết bị phần cứng mạng, các thiết bị bảo vệ (kể cả thiết bị của hệ thống kiểm soát an ninh thông tin) và các thiết bị ngoại mạng khác của tổ chức, doanh nghiệp.
Bước 3. Phân loại các tài nguyên trong hệ thống
Các tài nguyên liên quan đến an toàn và bảo mật thông tin trong hệ thống thông tin là cả năm thành phần của hệ thống thông tin (phần cứng,
phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và con người). Tuy nhiên, việc xác định nguồn nhân lực, thủ tục và dữ liệu cần đảm bảo an toàn và hạn chế rủi ro khó hơn đối với việc xác định các tài nguyên phần cứng và phần mềm.
Các nhân sự tham gia vào hoạt động của hệ thống thông tin, thông thường được đánh số, cấp mã hoặc chỉ mục theo số hiệu, chức danh, phòng ban, vị trí làm việc. Những nhân viên tham gia vào công tác đảm bảo an toàn và bảo mật thông tin cho hệ thống cần nắm chắc vị trí và chức năng của từng nhân sự để đảm bảo có thể nhận được các thông báo kịp thời các sự cố ở mọi vị trí trong tổ chức nhằm duy trì hệ thống làm việc ổn định.
Các quy trình thủ tục cần được mô tả cụ thể, rõ ràng mục đích, phạm vi, mối quan hệ với các phần cứng, phần mềm, vị trí lưu trữ, các bản sao nếu có. Các yếu tố về mạng, về phạm vi tác động của các quy trình cần được chỉ rõ nhằm đảm bảo người dùng trong hệ thống có thể hiểu được các thủ tục này.
Các dữ liệu cần lưu trữ và xử lý trong hệ thống cũng cần được phân loại, theo chủ sở hữu, người tạo ra, người quản lý, kích thước của cấu trúc dữ liệu, các kiểu cấu trúc dữ liệu được sử dụng (tuần tự, quan hệ...), kiểu lưu trữ và xử lý là trực tuyến hoặc offline; vị trí lưu trữ ở đâu, những ai có thể sử dụng chúng, các cơ chế sao lưu tác động lên chúng, cách thức sao lưu, phục hồi theo định kỳ như thế nào? đều phải được quản lý rõ ràng và chi tiết.
Ngoài ra, cũng cần phân loại dữ liệu và thông tin theo mức độ bảo mật của các thông tin trong hệ thống, như tính bảo mật, tính sẵn sàng, khả năng gặp rủi ro, kế hoạch kiểm soát, vấn đề truy cập, cá nhân hay đơn vị chịu trách nhiệm...
Đối với phần cứng, phần mềm, hệ thống mạng: Cần xác định rõ những thành phần nào của thiết bị phần cứng, các thành phần nào của các phần mềm và những thành phần nào của mạng cần được theo dõi? Điều này phụ thuộc vào nhu cầu và những nỗ lực quản lý rủi ro của tổ chức, doanh nghiệp, cũng như các chính sách và nhu cầu của cộng đồng an ninh
thông tin và công nghệ thông tin của tổ chức. Thông thường các vấn đề sau đây cần được đưa ra xem xét:
- Tên tài khoản: Có thể gặp các vấn đề như trùng tên, nhiều tên cho cùng một đối tượng, tên không đặt theo chuẩn... Vì vậy, cần thống nhất quy chuẩn đặt tên cho các đối tượng tham gia vào các thành phần tham gia vào hệ thống như người dùng, tên thiết bị phần cứng, các máy chủ, các thư mục dùng chung,...
- Địa chỉ IP: Việc nhiều tổ chức, doanh nghiệp sử dụng các giao thức DHCP trong giao thức TCP/IP hoặc chưa đăng ký các địa chỉ IP tĩnh trong các truy cập quốc tế có thể gây ra các rủi ro cho hệ thống thông tin của tổ chức, doanh nghiệp.
- Địa chỉ MAC (địa chỉ duy nhất của tất cả các thiết bị phần cứng) cũng là một mục tiêu có thể bị giả mạo hoặc bị tấn công của những người không được phép khi hệ thống thông tin hoạt động.
- Đối với các thành phần khác như các phần cứng (như máy chủ, máy tính để bàn, các thiết bị kết nối mạng, hoặc các thiết bị kiểm tra như camera, máy quét...), phần mềm (kể cả các phần mềm ứng dụng đặc biệt như các phần mềm bảo mật - tường lửa, hệ thống quản lý mạng riêng ảo, hệ thống quản lý các giao dịch...) cần xây dựng một danh sách các yếu tố có thể gây nên các lỗ hổng, điểm yếu trong hệ thống; cũng như các yếu tố như số serial hay các phiên bản (Version), tên nhà sản xuất ra sản phẩm, vị trí địa lý... Cần xác định các mức độ ưu tiên khác nhau, các vấn đề được sắp xếp theo thứ tự ưu tiên.
