2.4. KIỂM SOÁT AN TOÀN VÀ BẢO MẬT THÔNG TIN
2.4.1. Quy trình kiểm soát
Sau khi xác định, nhận dạng và phân tích, đánh giá, đo lường các nguy cơ gây mất an toàn và bảo mật thông tin, các nhà quản trị có thể biết được nguồn gốc và mức độ nghiêm trọng của một số nguy cơ, hiểm họa có thể xảy ra đối với hệ thống thông tin và thông tin trong hệ thống. Tùy thuộc vào từng nguy cơ, tiến hành vận dụng các biện pháp hay phương tiện, công cụ kỹ thuật để tránh né nghĩa là không để hệ thống thông tin của mình rơi vào tình huống tiềm ẩn nguy cơ đó. Trường hợp không thể tránh né được hoặc không cần tránh né thì tìm cách phòng ngừa, làm triệt tiêu hoặc hạn chế đến mức thấp nhất các điều kiện, môi trường làm phát sinh các nguy cơ, hiểm họa; hoặc chấp nhận rủi ro do nguy cơ, hiểm họa xảy ra và gây ra mặc dù không mong muốn nó xảy ra; hoặc tìm cách chuyển giao rủi ro cho người khác chịu rủi ro thay cho mình; hoặc hạn chế, giảm thiểu khả năng xảy ra các nguy cơ, hiểm họa. Tất cả các hoạt động trên được gọi chung là hoạt động kiểm soát an toàn và bảo mật thông tin.
Như vậy, có thể hiểu kiểm soát an toàn và bảo mật thông tin trong hệ thống thông tin là hoạt động đưa ra và sử dụng các biện pháp, phương tiện, công cụ, kỹ thuật khác nhau nhằm phòng ngừa và giảm thiểu các nguy cơ, các mối hiểm họa có thể gây ra trong quá trình hoạt động của hệ thống thông tin, gây mất an toàn và bảo mật thông tin của hệ thống; cũng như khôi phục nhanh nhất tình trạng của hệ thống thông tin khi bị tin tặc tấn công.
Quy trình kiểm soát được minh họa như trong Hình 2.4. Quy trình bao gồm các bước được thực hiện sau khi đã xác định được thông tin các loại tài sản của tổ chức, sau đó đánh giá và sắp xếp các loại tài sản theo thứ tự ưu tiên và chi phí tổn thất cũng như tần suất xuất hiện của các mối đe dọa có thể xảy ra đối với hệ thống.
Sau đó thực hiện các bước kiểm soát rủi ro như sau:
Bước 1: Lên kế hoạch và phát triển chiến lược kiểm soát
Bước 2: Thực hiện kiểm soát, đánh giá kiểm soát. Nếu các kiểm soát không thích hợp với ngữ cảnh của hệ thống thì quay lại bước 1, ngược lại thì tiếp tục sang bước 3
Bước 3: Lập kế hoạch duy trì và tiếp tục đánh giá các rủi ro dựa trên các loại tài sản thông tin của tổ chức. Nếu rủi ro đó có thể chấp nhận được thì duy trì hiện trạng hoạt động của hệ thống cho đến khi rủi ro hoặc tổn thất quá lớn không thể chấp nhận được thì quay lại bước 1 để thực hiện lại quy trình kiểm soát.
Có
Các kiểm soát đã đầy đủ?
Chấp nhận các rủi ro ?
Có
Không
Không
Phát triển chiến lược và kế hoạch kiểm soát
Xác định thông tin các tài nguyên
Xếp loại mức độ rủi ro của các lỗ hổng
Ba bước trong quy trình được thực hiện liên tục cho đến khi hệ thống ngừng hoạt động hoặc được thay thế bởi một hệ thống khác trong tổ chức.
Cài đặt các kiểm soát | |
Có thể bạn quan tâm!
- Xác Định, Nhận Dạng Các Nguy Cơ Gây Mất An Toàn Và Bảo Mật Thông Tin
- Phương Pháp Nhận Dạng Các Nguy Cơ Gây Mất An Toàn Và Bảo Mật Thông Tin
- Minh Họa Các Kiểu Đe Dọa Và Biện Pháp Kiểm Soát An Toàn
- Các Kiểu Tấn Công Gây Mất An Toàn Và Bảo Mật Thông Tin
- Phân Tích Lưu Lượng Thông Tin Trên Đường Truyền
- Tấn Công Từ Chối Dịch Vụ Cổ Điển
Xem toàn bộ 142 trang tài liệu này.
