thông tin quan trọng của công ty. Đường dây nóng là một cách ẩn danh để báo cáo bất kỳ hoạt động đáng ngờ hoặc lạm dụng chính sách của công ty nhằm tránh những vấn đề khác nhau cho nhân viên, nhưng A đã tự giới thiệu chính mình trong cuộc gọi đó. Sáng hôm sau, A được gọi đến một cuộc họp với một điều tra viên từ bộ phận an ninh của công ty, sau đó A phải tham gia nhiều cuộc họp với những người khác về an ninh công ty, và cuối cùng là một cuộc họp với giám đốc nhân sự, với CIO của công ty.
Hãy trả lời các câu hỏi sau:
1. Theo bạn A có nên tự giới thiệu bản thân? Hãy giải thích các nguy cơ của việc giới thiệu và không giới thiệu bản thân trong trường hợp này?
2. Theo bạn A có nên giải quyết vụ việc bằng cách báo cáo lên cấp trên trực tiếp thay vì sử dụng đường dây nóng? Nếu bạn gặp trường hợp như A bạn sẽ làm gì?
3. Trong các trường hợp cần phân xử để đảm bảo các vấn đề an ninh thông tin của công ty, giải pháp của bạn là gì để đảm bảo được đạo đức và tuân thủ pháp luật?
Bài tập 02:
Cho tình huống như mô tả sau đây:
Theo thông tin từ The Digital Hacker, 267 triệu dữ liệu người dùng Facebook hiện được rao bán trên một trang web đen với giá chỉ 600 USD. Bên cạnh đó, hơn 500 nghìn tài khoản Zoom cũng được rao bán trên các trang web đen. Những thông tin cá nhân của người dùng bị rò rỉ là do họ đã bị tin tặc tấn công tài khoản Facebook và lấy đi một số thông tin cá nhân. Những dữ liệu này chủ yếu đến từ các tài khoản Facebook tại Mỹ. Các dữ liệu người dùng bị đánh cắp không chứa mật khẩu tài khoản, tuy nhiên, nó bao gồm một số thông tin khác như họ tên đầy đủ, địa chỉ email, ngày sinh, số điện thoại và một số thông tin định danh khác. Mặc dù chỉ là những thông tin cơ bản nhưng nó có thể tạo ra những giao dịch thu về số tiền lớn cho các tin tặc. Đặc biệt là đối với những cá nhân mua thông
tin với mục đích lừa đảo. Từ những dữ liệu này, tin tặc có thể dễ dàng thu thập thêm thông tin của người dùng bằng cách đóng giả thành các công ty tuyển dụng hay ngân hàng....
(Theo Gia Minh, http://antoanthongtin.vn/)
Có thể bạn quan tâm!
- Các Nội Dung Quản Trị Rủi Ro Trong Hệ Thống Thông Tin
- Các Chính Sách An Toàn Và Bảo Mật Thông Tin Trên Thế Giới
- An toàn và bảo mật thông tin: Phần 1 - PGS.TS. Đàm Gia Mạnh, TS. Nguyễn Thị Hội Chủ biên - 8
- Phương Pháp Nhận Dạng Các Nguy Cơ Gây Mất An Toàn Và Bảo Mật Thông Tin
- Minh Họa Các Kiểu Đe Dọa Và Biện Pháp Kiểm Soát An Toàn
- Kiểm Soát An Toàn Và Bảo Mật Thông Tin
Xem toàn bộ 142 trang tài liệu này.
Hãy trả lời các câu hỏi sau:
1. Giải thích các nguy cơ mà 267 triệu người dùng Facebook gặp phải trong tình huống này?
2. Nếu bạn là một trong 267 triệu người dùng này thì bạn sẽ làm gì trong trường hợp này? Hãy giải thích?
3. Trong trường hợp này cần biện pháp gì để đảm bảo các vấn đề an ninh thông tin cho người dùng? Và biện pháp cần đưa ra để hạn chế những trường hợp tương tự có thể xảy ra trong tương lai?
Chương 2
QUY TRÌNH ĐẢM BẢO AN TOÀN VÀ BẢO MẬT THÔNG TIN
Đảm bảo an toàn và bảo mật thông tin là một công việc lớn, phức tạp, đòi hỏi các nhà quản trị phải xây dựng và thực hiện theo một quy trình gồm nhiều công đoạn được thực hiện theo tiếp cận hệ thống. Xuất phát từ mối quan hệ giữa đảm bảo an toàn và bảo mật thông tin với quản trị rủi ro thông tin, trên cơ sở tiếp cận quy trình quản trị rủi ro cho thông tin trong hệ thống thông tin, có thể xây dựng quy trình chung cho hoạt động đảm bảo an toàn và bảo mật thông tin.
