Tải bản đầy đủ (.docx) (33 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Đề cương Quản lý an toàn thông tin

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (489.67 KB, 33 trang )

1. Những cộng đồng trong lĩnh vực ATTT
- Cộng đồng ATTT: chịu trách nhiệm bảo vệ tổ chức khỏi các mối đe dọa, cộng đồng này bao gồm các
nhà quản lý và các chuyên gia có trách nhiệm công việc trọng tâm là bảo mật thông tin
- Cộng đồng CNTT: bao gồm các chuyên gia CNTT thông thường (ko phải ATTT), những người này hỗ
trợ các mục tiêu kinh doanh bằng cách cung cấp các kỹ thuật CNTT
- Cộng đồng doanh nghiệp nói chung: xác định chính sách và phân bổ nguồn lực, bào gồm các nhà
quản lý là chuyên gia ko thuộc CNTT.
2. Khái niệm ATTT, Hệ thống TT
An toàn thông tin là bảo vệ thông tin và hệ thống thông tin nói chung khỏi các truy cập trái phép, sử
dụng, làm lộ, làm hỏng, chỉnh sửa, ghi chép không được phép…
Hệ thống thông tin được chia thành 3 phần chính: phần cứng, phần mềm và kết nối với mục đích
giúp cho việc phân loại và áp dụng các chuẩn về an toàn thông tin dễ dàng, thuận lợi nhất. Thông
thường, thủ tục hoặc chính sách bảo mật này được thực thi để nói với con người (quản trị, người
dùng, người vận hành) rằng làm thế nào để sử dụng sản phẩm mà vẫn đảm bảo an toàn thông tin
của cá nhân và trong cả tổ chức.
--Các lĩnh vực an toàn thông tin bao gồm:
-

Physical security: Bảo vệ con người, tài sản vật chất, nơi làm việc...
Operation security: Bảo vệ khả năng của tổ chức để quá trình làm việc không bị ngắt hoặc bị tổn
thương.
Communications security: Bảo vệ các phương tiện truyền thông, công nghệ thông tin và khả năng
sử dụng các công cụ này để đạt được mục tiêu nào đó.
Network security: Bảo vệ các thiết bị mạng, kết nối dữ liệu của tổ chức,và nội dung cũng như bảo
vệ khả năng sử dụng mạng lưới đó để hoàn thành,chức năng truyền dữ liệu của tổ chức.

An ninh thông tin (InfoSec) là bảo vệ thông tin và các đặc điểm quan trọng (tính bảo mật, tính toàn vẹn
và tính khả dụng) bao gồm các hệ thống và phần cứng được sử dụng, việc lưu trữ và truyền tải thông
tin thông qua việc áp dụng chính sách, đào tạo và nhận thức chương trình và công nghệ.
3. Tam giác CIA?
Tam giác CIA là một trợ giúp trực quan mô tả các đặc điểm quan trọng của thông tin. Các bộ phận


cấu thành chính của nó là
+ Tính bí mật: để tránh lộ thông tin đến những đối tượng không được xác thực hoặc để lọt vào
các hệ thống khác. Để bảo vệ bí mật thông tin, một số biện pháp được sử dụng, bao gồm: ● Phân
loại thông tin ● Lưu trữ dữ liệu an toàn ● Áp dụng các chính sách an ninh chung ● Giáo dục
người quản lý và người dùng cuối ● Mã hóa
+ Tính toàn vẹn: có nghĩa là dữ liệu không thể bị chỉnh sửa,hư hỏng trong quá trình nhập, lưu
trữ, trao đổi.
+ Tính sẳn sàng: Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin phải
1luôn luôn sẵn sàng khi cần thiết. Hệ thống có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi
thời điểm, tránh được những rủi ro cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần
cứng, cập nhật, nâng cấp hệ thống…
4. Mô tả mô hình an ninh CNSS ba chiều (dimension)?


5.

6.

7.
-

-

8.
-

Mô hình bảo mật CNSS cho thấy ba chiều chính của ATTT gồm : tính bảo mật, tính toàn vẹn và tính
khả dụng; chính sách, giáo dục và công nghệ; và lưu trữ, xử lý và truyền tải
Sự riêng tư trong ATTT
Thông tin chỉ được sữ dụng cho mục đích mà chủ sỡ hữu của dữ liệu biết.

Khi liên quan đến InfoSec (ATTT), định nghĩa về sự riêng tư là "trạng thái không bị quan sát,thu thập,
sữ dụng và lưu trữ trái phép". định nghĩa này tập trung vào dữ liệu và đề cập đến việc thông tin
đang được quan sát chỉ bởi các bên được ủy quyền bằng các chính sách có liên quan, bất kể những
chính sách đó có thể là gì (do đó không liên quan đến các quyền cá nhân hoặc tự do)
Định nghĩa các quy trỉnh ATTT sau: identification – xác thực, authentication - chứng thực,
authorization – cấp quyền, and accountability – trách nhiệm giải trình.
+ Định danh (Identification) tức là việc xác định đối tượng đó là ai, là cái gì qua username or ID
+ Authentication (chứng thực) nó là quá trình kiểm tra danh tính của người dùng hoặc một hệ thống
Một cách đơn giản quá trình Authentication là đi tìm câu trả lời cho câu hỏi “Bạn là ai?” và xem
thông tin đó có đúng hay không. Quá trình này rất thông dụng tương tác người dùng thông qua
form đăng ký (và nó được xác thực dựa trên tên người dùng và mật khẩu .
+ Authorization (uỷ quyền) : đi tìm câu trả lời cho câu hỏi “Bạn được phép làm gì?”Xét về mặt logic
thì authorization được thực thi sau khi authentication hoàn thành. Điều này có nghĩa là sau khi xác
định được danh tính người dùng (authentication), hệ thống sẽ tiếp tục kiểm tra xem người dùng có
thể làm gì trên tài nguyên (url, tập tin, chức năng…) của hệ thống hay còn gọi là phân quyền trên hệ
thống.
+ Tính không thể chối cải (Accountability) xảy ra khi một kiểm soát cung cấp sự đảm bảo rằng mọi
hoạt động được thực hiện có thể được quy cho một người có tên hoặc quy trình tự động
Quản lý và vai trò của người quản lý?
Quản lý là quá trình đạt được các mục tiêu sử dụng một nguồn nhân lực, tài nguyên nhất định
Người quản lý: là thành viên của tổ chức được giao nhiệm vụ sắp xếp và quản lý các nguồn lực, điều
phối việc hoàn thành nhiệm vụ và xử lý nhiều vai trò cần thiết để hoàn thành các mục tiêu mong
muốn
Vai trò người quản lý:
+ Vai trò thông tin - Thu thập, xử lý và sử dụng thông tin có thể ảnh hưởng đến việc hoàn thành mục
tiêu
+ Vai trò liên thông - Tương tác với cấp trên, cấp dưới, bên liên quan bên ngoài và các bên khác có
ảnh hưởng hoặc bị ảnh hưởng bởi việc hoàn thành nhiệm vụ
+ Vai trò quyết định – Thực hiện lựa chọn từ các phương pháp tiếp cận thay thế và giải quyết xung
đột, tình trạng khó khăn hoặc thách thức

So sánh Lãnh đạo (leadership) và quản lý (management)
Giống: cả 2 đều thực hiện vai trò hướng dẫn (guiding) người khác
Khác
+ Một leader là người có chuyên môn cao, trực tiếp ảnh hưởng đến nhân viên để họ sẵn sàng đạt
được các mục tiêu. Người đó được mong đợi sẽ dẫn dắt bằng ví dụ và thể hiện những đặc điểm cá
nhân mà làm cho người khác phải ham muốn. Nói cách khác, lãnh đạo cung cấp mục đích, chỉ đạo
và động cơ cho những người theo đuổi mục tiêu đó.
+ người quản lý quản lý các nguồn lực của tổ chức. Anh ta tạo ra ngân sách, cho phép chi tiêu, và
thuê nhân viên. ( quản lý tốt các vấn đề được giao mà không vi phạm bất cứ điều gì theo đúng lộ trì
cv và k cần có chuyên môn
+ Các nhà quản lý hiệu quả cũng là những nhà lãnh đạo hiệu quả.
-------------------- ------------------


- Điều gì làm nên 1 good leader:
+ Biết nhược điểm và tự cãi thiện bản thân, Có kĩ thuật và chiến lược thông thạo, Biết chịu trách nhiệm
cho những hành động của bản thân, Thực hiện các quyết định đúng đắn và và hợp lý. Đặt ví dụ. Giữ
thông tin cho cấp dưới. Phát triển tinh thần trách nhiẹm cho cấp dưới. Đảm bảo công việc được hiểu,
được giám sác và được hoàn thành. Xây dựng team. Sữ dụng team tuỳ theo khả năng của họ.
+ Đặc điểm của 1 good leader: chịu trách nhiệm, can đảm,quyết đoán,tự lập, biết chịu đựng, nhiệt tình,
sáng tạo,chủ động trong cv,phán quyết,trung thành, có kiến thức, công bằng,có chiến thực, không ít kỉ.
Behavioral của leader : Autoratic : hành động theo định hướng – do as i say ; Democratic
( dân chủ ) hành động theo định hướng bà ít hiểu quả hơn. Laissez-faire : tự do hành động và
sáng tạo)
9. Những đặc điềm của quản lý ?
POLC
- Planning (lên kế hoạch): là Quá trình xây dựng, sáng tạo và thực hiện các chiến lược để hoàn thành
các mục tiêu. (Chiến lược - xảy ra ở cấp cao nhất của tổ chức ; Chiến thuật - tập trung vào dự án sản
xuất và tích hợp các nguồn lực của tổ chức ; Operational - tập trung vào hoạt động hàng ngày của các
nguồn lực ) -> để thành công phải xác định rõ mục tiêu và mục đích

