HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG ***** T PHẠM HOÀNG DUY PT I BÀI GIẢNG QUẢN LÝ AN TỒN THƠNG TIN HÀ NỘI 2018 Lời nói đầu Sự phát triển mạnh mẽ công nghệ mạng Internet phổ biến rộng rãi ứng dụng máy tính khiến cho việc đảm bảo an tồn thơng tin hoạt động thường xuyên quan, tổ chức cá nhân quan tâm đầu tư nhiều công sức tiền Quản lý an tồn thơng tin mơn sở quan trọng dành cho sinh viên năm thứ 3, chun ngành an tồn thơng tin Mơn học cung cấp kiến thức việc phát triển quản lý biện pháp đảm bảo an toàn thông tin Môn học giới thiệu tiêu chuẩn an toàn phổ biến nước quốc tế quy định pháp luật an tồn thơng tin mà giải pháp an toàn khuyến nghị tn theo cần tn thủ Ngồi ra, mơn học giới thiệu nguyên tắc biện pháp giúp cho việc vận hành hệ thống đảm bảo an toàn trì việc hoạt động liên tục xây dựng kế hoạch ứng phó có cố Bài giảng gồm chương với nội dung sau PT I T Chương giới thiệu mục tiêu vấn đề quản lý an toàn thông tin Với quan tâm ngày tăng vấn đề an toàn, việc xây dựng yêu cầu cách thức đảm bảo an toàn cho nhiệm vụ, công việc quan/tổ chức chịu nhiều thách thức Các yêu cầu biện pháp an toàn phải tuân thủ ràng buộc mặt luật pháp mà khía cạnh xã hội thể đóng góp quan/tổ chức tới an tồn chung cộng đồng Chương trình bày u cầu sách an tồn thơng tin quan hay tổ chức Các sách an toàn mặt thể mục tiêu mà quan hay tổ chức cần đạt được, mặt khác chúng chứng tỏ tuân thủ với quy định pháp luật đóng góp với xã hội đối tác việc đảm bảo an tồn thơng tin Phần chương giới thiệu ràng buộc mặt pháp lý hoạt động lĩnh vực thông tin liên lạc cá nhân tổ chức cần phải tuân thủ lãnh thổ Việt Nam Phần lại chương giới thiệu luật quan trọng liên quan đến vấn đề bảo vệ thông tin môi trường mạng nước Châu Âu, Mỹ số quốc gia khu vực Chương trình bày tiêu chuẩn an tồn thơng tin phổ biến giới Tổ chức tiêu chuẩn quốc tế ISO, Viện Tiêu chuẩn Công nghệ Quốc gia Mỹ NIST ban hành Chương chủ yếu giới thiệu tiêu chuẩn IS0 27000 hệ thống tiêu chuẩn NIST Phần cuối chương giới thiệu tiêu chuẩn an tồn thơng tin Việt Nam công bố Chương giới thiệu khái niệm khung quản lý an tồn thơng tin nhằm cung cấp nhìn tổng thể vấn đề an tồn chương trình an tồn (security program) Chương tập trung trình bày cách thức phân tích đánh giá rủi ro biện pháp kiểm soát với vấn đề an toàn hay lỗ hổng giúp cho người quản lý định phù hợp xác định mức độ rủi ro chấp nhận Cách thức triển khai đặc trưng tiêu chuẩn thực tế cho việc phân tích rủi ro bao gồm OCTAVE, NIST SP 800-30 ISO 27005 giới thiệu chi tiết phần Chương nêu yêu cầu việc vận hành sử dụng hệ thống nhiệm vụ đảm bảo an tồn cần thực Vấn đề quy trình quản lý thay đổi cấu hình hệ thống cách thức kiểm soát thiết bị liệu trình bày chương Chương chương cuối giảng tập trung vào vấn đề xử lý đối phó với tình cố Chương giới thiệu cách thức xây dựng kế hoạch để khôi phục hệ thống cố đảm bảo khả hoạt động hệ thống tình tài nguyên hạn chế Trong trình biên soạn giảng, dù tác giả có nhiều cố gắng song khơng thể tránh