Chương 2 trình bày về quy trình chung đảm bảo an toàn và bảo mật thông tin và các nội dung cụ thể cần thực hiện trong từng công đoạn của quy trình. Đó là các công đoạn: xác định, nhận dạng các nguy cơ, các mối đe dọa, các kẻ thù có thể gây mất an toàn và bảo mật thông tin; phân tích những hiểm họa, xác định nguyên nhân, đánh giá, đo lường mức độ ảnh hưởng của nguy cơ gây mất an toàn và bảo mật thông tin khi nó trở thành hiện thực; lựa chọn giải pháp và các biện pháp, công cụ thực hiện phòng tránh các nguy cơ và giám sát, khắc phục rủi ro, sự cố xảy ra gây mất an toàn và bảo mật thông tin. Đây cũng chính là các nội dung của quản trị rủi ro trong hệ thống thông tin.
Chương 2 cũng giới thiệu những chiến lược, phương pháp chủ yếu để xác định, đo lường và đánh giá các rủi ro; các công cụ, phương tiện và kỹ thuật phổ biến được sử dụng trong phân tích, đánh giá rủi ro đối với hệ thống thông tin hiện nay; cũng như các cách thức để hoạt động của hệ thống thông tin đảm bảo trạng thái cân bằng.
Để đảm bảo an toàn và bảo mật thông tin, cần xây dựng và thực hiện quy trình bao gồm bốn bước là: xác định, nhận dạng các nguy cơ, các mối
đe dọa, các kẻ thù (các đối tượng thường sử dụng các kiểu tấn công khác nhau vào hệ thống thông tin - gọi là tin tặc), có thể gây mất an toàn và bảo mật thông tin; phân tích những hiểm họa, xác định nguyên nhân, đánh giá, đo lường mức độ ảnh hưởng của nguy cơ gây mất an toàn và bảo mật thông tin khi nó trở thành hiện thực; lựa chọn giải pháp và các biện pháp, công cụ thực hiện phòng tránh các nguy cơ và giám sát, khắc phục rủi ro, sự cố xảy ra gây mất an toàn và bảo mật thông tin (Hình 2.1).
2.1. QUY TRÌNH CHUNG
Xác định,
nhận dạng
Phân tích,
Đánh giá
Lựa chọn
giải pháp
Giám sát
Hình 2.1. Quy trình đảm bảo an toàn và bảo mật thông tin
2.1.1. Xác định, nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin
Trong bước này, phân tích trực tiếp toàn bộ hệ thống dữ liệu và thông tin, nhận dạng, phát hiện những kẽ hở mà các tin tặc có thể lợi dụng để tấn công gây mất an toàn và bảo mật thông tin, xác định các rủi ro, các mối hiểm họa, các nguy cơ mà thông tin có thể gặp phải khi vận hành hệ thống thông tin. Trên cơ sở tổng hợp, lập danh mục các nguy cơ, hiểm họa, tiến hành sắp xếp, phân loại các rủi ro mà thông tin và hệ thống thông tin có
thể gặp phải trong quá trình hoạt động; đồng thời chỉ ra các nguy cơ đặc biệt nghiêm trọng, mức độ nguy hiểm cao. Để thực hiện tốt công đoạn này, phải trả lời được 3 câu hỏi:
(1) Bảo vệ cái gì?
(2) Bảo vệ khỏi ai?
(3) Bảo vệ bằng cách nào?
Để tìm ra những điểm yếu hoặc lỗ hổng trong hệ thống thông tin, người quản trị hãy xem mình như một kẻ tấn công, cố gắng dự đoán được tất cả các kịch bản tấn công có thể có để tấn công vào chính hệ thống của mình. Một hệ thống thông tin dù hoàn thiện đến đâu cũng không tránh khỏi những kẽ hở, những lỗ hổng, dù là rất nhỏ, trong khi đó, các kỹ thuật tấn công ngày càng phát triển, các đối tượng xâm phạm ngày càng thông minh, thủ đoạn ngày càng tinh vi, vì vậy những người quản trị an toàn và bảo mật thông tin càng ngày càng gặp nhiều khó khăn trong các biện pháp phòng chống và phục hồi, đòi hỏi phải không ngừng nâng cao trình độ, năng lực để kịp thời đối phó với những tình huống mới.