- Organizing (tổ chức): Chức năng quản lý dành cho việc cấu trúc các nguồn lực để hỗ trợ thực hiện
các mục tiêu. (Cần phải xác định: Điều gì được thực hiện theo thứ tự nào, bởi, bằng cách nào và khi
nào)
- Leading (lãnh đạo): khuyến khích việc thực hiện quy hoạch và tổ chức các chức năng.
- Controlling (kiểm soát): là việc giám sát tiến độ hoàn thành và thực hiện các điều chỉnh cần thiết để
đạt được mục tiêu mong muốn.
10. Ba loại lên kế hoạch thông thường (general planning) là gì? định nghĩa từng loại.
● Lập kế hoạch chiến lược - Điều này xảy ra ở cấp cao nhất của tổ chức và trong một thời gian dài,
thường là năm năm hoặc nhiều hơn.
● Lập kế hoạch chiến thuật - Tập trung vào việc lập kế hoạch sản xuất và tích hợp các nguồn lực của
tổ chức ở mức thấp hơn toàn bộ doanh nghiệp và trong một khoảng thời gian trung bình (chẳng hạn
từ 1 đến 5 năm).
● Lập kế hoạch hoạt động - Tập trung vào các hoạt động hằng ngày của các nguồn lực địa phương và
xảy ra trong hiện tại hoặc trong ngắn hạn.
11. 5 bước của một quy trình giải quyết vấn đề thông thường.
- Bước 1: Nhận biết và xác định vấn đề
- Bước 2: Thu thập dữ kiện và giả định
- Bước 3: Phát triển các giải pháp khả thi
- Bước 4: Phân tích và so sánh các giải pháp khả thi
- Bước 5: Lựa chọn, thực hiện và đánh giá.
12. Định nghĩa quản lý dự án (project management). Tại sao việc quản lý dự án được quan tâm đặc
biệt trong lĩnh vực ATTT
- Quản lý dự án liên quan đến việc xác định và kiểm soát các nguồn lực được áp dụng cho dự án cũng
như tính toán tiến độ và điều chỉnh quá trình khi tiến độ đạt được đến mục tiêu.
- InfoSec là một quá trình chứ không phải là một dự án. Tuy nhiên, mỗi yếu tố của một chương trình
InfoSec phải được quản lý như là một dự án, ngay cả khi chương trình tổng thể là đang diễn ra liên
tục. Một dự án khác với quy trình vì đó là hoạt động tạm thời và đang tạo ra sự thay đổi về tổ chức.
13. Tại sao các kỹ năng quản lý dự án lại quan trọng đối với chuyên gia ATTT?
-



• Thực hiện một phương pháp như SecDLC
• Việc đưa ra một kế hoạch chi tiết về các hoạt động của dự án cung cấp một công cụ tham khảo
chung.
• Xác định trách nhiệm cụ thể cho tất cả các nhân viên liên quan làm giảm sự mơ hồ và cũng làm
giảm sự nhầm lẫn khi các cá nhân được giao cho các dự án mới hoặc khác
• Xác định rõ ràng các ràng buộc của dự án (khung thời gian, ngân sách) và yêu cầu chất lượng tối
thiểu làm tăng khả năng dự án sẽ nằm trong các ràng buộc đó.
• Thiết lập các biện pháp thực hiện và tạo ra các cột mốc của dự án đơn giản hóa việc giám sát
• Xác định sai lệch về chất lượng, thời gian hoặc ngân sách sớm cho phép điều chỉnh sớm vấn đề
này.
14. Làm thế nào đề an ninh thông tin trở thành cả 1 dự án (project) và 1 quy trình (process).
An ninh không phải là một nỗ lực một lần, mà là một quá trình lặp đi lặp lại mà phải được tập trung
vào cho ‘cuộc đời’ của hệ điều hành. Mục đích là, nếu hệ điều hành hoặc người dùng phát hiện ra
rằng hệ thống đã bị xâm nhập, một bản cập nhật có thể được bắt đầu và - sau khi khởi động lại - hệ
thống sẽ được trả về trạng thái tốt đã biết
- Nguyên tắc quản lý ATTT: là 1 phần của team quản lý tổ chức.Các đặc điểm mở rộng:
Planning : bao gồm mô hình lập kế hoạch infosec : những hoạt động cần thiết để hỗ trợ thiết kết,
tạo ra,thực thi chiến lược bảo mật thông tin bao gồm: kết hoạch duy trình hoạt động doanh nghiệp, kế
hoạch phản ứng trước sự cố/thảm hoạ, chính sách , nhân viên, triển khai công nghệ, quản lý rủi ro và
những chương trình an tòn bao gồm giáo dục, tập huấn và nhận thức.
- Policy: hướng dẫn chung về 1 số hành vi trong tổ chức bao gồm : chính sách bảo mật doanh nghiệp,
chính sách an ninh cho từng vấn đề cụ thể và chính sách cụ thể về hệ thống.
- Programs: Các chương trình cụ thể quản lý trong IS domain, chương trình SETA, các chương trình khác
như chương trình an ninh vật lý, truy cập vật lý, cổng, bảo vệ.... ?
- Protection: Các quản động quản lý rủi ro, cũng như bảo vệ cơ chế, công nghệ và công cụ.
- People: Con người là mối liên kết quan trọng nhất -> SETA
- Project Management: xác định và kiểm soát các nguồn lực để đạt được mục tiêu
CHƯƠNG 2: SECURITY PLANNING


1. Kế hoạc là gì
Kế hoạch là phương tiện có ảnh hưởng lớn trong việc quản lý các nguồn lực trong các tổ chức. Nó
đòi hỏi phải đưa ra một loạt các hành động để đạt được mục tiêu cụ thể trong một khoảng thời gian
cụ thể và trong việc thực hiện kiểm soát các bước để đạt được mục tiêu đó. Kế hoạch cung cấp
hướng đi cho một tổ chức trong tương lai. Nó làm tăng hiệu quả và ngăn ngừa sự lãng phí và nỗ lực
trùng lặp lại. (Do những lãnh đạo của tổ chức lựa chọn hướng đi, kế hoạch bắt đầu từ những điều
chung và kết thúc bằng điều cụ thể)


Thông thường từ quan điểm đạo đức, kinh doanh và triết học và quan điểm của tổ chức.
Lập kế hoạch chiến lược bao gồm:
Values Statement – tuyên bố giá trị
Vision Statement – tuyên bố tầm nhìn
Mission Statement – tuyến bố sứ mệnh
Kế hoạch phối hợp cho các đơn vị trực thuộc
Những bên liên quan ( kế hoạch bao gồm những đối tượng)
Liên quan: nhân viên,quản lý,cổ đông,các bên liên quan bên ngoài khác,môi trường vật lý, môi
trường chính trị và pháp lý, môi trường cạnh tranhvà môi trường công nghệ
- Khi lập kế hoạch, một tổ chức phải xem xét tất cả các bên liên quan để đánh giá các quyết định quy
hoạch đúng và có nguồn lực
4. Tuyên bố giá trị là gì? Tuyên bố tầm nhìn là gì? Tuyên bố nhiệm vụ là gì?
- Tuyên bố giá trị (values statement): tập hợp chính thức các nguyên tắc tổ chức và chất lượng của tổ
chức sau đó. Vd : Ví dụ: cam kết của RWW cam kết, trung thực, toàn vẹn và trách nhiệm xã hội giữa
các nhân viên của công ty và cam kết cung cấp các dịch vụ của mình hài hoà với công ty, môi trường
tự nhiên.
- Tuyên bố tầm nhìn (vison statement): Là một hình  ảnh, tiêu chuẩn, hình tượng độc đáo và lý tưởng
2.
3.
-


trong tương lai, là những điều doanh nghiệp muốn đạt tới hoặc trở  thành.vd :  Trường Đại học Ngoại
thương là trường đại học tự chủ, theo định hướng nghiên cứu, nằm trong nhóm các trường đại học
hàng đầu của khu vực.

-

Tuyên bố sứ mệnh (mission statement): Là lý do để tổ chức tồn tại. Các tổ chức thường thể hiện sứ
mệnh của mình bằng một "tuyên bố sứ mệnh” xúc tích, ngắn gọn, giải thích tổ chức đó tồn tại để
làm gì và sẽ làm gì để tồn tại. Vd : Sứ mạng của trường Đại học Ngoại thương là đào tạo nhân tài và
cung cấp nguồn nhân lực chất lượng cao trong các lĩnh vực kinh tế, kinh doanh, quản trị  kinh
doanh, tài chính ­ ngân hàng, luật,

5. Chiến lược là gì?
Chiến lược là tập hợp các quyết định về các mục tiêu dài hạn và các biện pháp, các cách thức, con
đường đạt đến các mục tiêu đó.
---------------------------- Xây dựng chiến lược chung
- Tạo ra các kế hoạch chiến lược cụ thể cho các bộ phận chính
• Mỗi cấp độ phân chia chuyển chúng đó thành những mục tiêu cụ thể cho những cấp dưới
• Để thực hiện chiến lược rộng này, các nhà quản lý phải xác định trách nhiệm quản lý cá nhân.
( CEO tạo ra những chiến lược chung, CISO chịu trách nhiệm cho chiến lược ATTT , CIO chịu trách
nhiệm phân lược IT)
 Các mục tiêu chiến lược sau đó được chuyển thành các nhiệm vụ với các mục tiêu cụ thể
(specific), có thể đo lường được(measurable), có thể đạt được(achiavable), hợp lý ( reasonably)
và cao về thời gian ( time-bound objective) (SMART) • Kế hoạch chiến lược sau đó bắt đầu
chuyển đổi từ các mục tiêu tổng quát sang mục tiêu cụ thể