thiếu sót Tác giả mong muốn nhận ý kiến phản hồi góp ý cho thiếu sót cập nhật hoàn thiện nội dung giảng PT I T Người biên soạn Muc luc CHƯƠNG TỔNG QUAN VỀ QUẢN LÝ AN TỒN THƠNG TIN 1.1 Giới thiệu quản lý an tồn thơng tin 1.2 Chính sách luật pháp an tồn thơng tin 16 1.3 Các nguyên tắc quản lý an tồn thơng tin 17 1.4 Phân loại thông tin hệ thống thông tin 20 1.5 Các biện pháp quản lý an tồn thơng tin 21 1.6 Tổ chức quản lý an toàn thông tin 22 1.7 Câu hỏi ôn tập 24 CHƯƠNG HỆ THỐNG PHÁP LUẬT AN TỒN THƠNG TIN CỦA VIỆT NAM VÀ CÁC NƯỚC 26 Các yêu cầu sách, pháp luật 26 2.2 Các luật an tồn thơng tin Việt Nam 29 2.3 Hệ thống pháp luật an tồn thơng tin nước 38 2.4 Câu hỏi ôn tập 47 T 2.1 CHƯƠNG HỆ THỐNG TIÊU CHUẨN AN TỒN THƠNG TIN 49 Hệ thống tiêu chuẩn an tồn thơng tin giới 49 3.2 Hệ thống tiêu chuẩn ISO/IEC 54 3.3 Hệ thống tiêu chuẩn NIST 60 3.4 Hệ thống tiêu chuẩn an tồn thơng tin Việt Nam 61 3.5 Câu hỏi ôn tập 62 PT I 3.1 CHƯƠNG HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN 63 4.1 Bộ khung quản lý an tồn thơng tin 63 4.2 Quản lý rủi ro 66 4.3 Nhận dạng, phân tích đánh giá rủi ro 68 4.4 Các chiến lược kiểm soát rủi ro 74 4.5 Các thực tế kiểm soát rủi ro 75 4.6 Câu hỏi ôn tập 85 CHƯƠNG QUẢN LÝ VẬN HÀNH KHAI THÁC AN TOÀN 86 5.1 Nguyên tắc quản lý vận hành an toàn 86 5.2 Quản lý cấu hình 91 5.3 Kiểm soát thiết bị, liệu 94 5.4 Trách nhiệm quản lý vận hành, khai thác 98 5.5 Câu hỏi ôn tập 99 CHƯƠNG DUY TRÌ HOẠT ĐỘNG VÀ KHẮC PHỤC SỰ CỐ 101 6.1 Nguyên tắc trì hoạt động khắc phục cố 101 Xây dựng kế hoạch trì hoạt động 105 6.3 Chiến lược khôi phục cố 110 6.4 Kiểm thử cập nhật kế hoạch 113 6.5 Câu hỏi ôn tập 117 PT I T 6.2 Dầnh muc cầ c hình vẽ Hình 1-1 Tương quan yêu cầu hệ thống 10 Hình 1-2 Quan hệ chủ thể an tồn thơng tin 11 Hình 3-1 Bộ tiêu chuẩn ISO 27000 57 Hình 3-2 Các tài liệu bổ sung NIST SP 800-37 61 Hình 4-1 Khung kiến trúc an tồn SABSA 65 Hình 4-2 Các bước quản lý rủi ro 67 Hình 5-1 Các giai đoạn quản lý cấu hình 93 Hình 6-1 Các bước quản lý hoạt động liên tục 102 Hình 6-2 Chu trình quản lý hoạt động liên tục 104 Hình 6-3 Quy trình khơi phục cố 104 Hình 6-4 Đánh giá tài nguyên cần thiết 108 PT I T Hình 6-5 Vị trí hoạt động dự phịng .112 Dầnh muc cầ c bầng Bảng 2-1 Các văn pháp luật an tồn thơng tin .29 Bảng 4-1 Các tác nhân đe dọa lỗ hổng .70 Bảng 4-2 Các đặc trưng biện pháp kiểm soát 76 Bảng 4-3 Các rủi ro ảnh hưởng 80 Bảng 4-4 Phân tích rủi ro 80 Bảng 4-5 Đánh giá phương pháp .80 Bảng 4-6 Xác định mức độ rủi ro 83 Bảng 4-7 Đánh giá phương pháp .83 Bảng 4-8 Đánh giá phương pháp .85 PT I T Bảng 6-1 Các kiểu kế hoạch khôi phục 113 Cầc từ viẽt tầt ACL – Access Control List: Danh sách kiểm sốt truy nhập CIA – Confidentiality-Integrity-Availability: Bí mật, Toàn vẹn Sẵn dùng CII – Critical Information Infrastructure: Hạ tầng thông tin quan trọng CSA – Cyber Security Agency: Cơ quan an ninh mạng SOC – Security Operations Centre : Trung tâm giám sát hoạt động an ninh CPU – Central Processing Unit: Đơn vị xử lý