Kiểm Soát An Toàn Và Bảo Mật Thông Tin

2.4. KIỂM SOÁT AN TOÀN VÀ BẢO MẬT THÔNG TIN

2.4.1. Quy trình kiểm soát

Sau khi xác định, nhận dạng và phân tích, đánh giá, đo lường các nguy cơ gây mất an toàn và bảo mật thông tin, các nhà quản trị có thể biết được nguồn gốc và mức độ nghiêm trọng của một số nguy cơ, hiểm họa có thể xảy ra đối với hệ thống thông tin và thông tin trong hệ thống. Tùy thuộc vào từng nguy cơ, tiến hành vận dụng các biện pháp hay phương tiện, công cụ kỹ thuật để tránh né nghĩa là không để hệ thống thông tin của mình rơi vào tình huống tiềm ẩn nguy cơ đó. Trường hợp không thể tránh né được hoặc không cần tránh né thì tìm cách phòng ngừa, làm triệt tiêu hoặc hạn chế đến mức thấp nhất các điều kiện, môi trường làm phát sinh các nguy cơ, hiểm họa; hoặc chấp nhận rủi ro do nguy cơ, hiểm họa xảy ra và gây ra mặc dù không mong muốn nó xảy ra; hoặc tìm cách chuyển giao rủi ro cho người khác chịu rủi ro thay cho mình; hoặc hạn chế, giảm thiểu khả năng xảy ra các nguy cơ, hiểm họa. Tất cả các hoạt động trên được gọi chung là hoạt động kiểm soát an toàn và bảo mật thông tin.

Như vậy, có thể hiểu kiểm soát an toàn và bảo mật thông tin trong hệ thống thông tin là hoạt động đưa ra và sử dụng các biện pháp, phương tiện, công cụ, kỹ thuật khác nhau nhằm phòng ngừa và giảm thiểu các nguy cơ, các mối hiểm họa có thể gây ra trong quá trình hoạt động của hệ thống thông tin, gây mất an toàn và bảo mật thông tin của hệ thống; cũng như khôi phục nhanh nhất tình trạng của hệ thống thông tin khi bị tin tặc tấn công.

Quy trình kiểm soát được minh họa như trong Hình 2.4. Quy trình bao gồm các bước được thực hiện sau khi đã xác định được thông tin các loại tài sản của tổ chức, sau đó đánh giá và sắp xếp các loại tài sản theo thứ tự ưu tiên và chi phí tổn thất cũng như tần suất xuất hiện của các mối đe dọa có thể xảy ra đối với hệ thống.

Sau đó thực hiện các bước kiểm soát rủi ro như sau:

 Bước 1: Lên kế hoạch và phát triển chiến lược kiểm soát

 Bước 2: Thực hiện kiểm soát, đánh giá kiểm soát. Nếu các kiểm soát không thích hợp với ngữ cảnh của hệ thống thì quay lại bước 1, ngược lại thì tiếp tục sang bước 3

 Bước 3: Lập kế hoạch duy trì và tiếp tục đánh giá các rủi ro dựa trên các loại tài sản thông tin của tổ chức. Nếu rủi ro đó có thể chấp nhận được thì duy trì hiện trạng hoạt động của hệ thống cho đến khi rủi ro hoặc tổn thất quá lớn không thể chấp nhận được thì quay lại bước 1 để thực hiện lại quy trình kiểm soát.

Có

Các kiểm soát đã đầy đủ?

Chấp nhận các rủi ro ?

Có

Không

Phát triển chiến lược và kế hoạch kiểm soát

Xác định thông tin các tài nguyên

Xếp loại mức độ rủi ro của các lỗ hổng

Ba bước trong quy trình được thực hiện liên tục cho đến khi hệ thống ngừng hoạt động hoặc được thay thế bởi một hệ thống khác trong tổ chức.

Cài đặt các kiểm soát

Có thể bạn quan tâm!

Xem toàn bộ 142 trang tài liệu này.

Lập kế hoạch duy trì

Đánh giá các kiểm soát

Đo lường các rủi ro từ các nguồn thông tin

Hình 2.4. Quy trình kiểm soát rủi ro

(Nguồn Mark Rhodes - Ousley [16])

2.4.2. Chiến lược kiểm soát

Để kiểm soát rủi ro cho hệ thống thông tin, có thể sử dụng các biện pháp (chiến lược) kiểm soát rủi ro minh họa như Hình 2.5 sau đây:

Hình 2.5. Các chiến lược kiểm soát rủi ro cho hệ thống thông tin của tổ chức

(1) Thứ nhất, tránh né rủi ro (Avoidance): Tránh né rủi ro là việc lựa chọn một hướng đi khác, một phương án thay thế cho phương án đã xác định khi biết rằng phương án đã xác định tiềm ẩn các rủi ro mà tổ chức, doanh nghiệp không muốn xảy ra. Nói khác đi là tìm cách thay đổi mục tiêu hoạt động của hệ thống thông tin để tránh né các rủi ro có thể gặp phải của hệ thống.