6. Quản trị InfoSec ( CISO) là gì?
Quản trị InfoSec và CIO đóng vai trò quan trọng trong việc chuyển đổi những chiến lược tổng thể
của CEO thành kế hoạch An ninh thông tin về chiến thuật và kế hoạch vận hành attt.
CSIO tạo ra những kế hoạch ATTT với tần nhìn về tương lai của an ninh ở CTY X, hiểu được những

hoạt động cơ bản do cty này thực hiện để đề xuất những giải pháp an ninh phù hợp và xây dựng
những kế hoạch hành động, ngân sách, báo cáo trạng thái và các phương tiện quản lý hàng đầu khác
nhầm cải thiện trạng thái attt hiện có ở cty x
bao gồm tất cả các trách nhiệm giải trình và các phương pháp do ban giám đốc và ban điều hành
quản lý để cung cấp định hướng chiến lược, thiết lập các mục tiêu, đo lường tiến độ đạt được các


mục tiêu đó, xác minh các hoạt động quản lý rủi ro là phù hợp và xác nhận tài sản của tổ chức được
sử dụng đúng
7. Hội đồng quản trị nên đề nghị gì mà để nghị đó như một mục tiêu ATTT của tổ chức?
- Đưa ra một nền văn hoá công nhận sự quan trọng của thông tin và InfoSec đối với tổ chức
- Xác minh rằng đầu tư của quản lý trong InfoSec đúng với các chiến lược của tổ chức và môi trường
rủi ro của tổ chức
- Đảm bảo rằng một chương trình InfoSec toàn diện được xây dựng và triển khai
- Yêu cầu báo cáo từ các lớp quản lý khác nhau về hiệu quả và tính đầy đủ của chương trình InfoSec
8. Năm kết quả cơ bản cần đạt được thông qua quản trị InfoSec là gì?
- Sự kết hợp chiến lược của InfoSec với chiến lược kinh doanh để hỗ trợ các mục tiêu của tổ chức
- Quản lý rủi ro bằng cách thực hiện các biện pháp thích hợp để quản lý và giảm thiểu các mối đe dọa
đối với các nguồn thông tin
- Quản lý tài nguyên bằng cách sử dụng kiến thức và cơ sở hạ tầng InfoSec hiệu quả và hiệu quả
- Đo lường hiệu quả bằng cách đo lường, giám sát và báo cáo Quản lý InfoSec để đảm bảo đạt được
mục tiêu về tổ chức
- Phân phối giá trị bằng cách tối ưu hóa các khoản đầu tư của InfoSec để hỗ trợ các mục tiêu của tổ
chức
9. Mô tả lập kế hoạch chiến lược từ trên xuống. Nó khác với kế hoạch chiến lược từ dưới lên như
thế nào? Chiến lược nào thường hiệu quả hơn trong việc thực hiện bảo mật trong một tổ chức
lớn và đa dạng?
- kế hoạch chiến lược top-down: Cách tiếp cận bảo mật trong đó việc quản lý ‘cấp cao’ (upper) sẽ chỉ
đạo hoạt động và hỗ trợ và trong đó các nhà quản lý cấp cao cung cấp nguồn lực; đưa ra hướng; ban
hành chính sách, thủ tục và quy trình; điều khiển các mục tiêu và kết quả mong đợi của dự án; và

xác định ai là người chịu trách nhiệm về mỗi hành động được yêu cầu.
- So sánh:
+top-down: là một phương pháp thiết lập các chính sách an ninh được khởi xướng bởi ban quản lý
cấp trên
+bottom-up:: kế hoạch chiến lược được khởi xướng bời những nhân viên cấp độ thấp hơn
- Cái nào phù hợp ý 3: top-down
10. SecSDLC khác SDLS thông thường như thế nào
SecSDLC là một phương pháp tập trung vào bảo mật. nó liên quan đến việc xác định các mối đe dọa
và rủi ro cụ thể của người đại diện. sau đó nó thiết kế các biện pháp đối phó và kiểm soát cụ thể để
quản lý các rủi ro.
11. Mục tiêu chính của SecSDLC là gì? Các bước chính của nó là gì, và các mục tiêu chính của từng
bước là gì?
- Mục tiêu chính của SecSDLC là thực hiện việc xác định các rủi ro cụ thể và mối đe dọa mà chúng gây
ra cho công ty. SecSDLC cũng quan tâm đến việc thiết kế và thực hiện các kiểm soát cụ thể để chống
lại những rủi ro có thể xảy ra. Điều này hàm ý rằng bảo mật thông tin là một chương trình hợp lý trái
với một chuỗi các câu trả lời.
- Các bước chính:
+ Điều tra - Đội ngũ quản lý, nhân viên và chuyên gia tư vấn được tập hợp để điều tra các vấn đề, xác
định phạm vi, xác định mục đích và xác định các ràng buộc khác không được đề cập trong chính sách
an ninh doanh nghiệp
Phân tích - Các tài liệu từ giai đoạn điều tra được nghiên cứu.
+ Thiết kế Thiết kế hợp lý - Các thành viên trong nhóm tạo và phát triển kế hoạch chi tiết về an ninh, và nghiên
cứu và thực hiện các chính sách chủ chốt ảnh hưởng đến các quyết định sau này.


Thiết kế vật lý - Các thành viên trong nhóm đánh giá công nghệ cần thiết để hỗ trợ kế hoạch an toàn,
tạo ra các giải pháp thay thế và đồng ý với quyết định cuối cùng.
+ Thực hiện - Các giải pháp bảo mật được mua lại, thử nghiệm, triển khai và thử nghiệm lại.
+ Bảo trì: Trong khi một mô hình quản lý hệ thống được thiết kế để quản lý và vận hành các hệ
thống thì một mô hình bảo trì nhằm bổ sung mô hình quản lý hệ thống và tập trung những nỗ lực

bảo trì liên tục cần thiết để giữ cho các hệ thống có thể sử dụng và an toàn.
12. Đâu là một mối đe dọa trong bối cảnh InfoSec? 12 loại đe dọa được trình bày trong chương này
là gì?
- Trong bối cảnh an ninh thông tin, mối đe dọa là "một người, một đối tượng hoặc một thực thể khác
đại diện cho yếu tố nguy cơ cho sự mất mát hoặc thiệt hại của thông tin hoặc tài sản tổ chức.
- 12 loại
 Thỏa thuận đối với sở hữu trí tuệ: Vi phạm bản quyền phần mềm hoặc vi phạm bản quyền khác
 Sự khác biệt về chất lượng dịch vụ từ các nhà cung cấp dịch vụ: Biến động về điện, dữ liệu và các
dịch vụ khác
 Gián điệp hoặc xâm phạm: Truy cập trái phép và / hoặc thu thập dữ liệu
 Thiên tai : cháy, lũ lụt, động đất, sét vv
 Lỗi do con người: tai nạn, sai lầm của nhân viên, không tuân theo chính sách
 Tống tiền thông tin: đe dọa tống tiền về việc tiết lộ thông tin.
 Phá hoại: Thiệt hại hoặc phá hủy các hệ thống hoặc thông tin
 Các cuộc tấn công phần mềm: Phần mềm độc hại: virus, sâu, macros, DOS, hoặc script injections
 Các lỗi kỹ thuật phần cứng: Phần cứng bị lỗi
 Lỗi kỹ thuật phần mềm: Bugs, các vấn đề về code, lỗ hổng, backdoor
 Công nghệ lỗi thời hoặc lạc hậu: sữ dụng phần mềm lỗi thời
 Trộm cắp: Lấy thiết bị hoặc thông tin trái phép
13. Sự khác biệt giữa một mối đe dọa (threat) và một cuộc tấn công (attack) là gì?
Các mối đe dọa là những khu vực có khả năng tấn công Một cuộc tấn công là một hành động hoặc
sự kiện khai thác những lỗ hổng đó.
14. Làm thế nào một lỗ hổng có thể bị chuyển đổi thành một cuộc tấn công?
Threat agent. Back doors, brute force, buffer overflow
15. Tên nào được đưa ra cho một cuộc tấn công mà làm cho việc sử dụng các virus và sâu (worm)?
Cái tên được đưa ra cho một cuộc tấn công mà không thực sự gây ra thiệt hại khác hơn là lãng phí
thời gian và nguồn lực?
Malicious code (mã code độc hại)
Hoaxes (lừa dối)
16. Những câu hỏi nào có thể được yêu cầu để giúp xác định và phân loại tài sản thông tin? Đâu là

câu hỏi quan trọng nhất để hỏi?
(*)Tài sản thông tin nào là quan trọng nhất đối với sự thành công của tổ chức?
Tài sản thông tin nào tạo ra doanh thu nhiều nhất?
Tài sản thông tin nào có lợi nhuận cao nhất?
Tài sản thông tin nào là đắt nhất để thay thế?
Tài sản thông tin nào là đắt nhất để bảo vệ?
17. Tên nào được trao cho quá trình phân loại đánh giá rủi ro so sánh cho từng tài sản thông tin cụ
thể? Việc sử dụng đánh giá như vậy là gì?
Risk management and assessment (Quản lý rủi ro và đánh giá)
Quantitatively assess the risk and vulnerability of each asset. (Đánh giá định lượng rủi ro và tính dễ
tổn thương của mỗi tài sản.)


18. Thuật ngữ nào được sử dụng để mô tả việc cung cấp các quy tắc nhằm bảo vệ tài sản thông tin
của một tổ chức?
Maintenance model, ISO Management Model, Security Management model, Security Program
Management
(Mô hình quản lý, Mô hình quản lý ISO, Mô hình quản lý an ninh, Quản lý Chương trình An ninh)
19. Thuật ngữ nào được sử dụng để mô tả biện pháp kiểm soát nhằm giảm sự cố an ninh giữa các
thành viên của tổ chức bằng cách làm quen với các chính sách và thông lệ liên quan một cách liên
tục?
SETA program
20. Ba loại điều khiển InfoSec là gì? Mỗi loại được sử dụng như thế nào để giảm rủi ro cho tổ chức?
Managerial Controls – covers strategic planning
Operational Controls – covers operational planning
Technical Controls – covers tactical planning
- Chu trình phát triển hệ thống ( Systems Development life cycle SDLC)
+ SDLC là phương pháp cho thiết kế và thực hiện của hệ thống thông tin. Các dự án dựa trên SDLC có thể
bắt đầu bởi sự kiện hoặc lên dự án. Kết thúc mỗi gian đoạn sẽ có 1 đánh giá xảy ra khi người đánh giá
xúc định nếu dự án đó nên tiếp tục, k nên tiếp tục, thuê bên ngoài làm hay hoãn lại.