trung tâm DAC – Discretionary Access Control: Kiểm soát truy nhập tùy chọn DEP – Data Execution Prevention: Ngăn chặn thực thi liệu EAL - Evaluation Assurance Levels: Mức độ đánh giá an toàn GUI – Graphic User Interface: Giao diện người dùng đồ họa IDE – Integrated Development Environment: Mơi trường phát triển tích hợp IDS – Intrusion Detection System: Hệ thống phát xâm nhập T ISO – International Standard Organisation: Tổ chức tiêu chuẩn quốc tế ITU – International Telecommunication Union: Liên minh viễn thông quốc tế PT I LSM – Linux Security Module: Mô-đun an ninh Linux ISP – Internet Service Provider: Nhà cung cấp dịch vụ Internet MAC – Mandatory Access Control: Kiểm soát truy nhập bắt buộc PC – Personal Computer: máy tính cá nhân RBAC – Role Based Access Control: Kiểm soát truy nhập theo vai trò TPM – Trusted Platform Module: Mô-đun hạ tầng tin cậy WTO – World Trade Organization: Tổ chức thương mại giới CHƯƠNG TỔNG QUAN VỀ QUẢN LÝ AN TỒN THƠNG TIN Chương giới thiệu mục tiêu vấn đề quản lý an tồn thơng tin Với quan tâm ngày tăng vấn đề an toàn, việc xây dựng yêu cầu cách thức đảm bảo an tồn cho nhiệm vụ, cơng việc quan/tổ chức chịu nhiều thách thức Các yêu cầu biện pháp an tồn khơng phải tn thủ ràng buộc mặt luật pháp mà khía cạnh xã hội thể đóng góp quan/tổ chức tới an toàn chung cộng đồng 1.1 Giới thiệu quản lý an tồn thơng tin 1.1.1 Vấn đề an tồn thơng tin Trên thực tế quan hay tổ chức có nhiều vấn đề quan trọng cần quan tâm giải với nhiệm vụ công việc thường xuyên việc thực an tồn thơng tin Chẳng hạn như: T  Công ty kinh doanh cần quảng bá bán sản phẩm để tồn phát triển  Các quan nhà nước đảm bảo xử lý yêu cầu công dân luật hạn PT I Với phát triển công nghệ, quan/tổ chức phải đối mặt với vấn đề tiêu biểu:  Mất trộm thơng tin bí mật kinh doanh, khách hàng, lừa đảo  Các máy tính bị cài đặt phần mềm độc hại để công quan/tổ chức khác  Các máy tính bị gián đoạn hay tê liệt cung cấp dịch vụ đáp ứng nhu cầu công ty khách hàng Các hoạt động bảo vệ thông tin thành phần thiết yếu bao gồm hệ thống phần cứng mà sử dụng, lưu trữ, chuyển tiếp thông tin việc áp dụng sách, chương trình đào tạo cơng nghệ có vai trị tối quan trọng để công việc quan/tổ chức diễn cách bình thường Đây trình tiếp diễn liên tục giới hạn nguồn nhân lực tài Như vậy, cần cân nhu cầu đảm bảo an toàn cho tài nguyên thông tin việc thực hoạt động bình thường quan/tổ chức thể hình Hình 1-1 Tương quan yêu cầu hệ thống Các biện pháp bảo đảm an toàn cho hệ thống hỗ trợ chức hệ thống để công việc thực cách đầy đủ biện pháp hạn chế hay ràng buộc việc truy cập đến phương tiện hay tài nguyên cần thiết Đồng thời, biện pháp kiểm soát cần thuận tiện dễ hiểu với người dùng để tránh việc việc chối bỏ hay thiếu sót thực 1.1.2 Các chủ thể an toàn Để xác định cách đắn vấn đề an toàn ảnh hưởng chúng lên thông tin cần bảo vệ, người ta thường sử dụng sơ đồ phân tích đánh giá liên quan chủ thể an tồn thơng tin Hình 1-2 mơ tả mối tương quan ba đối tượng quan trọng