2.1.2. Phân tích, đánh giá các nguy cơ gây mất an toàn và bảo mật thông tin
Sau khi đã xác định được những điểm yếu, những kẽ hở, những lỗ hổng và phân tích các nguy cơ có thể bị tấn công của hệ thống thông tin, người quản trị an toàn và bảo mật thông tin tiến hành nghiên cứu, phân tích từng mối nguy cơ, hiểm họa đã được nhận dạng, chỉ ra nguyên nhân của chúng. Đồng thời đánh giá, đo lường mức độ tổn thất, thiệt hại, chi phí sẽ phải bỏ ra để tiến hành khắc phục các lỗ hổng đã phát hiện cũng như chi phí cho thiệt hại khi xảy ra tấn công; đánh giá nhằm tìm các giải pháp, biện pháp phòng tránh, loại bỏ hoặc hạn chế, giảm nhẹ thiệt hại.
Ngoài ra, khi hệ thống dữ liệu bị tấn công thì cần nhanh chóng xác định rõ là bị tấn công từ đâu và tấn công bằng cách nào để có thể đưa ra các biện pháp khắc phục trong thời gian nhanh nhất.
2.1.3. Lựa chọn giải pháp đảm bảo an toàn và bảo mật thông tin
Trên cơ sở đánh giá tất cả các yếu tố: độ an toàn, tính khả thi, chi phí,... người quản trị an toàn và bảo mật thông tin lựa chọn trong số những giải pháp, biện pháp đã được đánh giá, để đưa ra giải pháp thích hợp nhất, xác định các phương pháp và phương tiện, công cụ đảm bảo an toàn và bảo mật cho thông tin, dữ liệu khi bị tấn công gây mất an toàn cũng như cho việc hàn gắn các lỗ hổng của hệ thống dữ liệu hoặc khắc phục hỏng hóc khi thông tin đã bị tấn công, mất an toàn và bảo mật. Trong trường hợp hệ thống thông tin đã bị tấn công gây mất an toàn và bảo mật cho thông tin thì cần lựa chọn nhanh nhất một giải pháp để giảm bớt các tổn thất, ngăn chặn các cuộc tấn công tương tự và xây dựng biện pháp đảm bảo an toàn ở mức cao hơn cho hệ thống thông tin nhằm hạn chế những thiệt hại về sau.
2.1.4. Giám sát an toàn và bảo mật thông tin
Một hệ thống thông tin dù hoàn thiện đến đâu nhưng cũng không thể tránh được các lỗ hổng không ngờ tới. Vì vậy, quá trình giám sát trong lúc hệ thống thông tin đang được vận hành là một yêu cầu bắt buộc cần phải được tiến hành thường xuyên. Quá trình giám sát hệ thống thông tin được bắt đầu từ khi hệ thống đưa vào vận hành cho đến khi hệ thống bị dỡ bỏ. Một khi hệ thống thông tin đang vận hành, thông tin có thể đảm bảo an toàn và bảo mật tại thời điểm này nhưng lại mất an toàn và bảo mật vào thời điểm khác. Vì vậy, nhiệm vụ quan trọng của việc giám sát rủi ro là cần thường xuyên tiến hành kiểm tra và đánh giá về các nguy cơ có thể xảy ra với hệ thống thông tin gây mất an toàn và bảo mật thông tin trong hệ thống, tìm cách hạn chế tác hại của các nguy cơ này, đảm bảo cho hệ thống hoạt động một cách bình thường. Giám sát an toàn và bảo mật thông tin trong hệ thống thông tin đồng thời cũng là thực hiện giải pháp khắc phục khi hệ thống thông tin bị tấn công, khi sự cố xảy ra gây mất an toàn và bảo mật thông tin, giúp cho việc đảm bảo an toàn và bảo mật thông tin trở nên hiệu quả.
2.2. NHẬN DẠNG CÁC NGUY CƠ GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN
2.2.1. Khái niệm và tầm quan trọng của nhận dạng các nguy cơ
Nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin được hiểu là quá trình xác định một cách liên tục và có hệ thống các nguy cơ, các mối đe dọa có thể xảy ra gây mất an toàn và bảo mật thông tin trong các hoạt động liên quan đến thông tin bao gồm thu thập, xử lý, sử dụng, lưu trữ và truyền phát thông tin.