+ SDLC gồm :
+ Điều tra ; Phân tích; Thiết kế logic;Thiết kế vật lý; Thực thiện và Duy trì
- Các thuật ngữ:
+ Attack: là hành động có chủ ý nhầm khai thác 1 lỗ hỏng để đạt được quyền kiểm soát trong hệ
thống được thực hiện để làm hư hỏng hệ thống, đánh cấp tài sản thông tin hoặc vật lý của tổ chức
+ Exploit ( khai thác ) : Là kĩ thuật hoặc cơ chế được dùng để khai thác , xâp nhập hệ thống
+ Vulnerability : Lỗ hổng là điểm yếu hay thiếu xót trong ứng dụng, hệ thống hay qui trình. Cho phép 
kẻ tấn công có thể khai thác để truy cập trái phép vào các tài nguyên của hệ thống, làm tổn hại tới các bên 
tham gia hệ thống. Lỗ hổng có thể nằm trong khâu thiết kế hay việc thực thi, cài đặt, triển khai ứng dụng, hệ 
thống.
- Quản lý rủi ro• Sử dụng một số được đề nghị cho mỗi loại đe dọa và các phương pháp tấn công liên
quan
• Để quản lý rủi ro, bạn phải xác định và đánh giá giá trị của tài sản thông tin của bạn
• Ðánh giá rủi ro đánh giá mức độ rủi ro so sánh hoặc điểm cho từng tài sản thông tin cụ thể
• Quản lý rủi ro xác định các lỗ hổng trong một hệ thống thông tin của tổ chức và phải cẩn thận trong các
bước để đảm bảo tính bí mật, tính toàn vẹn, và tính khả dụng của tất cả các thành phần trong hệ thống
thông tin của tổ chức
- Thiết kế trong SecSDLC • Gồm 2 giai đoạn riêng biệt: - Thiết kế logic: các thành viên trong nhóm
tạo ra và phát triển một kế hoạch chi tiết về an ninh, và kiểm tra và thực hiện các chính sách chủ chốt
- thiết kế vật lý: các thành viên trong nhóm đánh giá những công nghệ cần thiết để hỗ trợ cho kế
hoạch an ninh, tạo ra các giải pháp thay thế và thoả thuận về bản thiết kế cuối cùng.


- Mô hình bảo mật : • Các nhà quản lý an ninh thường sử dụng các mô hình bảo mật đã được thiết lập
để thiết kế • Các mô hình bảo mật cung cấp frameworks để đảm bảo rằng tất cả các lĩnh vực an ninh
được giải quyết • Các tổ chức có thể điều chỉnh hoặc chấp nhận một framework để đáp ứng nhu cầu
bảo mật thông tin của riêng họ.
- Chứng nhận
– CISSP: Certified Information Systems Security Professional
– SSCP: Systems Security Certified Practitioner

– GIAC: Global Information Assurance Certification
– SCP: Security Certified Program
– ICSA: International Computer Security Association
– Security +
– CISM: Certified Information Security Manager
ÔN TẬP CHƯƠNG 3 : CONTINGENCY PLANNING
1. Kế hoạch dự phòng là gì ?
-

Contingency Planning ( kế hoạch dự phòng) , kế hoạch chuẩn bị,phản ứng,phục hồi cho những sự
kiện bất thường, không mong đợi xảy ra nhầm duy trì hoạt động doanh nghiệp và giảm thiểu những
chi phí phải bỏ ra để giải quyết những vấn đề không mong muốn. Bao gồm 4 thành phần :



Business impact analysis (BIA) : phân tích hoạt động kinh doanh

 Incident Response Planning (IRP) : Là những quy trình, thủ tục về việc dự đoán, phát hiện và giảm
nhẹ tác động của một sự kiện bất ngờ có thể ảnh hưởng đến tài nguyên và tài sản thông tin.


Disaster Recovery Planning (DRP) : kế hoạch chuẩn bị và khôi phục thảm họa kể cả do thiên nhiên
hay do con người làm.



Business Continouos Planning (BCP) : Đảm bảo các hoạt động của doanh nghiệp vẫn có thể tiếp tục
khi bị thảm hoạ.

• Đảm bảo tính liên tục trong tất cả các quy trình lên kế hoạch dự phòng : Xác định sứ mệnh hoặc

các chức năng kinh doanh quan trọng- Xác định các nguồn hỗ trợ các chức năng quan trọng đó- Dự
liệu tiềm năng hoặc thảm hoạ- Chọn chiến lược lập kế hoạch dự phòng- Thực hiện chiến lược được
lựa chọn- Kiểm tra và sửa đổi kế hoạch dự phòng

2. Liệt kê quy trình CP gồm bảy bước do NIST đề xuất


1. Tuyên bố Xây dựng chính sách CP chính thức và hướng dẫn cần thiết để xây dựng chính sách dự
phòng hiệu quả
2. Thực hiện BIA (phân tích hoạt động kinh doanh) để xác định và ưu tiên những thông tin hệ
thống và các thành phần quan trọng để hỗ trợ quy trình kinh doanh của tổ chức.
3. Xác định các biện pháp phòng ngừa. các biện pháp được thực hiện để giảm tác động của biến
cố và tăng tính sẵn có của hệ thống, giảm chi phí phục hồi
4. Tạo chiến lược dự phòng. Chiến lược thu hồi cần cẩn thận, đảm bảo rằng hệ thống có thể được
phục hồi nhanh chóng và hiệu quả sau sự gián đoạn
5. Xây dựng kế hoạch dự phòng. Kế hoạch này cần bao gồm các hướng dẫn chi tiết và và thủ tục
khôi phục các thành phần hư hỏng của tổ chức.
6. Đảm bảo kiểm thử, đào tạo và thực hiệnkế hoạch. Thử nghiệm xác nhận kết quả (khả năng
phục hồi của kế hoạch) đào tạo nhân viên và cải thiện kết quả và chuẩn bị tổ chức tổng thể
7. Đảm bảo duy trì kế hoạch, kế hoạch cần đc cập nhật hệ thống và những thay đổi của tổ chức.
3. liệt kê và mô tổ các đội trong CP, và vai trò của từng team
1. CPMT (contingency planning management team) team : thu thập thong tin hệ thống của tổ chức
và những mối đe dọa à tổ chức phải đối mặt, thực hiện phân tích hoạt động kinh doanh (BIA), sau
đó điều phối các kế hoạch IR, DR, BC. Nhân viên team này bao gồm 3 thành phần:
2. Incident response team: nhóm này thực thiện quản lý và thực thi IRP bằng việc phát hiện, đánh
giá và phản ứng các sự cố.
3. Disaster Recovery Team: nhóm này thực hiện kế hoạch quản lý và thực hiện kế hoạc DR bằng cách
phát hiện , đánh giá và ứng phó với thiên tai và tái thiết các hoạt động ở cấp cơ sở chính.
4. Business Continuous team: nhóm này quản lý và thực hiện kế hoạch BC bằng cách thiết lập và bắt
đầu hoạt động bên ngoài trong trường hợp có sự cố hoặc thiên tai

4. Liệt kê và mô tả các tiêu chí được sử dụng để xác định liệu một vụ việc thực tế có xảy ra hay
không
1. Loss of availability: thông tin hay thông tin hệ thống trở nên không có sẵn
2. Loss of integrity: (tính toàn vẹn) người dùng báo cáo những tệp dữ liệu bị hỏng, file rác hay dữ
liệu có vẻ khác thường( bị hỏng)
3. Loss of confidentiality : (tính bảo mật) rò rỉ thông tin nhạy cảm, hay thông tin bí mật bị tiết lộ
4. Violation of policy : vi phạm chính sách của tổ chức về giài quyết thông tin hay Infor Sec
5. Violation of law or regulation : phá vỡ luật hay tài sản thông tin của tổ chức


5. Liệt kê và mô tả các bước IR planning:
1. Notification of key personal: sau khi phát hiện xảy ra biến cố, cần thông báo tới những người có
lien qua đề giải quyết sự cố : cấp cứu, cứu hỏa, quản lý cấp trên. Một danh sách cảnh báo là
một tài liệu có chứa thông tin liên lạc về cá nhân được thông báo trong trường hợp có sự cố
thực sự. có 2 cách liên lạc: tuần tự và cấp bậc.danh sách cảnh báo cần được duy trì, kiểm tra và
tập uyện thường xuyên nếu nó vẫn giữ được hiệu quả.
2. Documenting an Incident: tài liệu phải ghi lại who, what, when, where , why và how each action
trong khi xảy ra biến cố.
3. Incident Containment Stratigies: ngăn chặn sự cố và phục hồi các hệ thống bị ảnh hưởng. chiến
lược ngăn chặn bao gồm:
-

Tắt tài khoản người dùng bị xâm nhập

-

Cấu hình lại tường lửa để chặn lưu lượng truy cập có vấn đề

-


Tạm tắt tiến trình hoặc ứng dụng bị xâm nhập

-

Ngưng ứng dụng hoặc máy chủ đường truyền

-

Ngừng tất cả các máy tính và thiết bị mạng

4. Incident Escalation:
Xác định tại thời điểm nào, biến cố sẽ chuyển thành Disaster RECovery, từ đó xác định các công
việc cần thực hiện trong IRP
5. Recovering from Incident:
-

Phát hiện và khắc phục những tổn thương mà biến cố gây ra cho tổ chức hay hệ thống.

-

Giải quyết, cái đặt, thay thế hay cập nhật nhựng máy tính, server bị dừng hay ảnh hưởng bởi sự
biến cố

-

Khôi phục data từ backup, services và processes

-

Tiếp tục hệ thống giám sát


-

Khôi phục niềm tin của các thành viên trong tổ chức.

6. Thi hành luật pháp:
Liệt kê và mô tả các hành động cần được thực hiện trong một lần phản ứng
-

Lập hồ sơ và thủ tục cần dùng trong cuộc biến cố và phân công cho cá nhân hay nhóm cụ thể.

6. danh sách cảnh báo, thông tin cảnh báo, 2 cách cảnh báo


-

Danh sách cảnh báo là danh sách thông tin các cá nhân hay tổ chức được lưu ý khi 1 biến cố thực sự
xảy ra

-

Thông điệp cảnh báo là mô tả về vụ việc bao gồm đủ thông tin cho mỗi phản hồi, biết đc phần nào
kế hoạch IR mà không ảnh hưởng đến quá trình thông báo.