phân tích đánh giá an tồn tài sản, chủ sở hữu tài sản tác nhân tác động lên tài sản Việc nhận thức thích đáng quan hệ đối tượng cho phép hiểu giá trị tài sản cần bảo vệ, mức độ rủi ro mối đe dọa tính hiệu biện pháp đối phó Các khái niệm mơ tả hình gồm có: PT I T  Tài sản (Asset) thứ (có giá trị) thuộc sở hữu quan/tổ chức muốn bảo vệ Tài sản thứ cụ thể sở liệu trừu tượng tên tuổi (danh tiếng)  Tấn công (Attack) hành động lợi dụng lỗ hổng để xâm hại, ăn trộm, tung ra, làm hỏng hay phát tán, hay sửa đổi trái phép tài sản  Biện pháp đối phó (Counter-measure) phương pháp nhằm giảm bớt hậu lỗ hổng Biện pháp đối phó túy lơ-gíc áp dụng sách phần cứng tường lửa  Rủi ro (Risk) coi khả kiện không mong muốn xảy thường ám đến tổn thất thường đối phó việc triển khai: công cụ kiểm tra giám sát; chuyển cho bên thứ ba bảo hiểm; giảm nhẹ tổn thất mát lập kế hoạch đối phó với bất ngờ Rủi ro thặng dư rủi ro lại sau biện pháp thận trọng thực thi Rủi ro chấp nhận rủi ro mà quan/tổ chức chấp nhận sau hoàn tất chương trình quản lý rủi ro 10 T PT I Hình 6-2 Chu trình quản lý hoạt động liên tục Hình 6-3 Quy trình khơi phục cố 104 6.2 Xây dựng kế hoạch trì hoạt động Mục tiêu cuối việc xây dựng kế hoạch trì hoạt động đưa phản ứng bình tĩnh, nhanh chóng, hiệu có việc khẩn cấp tăng cường khả khôi phục cách mau lẹ quan/tổ chức có cố gián đoạn Việc xây dựng kế hoạch trì hoạt động bao gồm bước chính:  Lập kế hoạch phạm vi dự án  Đánh giá tác động tới công việc  Lập kế hoạch trì hoạt động  Phê chuẩn triển khai Chi tiết bước trình bày phần sau 6.2.1 Lập kế hoạch phạm vi dự án Như với quy trình hoạt động tắc nào, việc phát triển kế hoạch trì hoạt động chắn địi hỏi phải sử dụng phương pháp chứng minh Điều đòi hỏi điều sau đây: T  Phân tích có tổ chức hoạt động quan/tổ chức quan điểm lập kế hoạch khủng hoảng PT I  Xây dựng nhóm làm việc ban lãnh đạo phê chuẩn  Đánh giá tài nguyên có cho hoạt động liên tục  Phân tích yếu tố quy định luật pháp mà chi phối phản ứng quan/tổ chức có vụ khẩn cấp a Phân tích tổ chức hoạt động Một trách nhiệm cá nhân chịu trách nhiệm lập kế hoạch trì hoạt động thực phân tích tổ chức hoạt động để xác định tất phòng ban cá nhân có liên quan q trình xây dựng kế hoạch Dưới số lĩnh vực cần xem xét:  Các phòng ban hoạt động chịu trách nhiệm dịch vụ cốt lõi mà quan/tổ chức cung cấp cho khách hàng  Các dịch vụ hỗ trợ quan trọng, chẳng hạn phận công nghệ thông tin (CNTT), phận bảo trì nhóm khác chịu trách nhiệm bảo trì hệ thống hỗ trợ phịng ban hoạt động  Giám đốc điều hành cấp cao cá nhân quan trọng khác cần thiết cho khả tồn liên tục quan/tổ chức Quá trình phân tích quan trọng hai lý Đầu tiên, cung cấp tảng cần thiết để giúp xác định thành viên tiềm nhóm xây dựng kế hoạch Thứ hai, cung cấp tảng cho phần cịn lại quy trình lập kế hoạch 105 Thơng thường, phân tích tổ chức hoạt động thực cá nhân lãnh đạo nhằm xây dựng kế hoạch trì hoạt động Tuy nhiên, việc xem xét kỹ lưỡng phân tích phải nhiệm vụ giao cho nhóm xây dựng kế hoạch trì