Lập kế hoạch duy trì | |
Đánh giá các kiểm soát | |
Đo lường các rủi ro từ các nguồn thông tin | |
Hình 2.4. Quy trình kiểm soát rủi ro
(Nguồn Mark Rhodes - Ousley [16])
2.4.2. Chiến lược kiểm soát
Để kiểm soát rủi ro cho hệ thống thông tin, có thể sử dụng các biện pháp (chiến lược) kiểm soát rủi ro minh họa như Hình 2.5 sau đây:
(1) Thứ nhất, tránh né rủi ro (Avoidance): Tránh né rủi ro là việc lựa chọn một hướng đi khác, một phương án thay thế cho phương án đã xác định khi biết rằng phương án đã xác định tiềm ẩn các rủi ro mà tổ chức, doanh nghiệp không muốn xảy ra. Nói khác đi là tìm cách thay đổi mục tiêu hoạt động của hệ thống thông tin để tránh né các rủi ro có thể gặp phải của hệ thống.
(2) Thứ hai, chuyển giao hay chuyển đổi rủi ro (Transference): Là việc tổ chức, doanh nghiệp chuyển giao các tổn thất có thể gặp phải cho đối tượng khác hoặc chuyển đổi chi phí tổn thất mà rủi ro gây ra cho các bên khác có thể chịu trách nhiệm. Ví dụ như chia sẻ rủi ro với nhà cung cấp, báo cáo lãnh đạo khi gặp sự cố hoặc mua bảo hiểm cho tài sản hoặc loại tài sản có thể gặp sự cố trong tương lai.
(3) Thứ ba, giảm thiểu rủi ro (Mitigation): Được áp dụng đối với những rủi ro không thể tránh né hay phòng ngừa được một cách triệt để. Đây là biện pháp thường xuyên được lựa chọn áp dụng trong các hệ thống thông tin khi đối diện với các rủi ro. Thông thường chiến lược giảm thiểu
rủi ro cho hệ thống thông tin được thực hiện theo hai hướng. Hướng thứ nhất là giảm thiểu sự ảnh hưởng của rủi ro lên các hoạt động của hệ thống. Theo cách này, lần lượt thực hiện các bước: xây dựng các kế hoạch cứu chữa hệ thống khi rủi ro xảy ra và thực hiện giảm thiểu các mối ràng buộc giữa các bộ phận nhằm cô lập rủi ro để tránh các trường hợp tổn thất lây lan sang nhiều nhóm tài sản cùng lúc. Hướng thứ hai là giảm thiểu khả năng xảy ra các rủi ro cho hệ thống thông tin của tổ chức, cách thực hiện thông thường là loại bỏ các yếu tố gây ra rủi ro cho hệ thống và huấn luyện người dùng phòng tránh các rủi ro có thể gặp phải trong quá trình hệ thống hoạt động. Thông thường việc loại bỏ hoàn toàn rủi ro cho hệ thống thông tin của tổ chức là điều không tưởng, vì vậy, mục đích chính là đưa ra các giải pháp nhằm giảm thiểu ảnh hưởng và huấn luyện người dùng để giảm thiểu các rủi ro cho hệ thống.
(4) Thứ tư, chấp nhận rủi ro (Acceptance): Đây là biện pháp ít được sử dụng tuy nhiên trên thực tế vẫn có những trường hợp các hệ thống thông tin của tổ chức bị tấn công mà không thể phòng tránh được. Trong trường hợp này sẽ chấp nhận rủi ro xảy ra, nghĩa là sẵn sàng đương đầu với rủi ro đó, chỉ có thể chờ và xem rủi ro ảnh hưởng đến những bộ phận nào trong tổ chức rồi thu thập các thông tin liên quan đến tổn thất để đưa ra biện pháp nhằm khắc phục hậu quả sau khi mối đe dọa hệ thống đã xảy ra.
(5) Phân tán và chia sẻ rủi ro cũng là một biện pháp nhằm giảm bớt tổn thất khi rủi ro xảy ra thông qua việc “phân tán” đối tượng chịu rủi ro (vì rủi ro có thể không xảy ra đồng thời đối với tất cả các đối tượng chịu rủi ro) hoặc rủi ro xảy ra với một đối tượng nào đó nhưng có nhiều chủ thể cùng gánh chịu tổn thất làm cho tổn thất đối với mỗi chủ thể đều được giảm thiểu.