-

Có 2 loại cảnh báo: tuần tự và cấp bậc:




Tuần tự: thông báo cho từng ng 1 trong danh sách cảnh báo, như vậy thì k bị thiếu sót, nhưng tốn
thời gian vì chỉ có 1 ng lien lạc tới những ng trong danh sách cảnh báo



Cấp bậc: gọi cho 1 người, người đó sẽ thông báo cho người được chỉ định, và tiếp tục như thế đến
hết, cách này nhanh hơn, nhưng có thể thiếu sót vì k kiểm soát đc danh sách cảnh báo

7. Liệt kê và mô tả một số chiến lược ngăn chặn đưa ra trong văn bản. Về nhiệm vụ nào họ tập
trung?
-

Một số chiến lược ngăn chặn:



Tắt tài khoản người dùng bị xâm nhập



Cấu hình lại tường lửa để chặn lưu lượng truy cập có vấn đề



Tạm tắt tiến trình hoặc ứng dụng bị xâm nhập



Ngưng ứng dụng hoặc máy chủ đường truyền




Ngừng tất cả các máy tính và thiết bị mạng

8. đánh giá thiệt hại là gì, và dùng để làm gì??
-

Đánh giá thiệt hại là xác định phạm vi xâm hại tính bảo mật, toàn vẹn,, sẵn sàng của thông tin và
đánh giá thông tin .

9. Những tiêu chuẩn nào nên được sử dụng khi xem xét liệu có liên quan đến các cơ quan thi hành
luật trong một vụ việc?
*Câu này thấy trên lớp th k nói hay sao mà mình k ấn tượng, nên bỏ qua câu này, vs lại tìm trom
sách cũng k biết chỗ nào luôn*
10. Kế hoạch khôi phục thảm hoạ là gì và tại sao lại quan trọng đối với tổ chức?
-

disaster recovery plan: khi 1 cuộc biến cố theo thang, thì IR planning k còn có thể giải quyết đc, thì
lúc này, kế hoạch khôi phục thiên tai dùng đề đánh giá và khôi phục sự cố sau thiên tai dù là do thiên
nhiên hay con người tạo ra.


-

disaster recovery plan quan trọng vì khi IRP k thẩ khắc phục tình trạng của tổ chức khi có biến cố xảy
ra, thiết lập lại các hoạt động bình thường của tổ chức , thì DRP là kế hoạch cấn thiết, bời chỉ khi
khôi phục đc thiên tai thì mới quyết định là tổ chức có thể tiếp tục hoạt đông hay không

11. Liệt kê và mô tả hai thảm hoạ khởi phát nhanh. Liệt kê và mô tả một thảm hoạ chậm khởi
phát ???

-

Rapid-onset disasters: xảy ra bất ngờ, ít cảnh báo trước, ảnh hưởng tới sự sống của con người và
phá hủy sản phẩm, thường xảy ra do thiên nhiên : động đất, lũ lụt, lốc xoáy, …



Flood: có thể gây thiệt hại cho toàn bộ hệ thống thông tin của tòa nhà hoặc phá hoại 1 phần của hệ
thống. cũng có thể gián đoạn hoạt động bằng cách gián đoạn lối ra vào của tòa nhà chứ toàn bộ or 1
phần hệ thống thông tin. Có thể giảm nhẹ thiệt hại = bảo hiểm lụ lụt hoặc bảo hiểm gián đoạn kinh
doanh.



Earthquake : (động đất) : gây thiệt hại trực tiếp cho tòa nhà chứa hệ thống thông tin, hoặc gián
đoạn hoặt động = cách gián đoạn tiếp cận hệ thống trong tòa nhà, có thể giảm nhẹ thiệt hại = bảo
hiểm.

-

Slow-onset disaster: ( khởi phát chậm) xảy ra theo time và dần dần giảm khả năng chịu đựng của 1
tổ chức, nguyên nhận thường: hạn hán, sa mạc hóa, phá rừng, …



Phá rừng: làm ãnh hưởng tới khí hậu nơi tòa nhà chứa hệ thống, từ đó gián đoạn việc tiếp cận hệ
thống, ảnh hưởng tới không gian lưu trữ hệ thống.

12. kế hoạch duy trì hoạt động của tổ chức và vì sao nó quan trọng
-


BCP đảm bảo tổ chức có thể hoạt động khi có thiên tai xảy ra.

13. phân tích hoạt động kinh doanh là gì ( BIA)
-

BIA là thu thập thông tin, dữ liệu, hoạt động của tổ chức để phân tích, từ đó có thể đưa ra các kế
hoạch CONTINGENCY phù hợp.

14. tại sao kế hoạch tiếp tục hđ cần được kiểm tra và tập luyện?? (câu mình mình chém đấy nhé!!! Ý
tự đúc kết ra thôi)
-

BCP cần được kiểm tra và tập luyện vì khi có sự cố xảy ra leo thang tới mức thảm họa, thì BCP là cơ
hội để tổ chức có thể khôi phục hoạt động của mình, nếu BCP k phù hợp hay thất bại, nó sẽ ảnh
hưởng tới sự tồn tại của hoạt động, bởi khi bị thiên tai, nếu torng time quá lâu mà tổ chức k hoạt
động lại bình thường thì tổ chức đó có thể xem như bị biến mất.


CHƯƠNG 4: Security Policy and Standards
Câu 1: Chính sách an ninh thông tin là gì? Tại sao lại quan trọng cho sự thành công của chương
trình InfoSec?
- Chính sách an ninh thông tin là hướng dẫn bằng văn bản do cơ quan quản lý cung cấp để thông
báo cho nhân viên và những người khác trong môi trường làm việc về những hành vi thích hợp liên
quan đến việc sử dụng thông tin và tài sản thông tin. Chính sách này được thiết kế để cung cấp cấu
trúc tại nơi làm việc và giải thích ý định của quản lý tổ chức trong việc kiểm soát hành vi của nhân
viên đối với việc sử dụng thông tin và các nguồn thông tin phù hợp và an toàn. Chính sách được
thiết kế để tạo ra một môi trường làm việc có năng suất, có hiệu quả, tránh những hành động
không cần thiết hoặc không thích hợp trong môi trường làm việc.
Chính sách là một nền tảng thiết yếu của chương trình Infosec hiệu quả • Sự thành công của một

chương trình bảo vệ tài nguyên thông tin phụ thuộc vào chính sách tạo ra, và về thái độ quản lý để
đảm bảo thông tin trong các hệ thống tự động.
-

Chính sáng được tảo ra phải đảm bảo giảm rủi ro,tuân thủ pháp luật và quy định, đảm bải
tính liên tục trong hoạt động, toàn vẹn thông tin và bí mật.

Câu 2: Trong các biện pháp kiểm soát hoặc biện pháp nào được sử dụng để kiểm soát rủi ro của
InfoSec, được coi là ít tốn kém nhất? Chi phí chính của loại hình kiểm soát này là gì?
Chính sách của INFOSEC ít tốn kém, nhưng khó thực thi và thực hiện hơn. Thời gian và nỗ lực của
nhân viên.
Câu 3: Liệt kê và mô tả ba thách thức trong việc định hình chính sách ( những yếu tố cơ bản ).
- Chính sách không được mâu thuẩn với pháp luật. Chính sách nếu trãi với pháp luật sẽ không được
xem là có tác dụng thậm chí sẽ vi phạm pháp luật nếu bị truy cứu .
- Chính sách phải có giá trị pháp lý khi bị kiện.
- Chính sách phải được hỗ trợ và thực hiện đúng.
- Đóng góp vào sự thành công của tổ chức
- Liên quan đếnngười dùng cuối và hệ thống thông tin
Câu 4: Liệt kê và mô tả ba hướng dẫn về chính sách hợp lý, theo như Bergeron và Bérubé.
- Tất cả các chính sách phải đóng góp vào sự thành công của tổ chức
- Người quản lý phải đảm bảo chia sẻ trách nhiệm sử dụng đúng hệ thống thông tin
- Người sử dụng cuối của hệ thống thông tin cần được tham gia vào các bước xây dựng chính sách :
quá nhiều chính sách hoặc chính sách quá phức tạp có thể làm giảm sự hài lòng của người dùng
cuối.
Câu 5: Mô tả mô hình bull’s-eye.
Policies - lớp bảo vệ đầu tiên
Networks - mối đe dọa đầu tiên về mạng của tổ chức
Systems - máy tính và hệ thống sản xuất



Application- tất cả các ứng dụng hệ thống

Câu 6: Chính sách khác với tiêu chuẩn theo cách nào?
Chính sách là các kế hoạch hoặc các hành động cụ thể nhằm gây ảnh hưởng,quyết định, hành
động.. về 1 vấn đề nào đó.
Tiêu chuẩn là những tuyên bố chi tiết về việc phải làm gì để tuân thủ một chính sách nhất định. Việc
sử dụng các tiêu chuẩn là một cách để thực hiện các chính sách

Thực tiễn, thủ tục và hướng dẫn: giải thích cách thức nhân viên tuân thủ chính sách
Câu 9: Chính sách có được coi là tĩnh hoặc động? Những yếu tố nào có thể xác định tình trạng này?
Một chính sách có thể được coi là tĩnh hoặc động dựa vào bối cảnh của nó. Các quy tắc và tiêu
chuẩn của một chính sách nên được giữ nguyên và duy trì khi chúng được thiết lập, và không được
uốn cong hoặc bỏ qua để có lợi cho lợi ích cá nhân. Mặt khác, các chính sách nên động để họ có thể
thay đổi theo thời gian và không trở nên lỗi thời và vô dụng; họ nên tiến triển với công ty và mục
tiêu của công ty.
Câu 10: Liệt kê và mô tả ba loại chính sách của InfoSec như được mô tả bởi NIST SP 800-14.
- Loại chính sách an ninh thông tin đầu tiên được NIST SP 800-14 mô tả là chính sách an ninh thông
tin doanh nghiệp (EISP). EISP được sử dụng để xác định phạm vi, giai điệu và định hướng chiến lược
cho một công ty và tất cả các chủ đề bảo mật bên trong. Chính sách này phải trực tiếp phản ánh các
mục tiêu và sứ mệnh của công ty.
- Thứ hai là chính sách bảo mật cho từng vấn đề cụ thể (ISSP). ISSP được sử dụng để hướng dẫn
nhân viên sử dụng các loại công nghệ cụ thể (như e-mail hoặc sử dụng Internet). Chính sách này nên
được thiết kế cẩn thận để bảo vệ mã đạo đức của công ty, đồng thời cung cấp cho nhân viên một
danh sách chi tiết để đảm bảo họ hiểu được chính sách và nó mang lại lợi ích cho công ty như thế
nào.
- Chính sách cuối cùng là chính sách bảo mật hệ thống cụ thể (SysSP). SysSP nên được thiết kế và tạo
ra để tập trung vào một loại hệ thống cụ thể (như tường lửa). Nó sẽ cung cấp một hướng dẫn cho
việc thực hiện và các tiêu chuẩn mà theo đó các hệ thống này được cấu hình và duy trì.
Câu 11: Mục đích của EISP là gì?
-