hoạt hoạt động cách đầy đủ Bước quan trọng cá nhân thực phân tích ban đầu bỏ qua chức hoạt động quan trọng mà cần thành viên nhóm BCP biết đến Nếu nhóm tiếp tục mà khơng sửa đổi phân tích tổ chức tồn q trình lập kế hoạch bị ảnh hưởng tiêu cực dẫn đến việc xây dựng kế hoạch không giải đầy đủ nhu cầu ứng phó khẩn cấp tổ chức nói chung b Xây dựng nhóm làm việc PT I T Trong nhiều tổ chức, phòng CNTT hay an ninh giao trách nhiệm cho việc lập kế hoạch trì hoạt động khơng có xếp cho việc thu thập thông tin đầu vào từ phận hoạt động hỗ trợ khác Trên thực tế, phòng ban chí khơng biết tồn kế hoạch cố hay thảm họa xảy xảy Đây lỗ hổng quan trọng: kiến thức hay chuyên gia lĩnh vực CNTT không đủ Sự phát triển kế hoạch trì hoạt động cách độc gây thảm họa theo hai cách Thứ nhất, thân kế hoạch khơng tính đến tri thức cá nhân chịu trách nhiệm cho hoạt động hàng ngày tổ chức Thứ hai, giữ yếu tố chi tiết cụ thể kế hoạch hoạt động liên tục “trong bóng tối” việc thực trở nên cần thiết Điều làm giảm khả yếu tố hoạt động tuân thủ quy định kế hoạch thực cách hiệu Việc không cho phép tổ chức thu lợi ích từ chương trình đào tạo kiểm tra cho kế hoạch Để ngăn chặn tình ảnh hưởng xấu đến trình lập kế hoạch, cá nhân chịu trách nhiệm cần đặc biệt quan tâm chọn nhóm lập kế hoạch trì hoạt động Ở mức tối thiểu, nhóm nghiên cứu nên bao gồm cá nhân sau đây:  Các phòng ban chịu trách nhiệm hoạt động cốt lõi quan/tổ chức  Các phòng ban hỗ trợ then chốt xác định qua việc phân tích hoạt động tổ chức  CNTT có chun mơn lĩnh vực lập kế hoạch trì hoạt động  Phụ trách luật pháp có hiểu biết trách nhiệm hợp đồng, quy định, luật pháp doanh nghiệp  Đại diện từ ban lãnh đạo Ở góc độ khác, nhiều quan/tổ chức bị ràng buộc với luật pháp hay quy định quyền địa phương việc thực kế hoạch trì hoạt động quân đội, công an, viễn thông hay điện lực Mặt khác, quan/tổ chức bị ràng buộc với khách hàng tình khẩn cấp thể hợp đồng với khách hàng dạng thỏa thuận chất lượng dịch vụ trường hợp phá vỡ việc đảm bảo chất lượng dịch vụ 106 6.2.2 Đánh giá tác động Việc đánh giá tác động xác định tài nguyên quan trọng khả tồn liên tục quan/tổ chức mối đe dọa đặt cho tài nguyên Việc đánh giá khả mà mối đe dọa thực xảy tác động đến kiện có q trình hoạt động Kết đánh giá tác động cung cấp đánh giá định lượng để ưu tiên nguồn lực cho việc trì hoạt động cho rủi ro cục bộ, khu vực, toàn cầu quan/tổ chức Các mối đe dọa mô tả thông qua:  Thời gian chịu đựng tối đa gián đoạn với hoạt động  Gián đoạn hoạt động suất  Các đánh giá tài  Trách nhiệm theo quy định  Mức độ tín nhiệm (danh tiếng) a Đánh giá mức độ chắn PT I T Sau xác định danh sách mối đe dọa tiềm tàng tới việc trì hoạt động, số mối đe dọa có nhiều khả xảy mối đe dọa khác Ví dụ, quan/tổ chức vùng cao có nhiều khả phải đối mặt với nguy bị lũ lụt Để xem xét khác biệt này, giai đoạn đánh giá tác động xác định khả xảy rủi ro Để trì tính tốn qn, đánh giá thường thể dạng tỷ lệ xuất hàng năm phản ánh số lần quan/tổ chức dự kiến gặp phải cố