2.5. TỔNG KẾT CHƯƠNG 2
Chương 2 đã trình bày quy trình chung về đảm bảo an toàn thông tin trong hệ thống thông tin của tổ chức, bao gồm bốn bước chính là xác định nguy cơ, phân tích đánh giá, lựa chọn giải pháp và giám sát an toàn cho
thông tin. Xác định nguy cơ là tìm hiểu các nguy cơ có thể xuất hiện gây mất an toàn cho thông tin, sau đó phân tích, đánh giá và phân loại các nguy cơ theo các mức để lựa chọn giải pháp phù hợp theo các tiêu chí đã đề ra từ trước hoặc dựa trên mục tiêu của tổ chức, sau đó triển khai và giám sát quá trình hoạt động của các giải pháp nhằm đảm bảo an toàn cho thông tin trong hệ thống thông tin của tổ chức.
CÂU HỎI ÔN TẬP VÀ BÀI TẬP CHƯƠNG 2
I. CÂU HỎI ÔN TẬP
1. Trình bày quy trình chung trong quản trị rủi ro cho hệ thống thông tin của tổ chức, doanh nghiệp?
2. Mục tiêu của quản trị rủi ro HTTT trong tổ chức, doanh nghiệp? Hãy giải thích.
3. Phân tích và đánh giá các nguy cơ mất an toàn và bảo mật thông tin là gì? Bao gồm những bước nào? Nêu quy trình thực hiện chúng?
4. Nêu quy trình kiểm soát an toàn và bảo mật thông tin cho HTTT của tổ chức, doanh nghiệp? Lấy ví dụ minh họa.
5. Nêu các chiến lược kiểm soát an toàn và bảo mật thông tin cho HTTT của tổ chức, doanh nghiệp? Lấy ví dụ minh họa.
6. Yêu cầu chung của quy trình quản trị rủi ro trong hệ thống thông tin của tổ chức, doanh nghiệp? Hãy giải thích vì sao cần bảo vệ các tài sản của tổ chức, doanh nghiệp cho đến khi chúng bị loại bỏ khỏi hoạt động của tổ chức?
7. Trình bày các bước thực hiện trong quy trình kiểm soát rủi ro của tổ chức, doanh nghiệp? Cho ví dụ minh họa.
8. Tại sao an toàn và bảo mật thông tin là một bộ phận không thể thiếu được của quy trình quản trị rủi ro trong hệ thống thông tin của tổ chức, doanh nghiệp? Hãy giải thích.
9. Trên thực tế các tổ chức thường gặp những rủi ro gì khi hoạt động? Lấy ví dụ minh họa.
II. BÀI TẬP TÌNH HUỐNG
Bài tập 1:
Cho tình huống sau đây:
Công ty A chuyên bán hàng thời trang ký hợp đồng mua một phần mềm quản lý bán hàng của công ty B để hỗ trợ hoạt động bán hàng. Sau khi đã được cài đặt và chuẩn bị đưa vào vận hành thì công ty B bị công ty C tố cáo rằng các thư viện của phần mềm quản lý bán hàng mà công ty B cung cấp cho công ty A có khả năng tự động thu thập dữ liệu gửi về máy chủ của công ty B.
Hãy trả lời các câu hỏi sau đây trong hai trường hợp:
Nếu công ty A tiếp tục sử dụng phần mềm để quản lý bán hàng và công ty A ngừng hợp đồng cung cấp của công ty B
1. Trong tình huống này hãy chỉ ra các rủi ro mà công ty A có thể gặp phải và giải thích?
2. Xác định các mối đe dọa và các lỗ hổng mà công ty A cần kiểm soát? Hãy đề xuất một số giải pháp để kiểm soát các mối đe dọa và các lỗ hổng đó?
3. Theo bạn đâu là hoạt động quản trị rủi ro và đâu là hoạt động đảm bảo an toàn thông tin cho hệ thống thông tin của công ty A?
Bài tập 2:
Cho tình huống sau đây:
Giám đốc CIO (Chief Information Officer) của công ty A đột ngột chấm dứt hợp đồng lao động và chuyển sang công ty B (là công ty đối thủ của A) để làm việc.
Xác định các mối đe dọa và các lỗ hổng mà hệ thống thông tin của công ty A có thể gặp phải?
Hãy đề xuất một số giải pháp đảm bảo an toàn cho thông tin trong hệ thống thông tin của công ty A trong trường hợp này?
Chương 3
CÁC KIỂU TẤN CÔNG VÀ CÁC MỐI ĐE DỌA ĐỐI VỚI AN TOÀN VÀ BẢO MẬT THÔNG TIN
Trong quá trình vận hành, triển khai hoạt động hệ thống thông tin, thường có những nguy cơ rình rập gây mất an toàn và bảo mật cho thông tin cũng như cho hệ thống thông tin. Đó cũng chính là rủi ro mà hệ thống thông tin có thể gặp phải. Những rủi ro này hiện diện ở khắp mọi lúc, mọi nơi, trong mọi hoạt động của hệ thống thông tin. Vì thế, để có thể đảm bảo an toàn và bảo mật thông tin, cần có những nhìn nhận thấu đáo về rủi ro cũng như hoạt động quản trị rủi ro trong hệ thống thông tin.