Thiết lập định hướng chiến lược, phạm vi và tone for nỗ lực của tổ chức ATTT
Phân công trách nhiệm cho các lĩnh vực khác nhau của infosec
Hướng dẫn phá triển, thực hiện và quản lý những yêu cầu của chương trình infosec.
-----------------

Các tài liệu EISP cần cung cấp: • Tổng quan về triết lý doanh nghiệp về an ninh • Thông tin về vai trò
của tổ chức & infosec: - Trách nhiệm bảo mật được chia sẻ bởi tất cả các thành viên của tổ chức Trách nhiệm bảo mật đối với mỗi vai trò của tổ chức.
Các thành phần của EISP
• Tuyên bố về Mục đích: What the policy is for
• Các yếu tố bảo mật công nghệ thông tin: Định nghĩa thông tin infosec


• Nhu cầu bảo mật cntt : nêu lênh tầm quan trọng của infosec trong tổ chức
• Trách nhiệm và Vai ttrò của bảo mật cntt :Xác định cấu trúc tổ chức
• Tham khảo Các tiêu chuẩn và hướng dẫn công nghệ thông tin
Câu 12: Mục đích của ISSP là gì?
Cung cấp hướng dẫn chi tiết và mục tiêu chi tiết để hướng dẫn tổ chức sử dụng an toàn các hệ
thống công nghệ • Bắt đầu với giới thiệu về triết lý công nghệ cơ bản của tổ chức • Phục vụ nhân
viên và tổ chức từ sự thiếu hiệu quả / mơ hồ • Tài liệu về cách kiểm soát hệ thống dựa trên công
nghệ kiểm soát này • Phục vụ cho tổ chức chống lại trách nhiệm pháp lý đối với việc sử dụng hệ
thống không phù hợp hoặc bất hợp pháp
Câu 13: Mục đích của SysSP là gì?
Một chính sách bảo mật cụ thể cho từng hệ thống được thiết kế để xác định và chi tiết các tiêu
chuẩn hoặc thủ tục được sử dụng khi cấu hình hoặc bảo trì các hệ thống.
Câu 14: Các giá trị, sứ mệnh và mục tiêu của tổ chức phải được tích hợp vào mức độ nào vào các
văn bản chính sách?
Các giá trị, sứ mệnh và mục tiêu tổ chức phải là một phần trung tâm của bất kỳ văn bản chính sách
nào. Mục tiêu của bất kỳ chính sách an ninh nào nên là để hỗ trợ các giá trị tổng thể và mục tiêu của
một tổ chức và cần được thực hiện để giải quyết hành vi của người trong tổ chức theo cách hỗ trợ

bảo mật thông tin.
Câu 15: Liệt kê và mô tả bốn yếu tố cần có trong EISP.
Câu 16: Liệt kê và mô tả ba chức năng mà ISSP phục vụ trong tổ chức
Tuyên bố về Mục đích - chính sách dành cho
Các yếu tố an ninh công nghệ thông tin - Xác định an ninh thông tin
Cần cho An ninh Công nghệ thông tin - Giải thích tầm quan trọng của an ninh thông tin trong tổ chức
Trách nhiệm và Vai trò An toàn Công nghệ thông tin - Xác định cấu trúc tổ chức
Câu 17: Cần phải là thành phần đầu tiên của ISSP khi nó được trình bày? Tại sao? Gì phải là thành
phần chính thứ hai? Tại sao?
ISSP nên bắt đầu với một tuyên bố về mục đích phác thảo các mục tiêu của nó, những người chịu
trách nhiệm về chính sách vạch ra, và công nghệ mà nó đang được giải quyết. Để một chính sách có
hiệu quả, nó phải có một khuôn khổ tổng thể trước khi các bước chi tiết có thể được phác thảo.
Nhóm thứ hai cần đề cập đến những người được phép có quyền truy cập vào công nghệ.
Mức độ an toàn được dựa trên mức độ rủi ro nếu thông tin bị xâm nhập; do đó, điều quan trọng là
xác định ai cần quyền truy cập vào một số thông tin hoặc hệ thống nhất định.
Câu 18: Liệt kê và mô tả ba cách phổ biến trong đó các tài liệu ISSP được tạo ra và/hoặc quản lý.
Chính sách có thể được tạo ra để quản lý một vấn đề cụ thể, chẳng hạn như sử dụng Internet tại nơi
làm việc. Các chính sách có thể được tạo ra với mục đích bao gồm tất cả các vấn đề, đưa ra chính


sách rộng và rộng hơn để thực hiện và thực thi. Các chính sách có thể được viết bằng cách tiếp cận
mô đun, cho phép họ tập trung chủ đề chi tiết để giải quyết các vấn đề trong một bộ phận có trách
nhiệm trong khi vẫn cho phép các thủ tục do trung tâm quản lý và chủ đề bảo hiểm.
Câu 19: Liệt kê và mô tả hai nhóm tài liệu chung được bao gồm trong hầu hết các tài liệu SysSP.
Hai loại tài liệu bao gồm trong chính sách hệ thống cụ thể là:
- Hướng dẫn quản lý để hướng dẫn thực hiện và cấu hình của công nghệ và giải quyết các hành vi
của người sử dụng để đảm bảo sự an toàn của thông tin.
- Các đặc điểm kỹ thuật, có mục đích là tạo ra một chính sách quản lý để chuyển đổi mục đích quản
lý để kiểm soát kỹ thuật thành một cách tiếp cận kỹ thuật thực thi.
Câu 20: Liệt kê và mô tả ba cách tiếp cận để phát triển chính sách trình bày trong chương này. Theo

ý kiến của bạn, phù hợp nhất để sử dụng bởi một tổ chức nhỏ hơn và tại sao? Nếu tổ chức mục tiêu
lớn hơn nhiều, cách tiếp cận nào sẽ phù hợp hơn và tại sao?
Ba cách tiếp cận chính sách là chính sách an ninh thông tin doanh nghiệp, chính sách bảo mật cụ thể
cho từng vấn đề và chính sách dành riêng cho hệ thống. EISP có phạm vi rộng, bao gồm và xác định
các lĩnh vực trách nhiệm và thực hiện lớn. ISSP được thiết kế theo ý định của tổ chức về cách sử
dụng một hệ thống dựa trên công nghệ nào đó. Chính sách hệ thống cụ thể được viết nhiều hơn
như một tiêu chuẩn và thủ tục được sử dụng trong cấu hình của một hệ thống. Một tổ chức lớn sẽ
cần một chính sách được viết theo các dòng của EISP để bao quát tất cả các hệ thống khác nhau và
nhu cầu bảo mật thông tin. Ví dụ, nhà thầu chính phủ có thể có một chính sách rất chi tiết để bảo vệ
thông tin bí mật khi nó được yêu cầu bởi khách hàng, chính phủ liên bang. Một công ty nhỏ hơn, nói
rằng một nhà hàng, chỉ có thể cần một hệ thống để giúp theo dõi việc bán hàng, hàng tồn kho và hồ
sơ lao động hàng ngày. Tất cả các hồ sơ này có thể được bảo mật, nhưng có thể dễ dàng được xử lý
bởi một chính sách như SysSP.


CHƯƠNG 5: PHÁT TRIỂN CHƯƠNG TRÌNH BẢO MẬT
Câu 1: Chương trình InfoSec là gì?
- Chương trình InfoSec (Information Security): Mô tả cấu trúc và tổ chức của một nỗ lực có chứa rủi ro đối với tài
sản thông tin của cơ quan... Nó là một bộ quy tắc về các chính sách, thủ tục, hướng dẫn, tiêu chuẩn về an ninh
thông tin nhằm cung cấp lộ trình thực tiễn cho việc kiểm soát quản lý an ninh thông tin.
Câu 2: Những chức năng (yếu tố) nào cấu thành một chương trình InfoSec hoàn chỉnh?
- Risk Management, Risk Assessment, Systems Testing, Policy, Legal Assessment, Incident Response, Planning,
Measurement, Compliance, Centralized Authentication, Systems Security Administration, Training, Network
Security Administration, Vulnerability Assessment.
Câu 3: Yếu tố quyết định cấu trúc một chương trình InforSec
- Văn hóa của tổ chức (cơ quan), Quy mô, Ngân sách cho nhân sự bảo mật, Ngân sách vốn dành cho vấn đề an
ninh.
Câu 4: Quy mô điển hình của nhân viên an ninh trong một tỏ chức nhỏ/trung bình/lớn/rất lớn?
-Tổ chức nhỏ:


- Tổ chức trung bình:

- Tổ chức lớn


- Tổ chức rất lớn:

Câu 5: Một tổ chức có thể đặt đơn vị bảo mật thông tin ở đâu? Nơi nào nên và không nên?
- Một số đề nghị bao gồm các phòng: IT, Security, Administrative Services, Insurance and Risk Management,
Strategy and Planning, Legal Department , Internal Audit, Help Desk, Accounting and Finance through IT, Human
Resources, Facilities Management, Operations
- Nên: IT, Administrative Services, Insurance and Risk Management, Legal department, or Operations
- Không nên: Security, Internal auditing, Help desk, Accounting and finance, Human resources, Facilities
management.
Câu 6: 4 lĩnh vực được phân chia trong InfoSec dựa theo chức năng?
- Lĩnh vực được thực hiện bởi đơn vị kinh doanh phi công nghệ, bên ngoài CNTT: pháp lý, đào tạo
- Lĩnh vực được thực hiện bởi nhóm công nghệ thông tin nhưng không thuộc an ninh thông tin: Quản trị mạng/hệ
thống
- Lĩnh vực được thực hiện bởi bộ phận an ninh thông tin điển hình như phòng dịch vụ khách hàng: Đánh giá rủi ro;
thử nghiệm hệ thống; ứng phó sự cố
- Lĩnh vực được thực hiện bộ phận an ninh thông tin điển hình như compliance: Chính sách, compliance
Câu 7: Các vai trò giả định của một chuyên gia an ninh thông tin?
- Trường phòng an ninh thông tin (CISO), Kĩ thuật viên an ninh, Quản lý an ninh, Quản trị viên an ninh và phân tích,
Nhân viên an ninh.
Câu 8: 3 lĩnh vực trong chương trình SETA?