định năm Nhóm xây dựng kế hoạch cần ngồi lại xác định mức độ chắn cho rủi ro xác định phần trước Những số phải dựa lịch sử quan/tổ chức, kinh nghiệm chuyên môn thành viên nhóm lời khuyên từ chuyên gia, chẳng hạn nhà khí tượng học, địa chấn học, chuyên gia phòng cháy chuyên gia tư vấn khác cần thiết b Đánh giá tác động Việc đánh giá rủi ro thực sở xem xét mức độ chịu đựng quan/tổ chức với rủi ro tiếp diễn Cần xác định, đánh giá ghi nhận yếu tố liên quan  Các lỗ hổng với tài nguyên hoạt động nhạy cảm với thời gian  Các đe dọa mối nguy với tài nguyên hoạt động khẩn cấp  Đo lường mức độ, khả hay hậu việc gián đoạn dịch vụ sản phẩm then chốt  Các nút cổ chai hay mức độ tập trung rủi ro đe dọa hoạt động liên tục  Rủi ro việc tập trung kỹ hay khan kỹ then chốt  Rủi ro nhà cung cấp bên 107 Các ý yếu tố tác động không đo đếm trực tiếp mặt tài  Làm nản lịng khách hàng  Mất nhân viên cơng việc bị đình trệ lâu  Ảnh hưởng tiêu cực cộng đồng Mức độ rủi ro đánh giá theo công thức PT I T Rủi ro = f(Đe dọa, Tác động, Mức độ chắn) Hình 6-4 Đánh giá tài nguyên cần thiết 6.2.3 Lập kế hoạch trì Giai đoạn xây dựng kế hoạch trì hoạt động tập trung vào việc phát triển thực chiến lược trì hoạt động để giảm thiểu rủi ro có tài sản bảo vệ Việc xây dựng chiến lược trì thu hẹp khoảng cách đánh 108 giá tác động giai đoạn lập kế hoạch trì việc xây dựng kế hoạch trì hoạt động Nhóm xây dựng kế hoạch phải đưa danh sách mối quan tâm ưu tiên thông qua việc đánh giá phân tích tác động xác định rủi ro giải kế hoạch trì hoạt động Giải tất trường hợp bất thường cần thực quy định quy trình để đảm bảo khơng có thời gian dừng đối mặt với rủi ro xảy Rõ ràng, việc triển khai sách tồn diện kiểu đơn giản khơng thể Nhóm lập kế hoạch nên xem xét lại ước tính thời gian gián đoạn chịu đựng giai đoạn đầu việc đánh giá tác động xác định rủi ro coi chấp nhận phải giảm thiểu quy định trì hoạt động Khi nhóm lập kế hoạch xác định rủi ro cần giảm thiểu mức độ tài nguyên cam kết cho nhiệm vụ giảm thiểu, nhóm sẵn sàng chuyển sang xây dựng quy định quy trình giai đoạn lập kế hoạch liên tục T Các quy định quy trình giai đoạn lập kế hoạch trì hoạt động cốt lõi tồn kế hoạch Nhóm lập kế hoạch thiết kế quy trình chế cụ thể nhằm giảm thiểu rủi ro coi chấp nhận giai đoạn xây dựng chiến lược Ba loại tài sản phải bảo vệ thông qua quy định quy trình người, phương tiện sở hạ tầng PT I Trước hết, kế hoạch phải đảm bảo người quan/tổ chức an toàn trước sau tình khẩn cấp Khi đạt mục tiêu này, nhóm lập kế hoạch thực điều khoản phép nhân viên thực kế hoạch trì cơng việc họ theo cách thơng thường theo hoàn cảnh Thực tế người tài sản quý giá quan/tổ chức Sự an tồn người phải ln ln trước mục tiêu hoạt động quan/tổ chức Cần đảm bảo kế hoạch trì hoạt động đưa quy định đầy đủ bảo đảm an ninh nhân viên, khách hàng, nhà cung cấp cá nhân khác bị ảnh hưởng Nhiều quan/tổ chức yêu cầu sở phương tiện chuyên môn để thực hoạt động quan trọng Đây bao gồm sở văn phòng tiêu chuẩn, nhà máy sản xuất, trung