Cũng có thể hiểu nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin là xác định các rủi ro có thể xảy ra gây ra mất an toàn và bảo mật của thông tin trong quá trình hoạt động của hệ thống thông tin của tổ chức, doanh nghiệp.
Việc nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin không phải chỉ được thực hiện một lần ở thời điểm đầu tiên của một chu kỳ hoạt động nào đó, mà nó cần được thường xuyên thực hiện để cập nhật những nguy cơ trên cơ sở phân tích và dự báo những thay đổi của các nhân tố môi trường bên trong và bên ngoài tổ chức, doanh nghiệp để kịp thời phát hiện, bổ sung danh mục các nguy cơ mới có thể xuất hiện, cũng như để thay đổi, điều chỉnh việc phân nhóm các nguy cơ theo khả năng (tần suất) và biên độ (phạm vi) của các nguy cơ đã được nhận dạng, xác định trước đó.
Mục đích của nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin là để tìm kiếm các thông tin về: (1) các nguy cơ có thể xuất hiện;
(2) các mối hiểm họa; (3) thời điểm nguy cơ có thể xuất hiện.
Nhận dạng nguy cơ là quá trình xác định, nhận diện sự tồn tại của nguy cơ và các đặc tính của nó. Đây là hoạt động khởi đầu của quy trình đảm bảo an toàn và bảo mật thông tin, hoạt động khởi đầu của tiến trình quản trị rủi ro cho thông tin trong hệ thống thông tin. Do đó, hoạt động này có tầm quan trọng đặc biệt, là cơ sở, tiền đề để có thể triển khai có hiệu quả các bước tiếp theo trong quy trình đảm bảo an toàn và bảo mật
thông tin. Làm tốt công tác nhận dạng nguy cơ giúp nhà quản trị có thể chủ động trong việc ứng phó với các rủi ro, hiểm họa, là cơ sở để đảm bảo hiệu quả của hoạt động đảm bảo an toàn và bảo mật thông tin và ngược lại, hoạt động đảm bảo an toàn và bảo mật thông tin sẽ không thể được thực hiện hiệu quả nếu việc nhận dạng nguy cơ chưa được quan tâm đúng mức và tổ chức triển khai thực hiện một cách khoa học.
Các nguy cơ gây mất an toàn và bảo mật thông tin có thể đến từ bên ngoài hoặc từ ngay chính từ trong tổ chức, doanh nghiệp. Chúng cũng có thể do từ các yếu tố khách quan và cũng có thể là do chủ quan. Mặt khác, có những nguy cơ rất dễ nhận dạng và hiểu biết nhưng cũng có những nguy cơ rất khó nhận dạng, hoặc nhận dạng không chính xác, thậm chí không nhận dạng được. Việc nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin được tiến hành dựa trên cơ sở phân tích nguồn gốc của nguy cơ (yếu tố làm phát sinh hiểm họa - chủ yếu là yếu tố môi trường) và đối tượng của nguy cơ (đối tượng gánh chịu hậu quả khi nguy cơ trở thành hiện thực- bao gồm: tài sản, nhân lực, trách nhiệm pháp lý của tổ chức, doanh nghiệp). Các nguy cơ thường gặp trong thực tế hiện nay sẽ được giới thiệu trong mục 2.2.2.
2.2.2. Phân loại các nguy cơ gây mất an toàn và bảo mật thông tin
Thông tin là tài sản rất quan trọng, vì vậy, các nguy cơ gây mất an toàn và bảo mật thông tin cũng rất đa dạng và phong phú. Chẳng hạn, có thể phân chia các nguy cơ gây mất an toàn và bảo mật thông tin thành 2 loại là:
- Các nguy cơ ngẫu nhiên như: thiên tai, lũ lụt, hỏa hoạn,...
- Các nguy cơ có chủ định bao gồm: Các nguy cơ từ thiết bị phần cứng; Các nguy cơ từ phần mềm và các nguy cơ từ con người (bao gồm cả người ở trong và ở ngoài tổ chức, doanh nghiệp).
Theo điều tra của Viện an toàn máy tính (Computer Security Institute
- CSI) và Hiệp hội tội phạm máy tính và điều tra an ninh (Computer Crime