(2) Thứ hai, chuyển giao hay chuyển đổi rủi ro (Transference): Là việc tổ chức, doanh nghiệp chuyển giao các tổn thất có thể gặp phải cho đối tượng khác hoặc chuyển đổi chi phí tổn thất mà rủi ro gây ra cho các bên khác có thể chịu trách nhiệm. Ví dụ như chia sẻ rủi ro với nhà cung cấp, báo cáo lãnh đạo khi gặp sự cố hoặc mua bảo hiểm cho tài sản hoặc loại tài sản có thể gặp sự cố trong tương lai.

(3) Thứ ba, giảm thiểu rủi ro (Mitigation): Được áp dụng đối với những rủi ro không thể tránh né hay phòng ngừa được một cách triệt để. Đây là biện pháp thường xuyên được lựa chọn áp dụng trong các hệ thống thông tin khi đối diện với các rủi ro. Thông thường chiến lược giảm thiểu

rủi ro cho hệ thống thông tin được thực hiện theo hai hướng. Hướng thứ nhất là giảm thiểu sự ảnh hưởng của rủi ro lên các hoạt động của hệ thống. Theo cách này, lần lượt thực hiện các bước: xây dựng các kế hoạch cứu chữa hệ thống khi rủi ro xảy ra và thực hiện giảm thiểu các mối ràng buộc giữa các bộ phận nhằm cô lập rủi ro để tránh các trường hợp tổn thất lây lan sang nhiều nhóm tài sản cùng lúc. Hướng thứ hai là giảm thiểu khả năng xảy ra các rủi ro cho hệ thống thông tin của tổ chức, cách thực hiện thông thường là loại bỏ các yếu tố gây ra rủi ro cho hệ thống và huấn luyện người dùng phòng tránh các rủi ro có thể gặp phải trong quá trình hệ thống hoạt động. Thông thường việc loại bỏ hoàn toàn rủi ro cho hệ thống thông tin của tổ chức là điều không tưởng, vì vậy, mục đích chính là đưa ra các giải pháp nhằm giảm thiểu ảnh hưởng và huấn luyện người dùng để giảm thiểu các rủi ro cho hệ thống.

(4) Thứ tư, chấp nhận rủi ro (Acceptance): Đây là biện pháp ít được sử dụng tuy nhiên trên thực tế vẫn có những trường hợp các hệ thống thông tin của tổ chức bị tấn công mà không thể phòng tránh được. Trong trường hợp này sẽ chấp nhận rủi ro xảy ra, nghĩa là sẵn sàng đương đầu với rủi ro đó, chỉ có thể chờ và xem rủi ro ảnh hưởng đến những bộ phận nào trong tổ chức rồi thu thập các thông tin liên quan đến tổn thất để đưa ra biện pháp nhằm khắc phục hậu quả sau khi mối đe dọa hệ thống đã xảy ra.

(5) Phân tán và chia sẻ rủi ro cũng là một biện pháp nhằm giảm bớt tổn thất khi rủi ro xảy ra thông qua việc “phân tán” đối tượng chịu rủi ro (vì rủi ro có thể không xảy ra đồng thời đối với tất cả các đối tượng chịu rủi ro) hoặc rủi ro xảy ra với một đối tượng nào đó nhưng có nhiều chủ thể cùng gánh chịu tổn thất làm cho tổn thất đối với mỗi chủ thể đều được giảm thiểu.

2.5. TỔNG KẾT CHƯƠNG 2

Chương 2 đã trình bày quy trình chung về đảm bảo an toàn thông tin trong hệ thống thông tin của tổ chức, bao gồm bốn bước chính là xác định nguy cơ, phân tích đánh giá, lựa chọn giải pháp và giám sát an toàn cho

thông tin. Xác định nguy cơ là tìm hiểu các nguy cơ có thể xuất hiện gây mất an toàn cho thông tin, sau đó phân tích, đánh giá và phân loại các nguy cơ theo các mức để lựa chọn giải pháp phù hợp theo các tiêu chí đã đề ra từ trước hoặc dựa trên mục tiêu của tổ chức, sau đó triển khai và giám sát quá trình hoạt động của các giải pháp nhằm đảm bảo an toàn cho thông tin trong hệ thống thông tin của tổ chức.