tâm hoạt động, kho, trung tâm phân phối / hậu cần, kho sửa chữa/bảo trì Khi thực đánh giá tác động cần xác định sở/phương tiện đóng vai trị quan trọng khả tồn liên tục quan/tổ chức Mặt khác, quan/tổ chức phụ thuộc vào số loại sở hạ tầng cho quy trình quan trọng Một phần quan trọng sở hạ tầng hệ thống xương sống CNTT truyền thơng máy tính xử lý đơn đặt hàng, quản lý chuỗi cung ứng, xử lý tương tác khách hàng thực chức hoạt động khác Hệ thống xương sống bao gồm số máy chủ, máy trạm liên kết truyền thông quan trọng trang web Kế hoạch trì hoạt động phải giải biện pháp bảo vệ hệ thống khỏi rủi ro 109 6.2.4 Phê chuẩn triển khai Khi nhóm xây dựng kế hoạch trì hoạt động hồn thành giai đoạn thiết kế tài liệu việc lập kế hoạch cần đạt việc phê chuẩn quản lý cấp cao kế hoạch Nếu có tham gia quản lý cấp cao suốt giai đoạn xây dựng kế hoạch hoạt động trình tương đối đơn giản Mặt khác, lần ban quản lý cấp cao tiếp cận tài liệu kế hoạch hoạt động này, nhóm xây dựng kế hoạch cần sẵn sàng để giải thích chi tiết mục đích chương trình điều khoản cụ thể Việc quản lý cấp cao tin tưởng phê duyệt cần thiết cho thành công kế hoạch trì hoạt động Việc xác nhận lãnh đạo cấp cao thể tầm quan trọng kế hoạch toàn tổ chức thể cam kết ban lãnh đạo trì hoạt động quan/tổ chức T Sau nhận chấp thuận ban quản lý cấp cao, đến lúc tìm hiểu bắt đầu triển khai kế hoạch trì hoạt động Nhóm xây dựng kế hoạch phát triển lịch trình triển khai sử dụng nguồn lực dành riêng cho chương trình để đạt kết theo quy trình điều khoản đề cách nhanh Sau tất tài nguyên triển khai đầy đủ, nhóm nên giám sát việc thực chương trình trì hoạt động cách thích hợp để đảm bảo kế hoạch đáp ứng nhu cầu hoạt động phát triển PT I Bên cạnh đó, đào tạo giáo dục yếu tố thiết yếu việc thực kế hoạch trì hoạt động Tất nhân viên tham gia vào kế hoạch (trực tiếp gián tiếp) nhận số dạng đào tạo kế hoạch tổng thể trách nhiệm cá nhân họ Mọi người tổ chức nhận tóm tắt kế hoạch trì hoạt động để đảm bảo cho họ niềm tin lãnh đạo xem xét rủi ro xảy với việc trì hoạt động quan/tổ chức lên kế hoạch để giảm thiểu tác động quan/tổ chức xảy cố hay thảm họa Những người có trách nhiệm trực tiếp kế hoạch trì hoạt động cần đào tạo đánh giá nhiệm vụ cụ thể họ để đảm bảo họ hồn thành kế hoạch cách hiệu thảm họa xảy Hơn nữa, cần người dự phịng nên huấn luyện cho nhiệm vụ kế hoạch trì hoạt động để đảm bảo sẵn sàng nhân bị thương đến nơi làm việc trường hợp khẩn cấp 6.3 Chiến lược khôi phục cố Trong giai đoạn chiến lược khôi phục, nhóm xây dựng tiếp cận thơng tin thu thập giai đoạn phân tích hoạt động quan/tổ chức từ góc độ thực tế Điều cần phải tìm quan/tổ chức cần làm để thực phục hồi mục xác định quan trọng quan/tổ chức nói chung Trong chiến lược trì phục hồi hoạt động mình, nhóm xây dựng thẩm tra chặt chẽ chức hoạt động quan trọng chấp thuận Sau đánh giá nhiều phương án khơi phục lưu sử dụng để phục hồi việc thực hoạt động quan trọng Điều quan trọng chọn 110 chiến thuật công nghệ phù hợp cho việc khơi