- Giáo dục an ninh, Đào tạo an ninh, Nhận thức an ninh

Câu 9: Điều gì ảnh hưởng đến hiệu quả của một chương trình đào tạo?

- Chương trình đào tạo phải được điều chỉnh phù hợp với người tiếp cận và cách thức truyền tải nội dung đến
người tiếp cận kiến thức.
Câu 10: Một số cách để thực hiện một chương trình nâng cao nhận thức?
- Thông qua tờ rơi, bản tin, video, áp phích quảng cáo, bài giảng, hội nghị, webste, (trinkets security)..
Câu 11: Vị trí của InforSec trong một tổ chức:
- Trong một tổ chức lớn, InforSec thường đặt trong bộ phận IT, điều hành bởi CISO hoặc trưởng điều hành bộ
phận hay CIO. Về bản chất thì chương trình InforSec thường trái với một tiêu của bộ phận IT hoặc là toàn thể.
- Xảy ra mâu thuẫn giữa các mục tiêu của CIO/CISO
- Thách thức của 1 chương trình InforSec là thiết kế cấu trúc report như thế nào để đạt được một cấu trúc cân
bằng.
Câu 12: Phân loại các vị trí trong chương trình InforSec điển hình:
- Những người xác định: cung cấp các chính sách, hướng dẫn và tiêu chuẩn. Họ là những người tư vấn và đánh giá
rủi ro, người phát triển sản phẩm và kiến trúc kỹ thuật. Đây là những người có kiến thức rộng nhưng thường
không có chiều sâu.
- Những người xây dựng: Họ là những người tạo ra và cài đặt các giải pháp bảo mật.
- Những người quản lý: những người điều hành và quản lý công cụ bảo mật, chức năng giám sát an ninh, thường
xuyên nâng cao cải tiến phần mềm.
Câu 13: Mục tiêu của SETA?
- Nhầm nâng cao chất lượng an ninh bằng cách:
+ Xây dựng hệ thống kiến thức chuyên sâu cần thiết để thiết kế, vận hành chương trình an ninh cho tổ chức và hệ
thống.
+ Phát triển kĩ năng cũng như kiến thức để người dùng máy tính sử dụng một hệ thống IT an toàn thực hiện công
việc của họ.
+ Nâng cao nhận thức sự quan trọng của việc bảo vệ tài nguyên hệ thống.
-

So sánh:

Đặc tính


Level

Nhận thức
Dạy cho NV biết
bảo mật là gì và cần
làm gì trước 1 tình
huống nào đó
Cung cấp thông tin
cơ bản

Tranning
Đạo tạo các kĩ năng
và năng lực để ứng
phó trước 1 vấn đề
Cung cấp chi tiết
hơn về những điều
cần làm trước 1

Education
Dạy cho người trong tổ chức hiểu sâu tại
sao cần phải chuẩn bị những phản ứng
trước rủi ro? Làm bằng cách nào và làm gì
trước 1 mối đe doạ
Cung cấp nền tảng và kiến thức sâu rộng
để có cái nhìn sâu sắc về vấn đề và cải
thiện chính sách, vấn đề


Phương pháp dạy


Video,Poster,Đạo
tạo không chính
thức

Đánh giá
Thời gian

Trắc nghiệm
Ngắn hạn

mối đe doạ
Đạo tạo chính
thức,workshop
,pracetice,giải
quyết vấn đề
Gìi3 quyết vấn đề
Ngay lập tức

Hướng dẫn về lý thuyết, kiến thức nền
tảng, bàn luận thảo luận về những kiến
thức chuyên sâu, hội thảo, những cuộc
thảo luận
Tiểu luận
Dày hạn


Chương 8: Quản lý rủi ro: Xác định và đánh giá rủi ro

1.Quản lý rủi ro là gì?
- Là quá trình xác định những lỗ hỏng trong hệ thống thông tin của tổ chức và thực hiện các bước để đảm bảo

rằng những thiệt hại do nó gây ra ở 1 mức độ có thể chấp nhận được đối với 1 tổ chức nào đó.
2.Các lĩnh vực quan trọng cần quan tâm trong việc quản lý rủi ro:
- Xác định tài sản thông tin của tổ chức như người dùng, dữ liệu, phần cứng, phần mềm, các yếu tố về mạng ( IP,
MAC, thiết bị mạng...)...
- Phân loại tài sản [vd thiết bị mạng ( router switch hub) , thiết bị bảo vệ ( tường lửa,proxy) ... hay phân loại theo
mức đô nhạy cảm và bảo mật của thông tin chẳng hạn thông tin được công khai, sữ dụng trong nội bộ hoặc
thông tin bí mật]
- Đánh giá giá trị của tài sản theo tầm quan trọng của tài sản đó ( tài sản nào ảnh hưởng đến doanh thu nhất? Tài
sản nào đắt nhất, tài sản nào giữ nhiều thông tin quan trọng và nhạy cảm nhất ... )

3.Tại sao phải xác định rủi ro, thông qua danh sách tài sản và những lỗ hỏng của chúng, quá trình quản lý rủi ro
có quan trọng hay không ?
- Nó giúp xác định các lĩnh vực rủi ro còn thiếu sót hoặc không cần thiết được. Việc này giúp cải thiện trạng thái
an toàn chung trong tổ chức và rút ngắn được thời gian và mang lại tính hiệu quả cho việc quản lý rủi ro. Đây là
một quá trình quan trọng để đảm bảo những thông tin được bảo mật và giảm thiểu những thiệt hại không
lường trước được.

4.

Theo Sun Tzu, cần phải đạt được hai điều gì để giữ an toàn cho tài sản thông tin?

- Knowing our environment xác định, kiểm tra và hiểu về tài sản thông tin và cách thức chúng được lưu trữ, được
truyền đi và được xử lý.
- Knowing the enemy : xác định những mối đe doạ đến tài sản thông tin của tổ chức và bảo mật thông tin tài sản
của tổ chức
5.Ai chịu trách nhiệm trong việc quản lý rủi ro của một tổ chức:
- Bộ phận an toàn thông tin, Bộ phận IT và người quản lý đều giữ vai trò quan trọng trong việc đảm bảo an toàn
cho những thông tin nhạy cảm. Trong đó Bộ phận an toàn thông tin là bộ phận trực tiếp chịu trách nhiệm này
dưới sự kiểm soát của 2 bộ phận còn lại.
- ------------------------


Trách nhiệm đối quản lý rủi ro
• Tất cả các cộng đồng quan tâm phải làm việc cùng nhau:
- Đánh giá kiểm soát rủi ro; Xác định lựa chọn kiểm soát nào có hiệu quả về chi phí; Mua hoặc cài đặt những kiểm
soát thích hợp;Giám sát các quy trình để đảm bảo rằng kiểm soát vẫn còn có hiệu lực; Xác định rủi ro;Đánh giá rủi
ro;Tóm tắt kết quả
------------Kiểm soát truy cập: Kiểm soát 1 cách đặc biệt những truy cập cho phép người dùng vào 1 khu vực đáng tin cậy
nào đó của tổ chức. Các khu vực này có thể bao gồm hệ thống thông tin, các khu vực hạn chế về vật lý như phòng
máy tính thậm chí là toàn bộ tổ chức. Qúa trình này được kết hợp với chính sách, chương trình và kĩ thuật
Các loại : Mandatory Access Control , Access Control Matrix, Access Control List, Capabilities
6.Trong các chiến lược quản lý rủi ro, tại sao kiểm tra định kỳ là một phần của quá trình này?


- Nó được sử dụng như một kiểm tra & cân bằng hệ thống để đảm bảo hệ thống hoạt động tốt hoặc nếu có vấn
đề có thể khắc phục một cách nhanh chóng.
7.Tại sao các thành phần mạng cần được kiểm tra nhiều hơn từ quan điểm an ninh thông tin so với quan điểm
phát triển hệ thống?
- Bởi vì các thành phần mạng là nơi dễ dàng khai thác thông tin ngay cả bên trong và bên ngoài hệ thống, nó giữ
vai trò quan trọng trong việc đảm bảo thông tin nội bộ không được khai thác hoặc bị gửi ra ngoài hệ thống.
8.Thuộc tính thông tin nào ít khi hoặc không bao giờ được áp dụng cho phần tử phần mềm? - Các địa chỉ IP
9.Thuộc tính thông tin nào thường có giá trị lớn đối với thiết bị mạng khi DHCP không được sử dụng? - Địa chỉ
MAC
10.
Khi lập hồ sơ thủ tục, tại sao nó rất hữu ích để biết nơi mà các phiên bản điện tử (electronic versions)
được lưu trữ?
- Người dùng được ủy quyền phải có khả năng dễ dàng định vị các tài liệu có giá trị đối với họ. Phiên bản điện tử
cho phép bạn chỉnh sửa hoặc sao chép các tài liệu thủ tục quan trọng để phân phối. Ngoài ra, bạn có thể cập
nhật chúng vào một thời gian sau nếu thủ tục được sửa đổi.
11.
Điều gì là quan trọng hơn đối với kế hoạch phân loại tài sản thông tin?