CÂU HỎI ÔN TẬP VÀ BÀI TẬP CHƯƠNG 2

I. CÂU HỎI ÔN TẬP

1. Trình bày quy trình chung trong quản trị rủi ro cho hệ thống thông tin của tổ chức, doanh nghiệp?

2. Mục tiêu của quản trị rủi ro HTTT trong tổ chức, doanh nghiệp? Hãy giải thích.

3. Phân tích và đánh giá các nguy cơ mất an toàn và bảo mật thông tin là gì? Bao gồm những bước nào? Nêu quy trình thực hiện chúng?

4. Nêu quy trình kiểm soát an toàn và bảo mật thông tin cho HTTT của tổ chức, doanh nghiệp? Lấy ví dụ minh họa.

5. Nêu các chiến lược kiểm soát an toàn và bảo mật thông tin cho HTTT của tổ chức, doanh nghiệp? Lấy ví dụ minh họa.

6. Yêu cầu chung của quy trình quản trị rủi ro trong hệ thống thông tin của tổ chức, doanh nghiệp? Hãy giải thích vì sao cần bảo vệ các tài sản của tổ chức, doanh nghiệp cho đến khi chúng bị loại bỏ khỏi hoạt động của tổ chức?

7. Trình bày các bước thực hiện trong quy trình kiểm soát rủi ro của tổ chức, doanh nghiệp? Cho ví dụ minh họa.

8. Tại sao an toàn và bảo mật thông tin là một bộ phận không thể thiếu được của quy trình quản trị rủi ro trong hệ thống thông tin của tổ chức, doanh nghiệp? Hãy giải thích.

9. Trên thực tế các tổ chức thường gặp những rủi ro gì khi hoạt động? Lấy ví dụ minh họa.

II. BÀI TẬP TÌNH HUỐNG

Bài tập 1:

Cho tình huống sau đây:

Công ty A chuyên bán hàng thời trang ký hợp đồng mua một phần mềm quản lý bán hàng của công ty B để hỗ trợ hoạt động bán hàng. Sau khi đã được cài đặt và chuẩn bị đưa vào vận hành thì công ty B bị công ty C tố cáo rằng các thư viện của phần mềm quản lý bán hàng mà công ty B cung cấp cho công ty A có khả năng tự động thu thập dữ liệu gửi về máy chủ của công ty B.

Hãy trả lời các câu hỏi sau đây trong hai trường hợp:

Nếu công ty A tiếp tục sử dụng phần mềm để quản lý bán hàng và công ty A ngừng hợp đồng cung cấp của công ty B

1. Trong tình huống này hãy chỉ ra các rủi ro mà công ty A có thể gặp phải và giải thích?

2. Xác định các mối đe dọa và các lỗ hổng mà công ty A cần kiểm soát? Hãy đề xuất một số giải pháp để kiểm soát các mối đe dọa và các lỗ hổng đó?

3. Theo bạn đâu là hoạt động quản trị rủi ro và đâu là hoạt động đảm bảo an toàn thông tin cho hệ thống thông tin của công ty A?

Bài tập 2:

Cho tình huống sau đây:

Giám đốc CIO (Chief Information Officer) của công ty A đột ngột chấm dứt hợp đồng lao động và chuyển sang công ty B (là công ty đối thủ của A) để làm việc.

Xác định các mối đe dọa và các lỗ hổng mà hệ thống thông tin của công ty A có thể gặp phải?

Hãy đề xuất một số giải pháp đảm bảo an toàn cho thông tin trong hệ thống thông tin của công ty A trong trường hợp này?

Chương 3

CÁC KIỂU TẤN CÔNG VÀ CÁC MỐI ĐE DỌA ĐỐI VỚI AN TOÀN VÀ BẢO MẬT THÔNG TIN

Trong quá trình vận hành, triển khai hoạt động hệ thống thông tin, thường có những nguy cơ rình rập gây mất an toàn và bảo mật cho thông tin cũng như cho hệ thống thông tin. Đó cũng chính là rủi ro mà hệ thống thông tin có thể gặp phải. Những rủi ro này hiện diện ở khắp mọi lúc, mọi nơi, trong mọi hoạt động của hệ thống thông tin. Vì thế, để có thể đảm bảo an toàn và bảo mật thông tin, cần có những nhìn nhận thấu đáo về rủi ro cũng như hoạt động quản trị rủi ro trong hệ thống thông tin.