Ngoài ra, cần có chế độ kiểm soát các thực thể này, xác định tổ chức, đơn vị điều khiển từng thành phần, phân biệt được các nhóm hoặc đơn vị kiểm soát từng thành phần cụ thể và có chính sách cụ thể cho từng đối tượng.
Bước 4. Xác định độ ưu tiên dựa trên vai trò, sự quan trọng của các tài nguyên
Cần có đánh giá độ nhạy cảm và độ ưu tiên mức độ quan trọng trong an toàn và bảo mật của thông tin như thông tin bí mật, thông tin nội bộ,
thông tin công khai công cộng và các thiết bị liên quan đến quá trình vận động của thông tin như các thiết bị lưu trữ thông tin, thiết bị truyền thông tin và các quy tắc, quy trình xử lý thông tin.
Cách phân loại và đánh giá phải được lựa chọn sao cho chúng bao hàm hết được các mức độ và không bị chồng chéo hoặc loại trừ lẫn nhau. Các bước thường tiến hành thực hiện là: đánh giá thông tin, xác định độ ưu tiên, xác định mối đe dọa dựa trên các nhóm, xác định các lỗ hổng và xây dựng tài liệu đánh giá.
- Đánh giá thông tin:
Để đánh giá thông tin có thể dùng một bảng đánh giá bao gồm các câu hỏi và điểm cho câu trả lời. Các câu hỏi thường liên quan đến các nội dung sau:
+ Thông tin hay dịch vụ nào mang lại nhiều doanh thu nhất cho tổ chức?
+ Những thông tin nào tạo ra khả năng sinh lời cao nhất?
+ Những thông tin nào có chi phí quá tốn kém cần phải thay thế?
+ Những thông tin đắt giá hoặc ít tốn kém nhất cần bảo vệ?
+ Những thông tin dễ gây ra cho tổ chức, doanh nghiệp gặp phải vấn đề pháp lý hoặc gây ra rò rỉ thông tin?
- Đo lường thông tin:
Việc tính toán, ước lượng, hoặc đo lường thông tin cần đánh giá có thể dựa trên xem xét các giá trị sau của thông tin:
+ Giá trị nhận được từ chi phí của việc tạo ra các thông tin?
+ Giá trị nhận được từ duy trì lâu dài các thông tin?
+ Giá trị từ việc cung cấp các thông tin cần đánh giá cho người sử dụng?
+ Giá trị phát sinh từ chi phí của việc bảo vệ thông tin cần đánh giá?
+ Giá trị của việc sở hữu các thông tin cần đánh giá?
+ Giá trị của sở hữu trí tuệ các thông tin cần đánh giá?
+ Giá trị đánh giá từ đối thủ cạnh tranh?
- Xác định mức độ ảnh hưởng của thông tin:
Khi đã hoàn tất danh sách các thông tin cần đánh giá, cần đưa ra bảng phân tích các yếu tố ảnh hưởng (ví dụ như doanh thu, lợi nhuận, hình ảnh thương hiệu, v.v...) dựa theo trọng số của chúng. Thông thường độ ưu tiên (hay trọng số) của các yếu tố ảnh hưởng được xác định có tổng bằng 100, nghĩa là:
𝑤 = 𝑤1 + 𝑤2+. . +𝑤𝑛 = 1,
Trong đó 𝑤1, 𝑤2, . . . , 𝑤𝑛 tương ứng là trọng số của các yếu tố ảnh hưởng.
Bước 5. Xác định hay nhận dạng các mối đe dọa
Sau khi đã xác định và phân loại được các nhóm thông tin cần đánh giá trong tổ chức, cần phân tích và kiểm tra các nguy cơ, các mối đe dọa có thể xảy ra đối với các thông tin đó của tổ chức. Các mối đe dọa gây mất an toàn và bảo mật thông tin trong tổ chức, doanh nghiệp thông thường được xác định dựa trên một số đặc trưng.
Mối đe dọa kiểu vectơ là một thuật ngữ dùng để mô tả nơi một mối đe dọa bắt nguồn và con đường cần thiết phải đi qua để mục tiêu tấn công đạt được (nguy cơ biến thành hiện thực). Ví dụ: Một thông điệp qua thư điện tử được gửi từ bên ngoài tổ chức cho một nhân viên bên trong tổ chức, thư điện tử có một tập tin đính kèm chứa một đoạn mã độc Trojan, khi người nhận mở ra sẽ kích hoạt mã độc Trojan hoạt động. Ở đây, nguồn gốc của nguy cơ là tệp tin và đường dẫn đến mục tiêu là thư điện tử.
Bước 6. Đặc tả lỗ hổng của các tài nguyên
Dựa trên các nhóm thông tin cần đánh giá của hệ thống và các mối đe dọa mà hệ thống có thể sẽ gặp phải, cần đưa ra danh sách các lỗ hổng