– Mỗi tài sản chỉ được xếp trong 1 loại ( độc nhất ) và tất cả các tài sản đều được phân loại (toàn diện)
12.
Sự khác biệt giữa khả năng tạo ra doanh thu và khả năng tạo ra lợi nhuận của một tài sản là gì?
- Tài sản tạo doanh thu nghĩa là tài sản đang đóng vai trò lớn nhất, vai trò quan trọng nhất trong sản phẩm hoặc
dịch vụ chính của tổ chức. Một tài sản tạo ra lợi nhuận liên quan trực tiếp đến một sản phẩm hoặc dịch vụ chính
mà tổ chức đang bán.
13.
Một chương trình phân loại dữ liệu nên bao gồm bao nhiêu loại? Tại sao?
- Tuỳ vào nhu cầu khác nhau của mỗi tổ chức. Một số tổ chức như quân đội sử dụng các chương trình phức tạp,
trong khi một số khác sử dụng ít hơn khoảng 3-5. Do số lượng tài sản khác nhau nên việc phân loại cũng trở nên
khác nhau.
14.
Có bao nhiêu loại mối đe dọa được liệt kê trong chương này?
- 12 mối đe doạ. Cố ý tấn công phần mềm và lỗi kỹ thuật phần mềm hoặc lỗi. Virus và sâu làm tràn mạng công
cộng. Hàng nghìn vụ tấn công BotNet diễn ra hàng ngày. Với sự phát triển mã nguồn mở và triển khai phần mềm
ngày càng nhiều, lỗi và lỗi phần mềm đang tạo ra một mối đe dọa an ninh ngày càng tăng.
15.
Các lỗ hổng bảo mật là gì?
- Đó là những lỗi, lỗ hỏng có thể khai thác để tấn công một tài sản thông tin; thường là một lỗ hổng hoặc điểm
yếu trong một tài sản thông tin, quy trình, thiết kế, hoặc kiểm soát an ninh có thể là vô tình hoặc nhằm mục đích
vi phạm an ninh.
16.
Mô tả bảng tính TVA. Cái này được dùng để làm gì?
- Đây là điểm khởi đầu cho việc đánh giá rủi ro. Sau khi danh sách mối đe dọa / lỗ hổng tài sản được thực hiện,
hai danh sách được kết hợp để tạo ra một biểu đồ hai chiều cung cấp phương pháp thuận tiện hoặc kiểm tra
mức độ tiếp xúc của tài sản, cho phép đánh giá dễ bị tổn thương đơn giản.
17.
Kiểm tra công thức rủi ro đơn giản nhất và công thức rủi ro được trình bày trong chương này. Có các công
thức khác không và nếu có, khi nào chúng được sử dụng?
- Các công thức khác sẽ tồn tại trong tương lai sau khi các mối đe dọa mới được tạo ra và rủi ro tiến triển. Công

thức phải phù hợp với từng mối đe dọa mới và giảm thiểu rủi ro cho phù hợp.
LECTURE 8: RISK MANAGENMENT: CONTROL RISK
1. What is competitive advantage? How has it changed in the years since the IT industry began?
(Lợi thế cạnh tranh là gì? Nó đã thay đổi như thế nào trong những năm qua kể từ khi ngành công
nghiệp công nghệ thông tin bắt đầu?)


-

Lợi thế cạnh tranh là mô hình, phương pháp, hoặc kĩ thuật của 1 doang nghiệp được thiết lập ra để
doanh nghiệp tạo ra những sản phẩm, dịch vụ vượt trội trong 1 số lĩnh vực hay quyết định.

-

Ngành công nghệ thông tin ra đời từ mô hình lợi thế cạnh tranh. Ngành CNTT có sẵn , hầu hết các tổ
chức đều đầu tư CNTT để doanh nghiệp của mình có thể phản ứng nhanh với các thay đổi trên thi
trường (hòa nhập nhanh)

2. What is competitive disadvantage? Why has it emerged as a factor?
(bất lợi cạnh tranh là gì, tại sao nó nổi lên như 1 nhận tố??)

-

Bất lợi cạnh tranh: tổ chức bị tụt hậu, làm tổ chức không hấp thụ các công nghệ mới của thị trường,

-

Bất lợi về cạnh tranh khiến các tổ chức k những k duy trì lợi thế, mà còn làm ảnh hưởng tới thị trường
của mình, k thề duy trì các dịch vụ hiện tại của doanh nghiệp.


3. What are the five risk control strategies presented in this chapter?

( 5 chiến lược kiểm soát rủi ro là gì??)

4.

-

Phòng thủ : áp dụng biện pháp bảo vệ để loại bỏ hoặc giảm thiểu rủi ro không kiểm soát được

-

Chuyển (transferal) : chuyển rủi ro sang các khu vực khác hoặc cho các thực thể bên ngoài

-

Giảm nhẹ: Giảm ảnh hưởng đến tài sản thông tin nếu kẻ tấn công khai thác một lỗ hổng thành công

-

Chấp nhận: Hiểu được hậu quả của việc chọn lưa để loại nguy cơ không kiểm soát được, và sau đó xác
định đúng rủi ro mà mình không có khả năng kiểm soát

-

Chấm dứt: loại bỏ hoặc ngưng tài sản thông tin từ hoạt động của tô chức.

mô tả chiến lược phòng thủ
Có 3 phương pháp phổ biến:


5.

-

Áp dụng chính sách: điều này cho phép các mức quản lý phải tuân theo chỉ định( chính sách)

-

Áp dụng đào tạo và giáo dục: thông tin chính sách mới hay sửa đổi chính sách đối với nhân viện có thể
không đầy đủ để nhân viện thực hiện theo. Vì thế, đào tạo và giáo dục là điều cấn thiết để tạo ra một
môi trường tổ chức an toàn và kiểm soát hơn và để đạt được những thay đổi cần thiết trong hành vi
của end-users.

-

Thực hiện công nghệ: đối với InfoSec, kiểm soát kỹ thuật và các biện pháp tự vệ thường được yêu cầu
để giảm rủi ro hiệu quả

mô tả chiến lược chuyển đổi
Mục tiêu này có thể được thực hiện bằng cách xem xét lại cách cung cấp dịch vụ, sửa đổi mô hình triển
khai, thuê các tổ chức bên ngoài, mua bảo hiểm hoặc thực hiện các hợp đồng dịch vụ với nhà cung cấp

6.

mô tả chiến lược giảm nhẹ


Chiến lược này là kiêm soát để giảm rủi ro bằng việc lập ra các kế hoạch và chuẩn bị cho những thiệt hại
gây ra bởi sự cố hoặc thiên tai. Bao gồm 3 kế hoạch ( Incident Response, Disaster Recovery, Business
Continuity)

7. miêu tả chiến lược chấp nhận
quyết định không làm gì để bảo vệ tài sản thông tin khỏi rủi ro và chấp nhận kết quả từ bất kỳ sự khai thác
nào. Nếu tổn thất nằm trong phạm vi tổn thất mà tổ chức có thể chấp nhận hoặc - nếu lợi ích của kẻ tấn
công chi phí ít hơn dự kiến của cuộc tấn công
8. Describe residual risk. (mô tả rủi ro còn sót lại )
Là rủi ro không được loại bỏ hoàn toàn hoặc thay đổi hay lên kế hoạch.

Khi một lỗ hổng tồn tại: Khi một lỗ hổng tồn tại: - Thực hiện kiểm soát an ninh để giảm nguy cơ bị tổn
thương - Khi lỗ hỏng có thể được khai thác: kiểm soát theo lớp để giảm thiểu rủi ro hoặc ngăn ngừa sự
xuất hiện - Khi lợi ích được của kẻ tấn công lớn hơn chi phí của tấn công: - Áp dụng các biện pháp bảo vệ
để tăng chi phí của kẻ tấn công, hoặc giảm lợi ích của sự tấn công của người tấn công, sử dụng các kiểm
soát kỹ thuật hoặc quản lý • Khi có khả năng mất mát đáng kể : - Áp dụng các kiểm soát đã thiết kế để
hạn chế mức độ tấn công, do đó giảm khả năng mất mát
Một khi chiến lược kiểm soát được lựa chọn và thực hiện, các kiểm soát cần được theo dõi và đo lường
liên tục để xác định hiệu quả của chúng và để duy trì ước tính liên tục về nguy cơ còn lại.

Các kiểm soát có thể là 1 trong 4 loại:
- Control function: Preventive controls : dừng các nỗ lực để khai thác lỗ hỏng bằng cách thực thi những

-

chính sách an ninh của tổ chưc hoặc sữ dụng quy trình kĩ thuật và 1 số phương tiện kỹ thuậ ; Detective
control : Cảnh báo về những vi phạm nguyên tắc bảo mật, chính sách hoặc khai thác lỗ hỏng. Sữ dụng
các kỹ thuật như phát hiện xâm nhập,giám sát cấu hình
Architectural layor : 1 vài kiểm sáot được áp dụng 1 hoặc nhiều layer của kiến trúc kỹ thuật của tổ
chức. Các lớp này có thể bao gồm : Các chính sách về tổ chức, mạng bên ngoài và extrenerts ,
Demilitarized zones , Mạng nội bộ , các thiết bị nối mạng, hệ thống và ứng dụng..
Strategy layer: Việc kiểm soát đôi khi được phân theo loại rủi ro: tránh,giảm nhẹ, chuyển đổi.
Infomation Security Principle( nguyên tắc ) : Kiểm soát rủi ro hoạt động trong 1 hay nhiều nguyên tắc
chung về ATTT được chấp nhận như : Bảo mật, toàn vẹn,khả dụng, xác thực, uỷ quyền. K thể chối bỏ,

riêng tư.

9. What four types of controls or applications can be used to avoid risk?
(4 loại kiểm soát hay ứng dụng có thể được sử dụng đề tránh rủi ro)

-

Control function, Architectural Layer, Strategy Layer, and Information Security Principle.
( chức năng điều khiển, lớp kiến trúc, lớp chiến lược, nguyên tắc an toàn thông tin).

10. Describe how outsourcing can be used for risk transference.
( mô thả cách outsouring có thể được sử dụng để chuyển rủi ro)
Gia công phần mềm có thể được sử dụng để chuyển giao rủi ro khi một tổ chức chọn thuê một ISP hoặc
một tổ chức tư vấn để cung cấp sản phẩm và dịch vụ cho họ như mua và cấu hình máy chủ, thuê
webmaster, quản trị hệ thống web và thậm chí các chuyên gia bảo mật chuyên biệt. Điều này cho phép tổ
chức chuyển rủi ro liên quan đến việc quản lý các hệ thống phức tạp này cho một tổ chức khác có kinh


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×