Theo tiếp cận quản trị rủi ro cho thông tin trong hệ thống thông tin, để đảm bảo an toàn và bảo mật thông tin, công việc đầu tiên mà nhà quản trị phải thực hiện là nhận dạng, xác định các rủi ro, các nguy cơ có thể xảy ra gây mất an toàn và bảo mật thông tin trong hệ thống thông tin. Để thực hiện nhiệm vụ này, nhà quản trị cần đặt ra và trả lời những câu hỏi sau: Có những nguy cơ, rủi ro nào có thể xảy ra trong quá trình hoạt động của hệ thống thông tin? Nguyên nhân nào dẫn đến các rủi ro này, tần suất xuất hiện và mức độ nghiêm trọng của các nguy cơ, hiểm họa này ra sao?

Chương 3 đề cập đến những nguy cơ, những mối hiểm họa đe dọa sự an toàn và bảo mật thông tin trong hệ thống thông tin. Ngoài việc giới thiệu về ý nghĩa, tầm quan trọng của việc nhận dạng các nguy cơ, các rủi ro gây mất an toàn và bảo mật thông tin, chương 3 trình bày về các nguy cơ, các kiểu tấn công thường xảy ra, cũng như những xu hướng mới trong tấn công gây mất an toàn và bảo mật thông tin trong hệ thống thông tin.

3.1. CÁC MỐI ĐE DỌA AN TOÀN VÀ BẢO MẬT THÔNG TIN

Mối đe dọa (Threat) là những nguy cơ có thể gặp phải của hệ thống thông tin trong quá trình vận hành hoặc các nguy cơ có thể xảy ra khi các

lỗ hổng của hệ thống bị tấn công từ bên trong hoặc bên ngoài hệ thống. Có nhiều cách phân chia các mối đe dọa hay các nguy cơ cho hệ thống thông tin của tổ chức. Trong giáo trình này, các mối đe dọa được chia thành hai nhóm lớn là nhóm các nguy cơ ngẫu nhiên và nhóm các nguy cơ có chủ định. Nhóm nguy cơ ngẫu nhiên bao gồm các hiểm họa do thiên tai, hỏa hoạn, dịch bệnh,... là những hiểm họa chung cho tất cả các hoạt động của con người trên toàn thế giới, đã được đề cập đến nhiều và trở thành thông dụng. Vì vậy, ở đây tập trung vào nhóm nguy cơ có chủ định và được phân thành 3 nhóm: Mối đe dọa từ các thiết bị phần cứng, mối đe dọa từ các phần mềm và mối đe dọa từ con người.

Hộp 3.1. 10. Hiểm họa hàng đầu với an toàn cơ sở dữ liệu năm 2013

Cơ sở dữ liệu của các tổ chức, doanh nghiệp luôn là mục tiêu của nhiều cuộc tấn công. Bởi đây là nơi lưu trữ các thông tin về khách hàng và nhiều dữ liệu bí mật khác. Một trong những nguyên nhân khiến cho các cơ sở dữ liệu dễ bị tổn thương bởi các tấn công là do các tổ chức, doanh nghiệp chưa có biện pháp bảo vệ đầy đủ cho tài nguyên này. Những rủi ro có thể xảy ra đối với các cơ sở dữ liệu trong đó có 10 hiểm họa hàng đầu là:

1. Lạm dụng các đặc quyền vượt mức và các đặc quyền không còn được dùng

2. Lạm dụng đặc quyền

3. Tấn công SQL Injection

4. Mã độc

5. Lợi dụng vết kiểm toán yếu

6. Lợi dụng sự sơ hở để khai thác phương tiện lưu trữ

7. Khai thác các cơ sở dữ liệu có điểm yếu và bị lỗi cấu hình

8. Rò rỉ các dữ liệu nhạy cảm không được quản lý

9. Tấn công từ chối dịch vụ

10. Vấn đề đào tạo và chuyên gia an ninh còn hạn chế

Có thể ngăn chặn các hiểm họa bằng cách thực hiện theo quy luật các bước và có sự kiểm tra bên trong. Một chiến lược phòng thủ nhiều lớp là cần thiết để bảo vệ cơ sở dữ liệu một cách tốt nhất.

(Nguồn: http://antoanthongtin.vn [25])

Xem tất cả 142 trang.

Ngày đăng: 18/05/2023