Theo tiếp cận quản trị rủi ro cho thông tin trong hệ thống thông tin, để đảm bảo an toàn và bảo mật thông tin, công việc đầu tiên mà nhà quản trị phải thực hiện là nhận dạng, xác định các rủi ro, các nguy cơ có thể xảy ra gây mất an toàn và bảo mật thông tin trong hệ thống thông tin. Để thực hiện nhiệm vụ này, nhà quản trị cần đặt ra và trả lời những câu hỏi sau: Có những nguy cơ, rủi ro nào có thể xảy ra trong quá trình hoạt động của hệ thống thông tin? Nguyên nhân nào dẫn đến các rủi ro này, tần suất xuất hiện và mức độ nghiêm trọng của các nguy cơ, hiểm họa này ra sao?
Chương 3 đề cập đến những nguy cơ, những mối hiểm họa đe dọa sự an toàn và bảo mật thông tin trong hệ thống thông tin. Ngoài việc giới thiệu về ý nghĩa, tầm quan trọng của việc nhận dạng các nguy cơ, các rủi ro gây mất an toàn và bảo mật thông tin, chương 3 trình bày về các nguy cơ, các kiểu tấn công thường xảy ra, cũng như những xu hướng mới trong tấn công gây mất an toàn và bảo mật thông tin trong hệ thống thông tin.
3.1. CÁC MỐI ĐE DỌA AN TOÀN VÀ BẢO MẬT THÔNG TIN
Mối đe dọa (Threat) là những nguy cơ có thể gặp phải của hệ thống thông tin trong quá trình vận hành hoặc các nguy cơ có thể xảy ra khi các
lỗ hổng của hệ thống bị tấn công từ bên trong hoặc bên ngoài hệ thống. Có nhiều cách phân chia các mối đe dọa hay các nguy cơ cho hệ thống thông tin của tổ chức. Trong giáo trình này, các mối đe dọa được chia thành hai nhóm lớn là nhóm các nguy cơ ngẫu nhiên và nhóm các nguy cơ có chủ định. Nhóm nguy cơ ngẫu nhiên bao gồm các hiểm họa do thiên tai, hỏa hoạn, dịch bệnh,... là những hiểm họa chung cho tất cả các hoạt động của con người trên toàn thế giới, đã được đề cập đến nhiều và trở thành thông dụng. Vì vậy, ở đây tập trung vào nhóm nguy cơ có chủ định và được phân thành 3 nhóm: Mối đe dọa từ các thiết bị phần cứng, mối đe dọa từ các phần mềm và mối đe dọa từ con người.
Hộp 3.1. 10. Hiểm họa hàng đầu với an toàn cơ sở dữ liệu năm 2013
Cơ sở dữ liệu của các tổ chức, doanh nghiệp luôn là mục tiêu của nhiều cuộc tấn công. Bởi đây là nơi lưu trữ các thông tin về khách hàng và nhiều dữ liệu bí mật khác. Một trong những nguyên nhân khiến cho các cơ sở dữ liệu dễ bị tổn thương bởi các tấn công là do các tổ chức, doanh nghiệp chưa có biện pháp bảo vệ đầy đủ cho tài nguyên này. Những rủi ro có thể xảy ra đối với các cơ sở dữ liệu trong đó có 10 hiểm họa hàng đầu là:
1. Lạm dụng các đặc quyền vượt mức và các đặc quyền không còn được dùng
2. Lạm dụng đặc quyền
3. Tấn công SQL Injection
4. Mã độc
5. Lợi dụng vết kiểm toán yếu
6. Lợi dụng sự sơ hở để khai thác phương tiện lưu trữ
7. Khai thác các cơ sở dữ liệu có điểm yếu và bị lỗi cấu hình
8. Rò rỉ các dữ liệu nhạy cảm không được quản lý
9. Tấn công từ chối dịch vụ
10. Vấn đề đào tạo và chuyên gia an ninh còn hạn chế
Có thể ngăn chặn các hiểm họa bằng cách thực hiện theo quy luật các bước và có sự kiểm tra bên trong. Một chiến lược phòng thủ nhiều lớp là cần thiết để bảo vệ cơ sở dữ liệu một cách tốt nhất.
(Nguồn: http://antoanthongtin.vn [25])