phục quy trình hoạt động dịch vụ thiết yếu để đảm bảo thời gian gián đoạn chấp nhận Nhóm xây dựng cần xác định chiến lược phục hồi, thực tế tập hợp hoạt động xác định trước triển khai thực để ứng phó với thảm họa Các chiến lược khôi phục thành phần sau:      Khôi phục quy trình hoạt động Khơi phục phương tiện Khơi phục nguồn cung cấp công nghệ Khôi phục môi trường người dùng Khơi phục liệu Phần trình bày chiến lược khôi phục với mục đầu 6.3.1 Khôi phục quy trình hoạt động Vai trị tài ngun cần thiết Đầu vào Các bước luồng cơng việc Thời gian cần hồn thành Giao diện với quy trình khác PT I      T Quy trình hoạt động tập bước liên kết với theo hành động cụ thể để hồn thành nhiệm vụ/cơng việc Nhóm lập kế hoạch hoạt động cần phải nắm bắt chi tiết quy trình thiết yếu quan/tổ chức liệu mơ tả vai trị nguồn lực cần cho quy trình này: Các thơng tin giúp cho nhóm xác định mối đe dọa biện pháp kiểm soát để giảm thiểu thời gian gián đoạn 6.3.2 Khơi phục phương tiện Việc gián đoạn hoạt động xếp vào dạng: thông thường, thảm họa, thảm họa nghiêm trọng Với gián đoạn thông thường, chiến lược khôi phục thay hay sửa chữa trang thiết bị, phần cứng hay phần mềm Với thảm họa thường nguyên nhân thiên nhiên bão tố, ngập lụt, thời gian gián đoạn tính ngày lâu Việc khôi phục phải dựa vào trang thiết bị hay phương tiện từ vị trí khác Thơng thường cần trang thiết bị sẵn sàng thay cho thiết bị/phương tiện bị gián đoạn từ vị khác với vị trí bị thảm họa Hình 6-5 mơ tả cấu hình tiêu biểu cách lưu liệu vị trí hoạt động dự phịng Thảm họa nghiêm trọng gây gián đoạn trầm trọng với phương tiện trang thiết bị, phá hủy hồn tồn phương tiện có Việc khơi phục cần biện pháp ngắn dài hạn:  Ngắn hạn: sử dụng thiết bị trợ giúp từ vị trí khác  Dài hạn: xây dựng sửa chữa lại phương tiện phòng ốc hay nhà xưởng 111 Hình 6-5 Vị trí hoạt động dự phịng PT I  Xây dựng vị trí dự phịng  Th ngồi (outsource)  Th vị trí dự phịng T Cơ quan/tổ chức có số lựa chọn để đối phó với nguyên nhân gây gián đoạn sở cân nhắc lợi ích/chi phí: Khi thuê phương tiện dự phòng, quan/tổ chức thuê cần cân nhắc  Mức độ tin cậy bên thuê  Khả sẵn dùng phương tiện thuê dự phòng  Chia sẻ phương tiện dự phòng/ứng cứu với quan/tổ chức liên quan 6.3.3 Khôi phục nguồn cung cấp cơng nghệ Nhóm quản lý cần xác định chi tiết giải pháp dự phòng cho       Các thiết bị máy tính mạng Các tài nguyên liên lạc cho liệu thoại Nhân lực Vận chuyển thiết bị người Các vấn đề an toàn cho liệu người Nguồn cung cấp Môi trường kỹ thuật quan/tổ chức phải hiểu rõ Điều có nghĩa nhóm lập kế hoạch phải biết chi tiết cụ thể mạng, công nghệ truyền thông, máy tính, thiết bị mạng yêu cầu phần mềm mà cần thiết để chức thiết yếu hoạt động Thực tế yếu tố thay đổi theo thời gian cần cập nhật cách kịp 112 thời để môi trường hoạt động quan/tổ chức bị gián đoạn hay phá hủy nhóm khơi phục có đủ thơng tin kỹ cần thiết để xây dựng lại cách thích đáng 6.4 Kiểm thử cập nhật kế hoạch Khi hoàn thành chiến lược khơi phục, nhóm lập kế hoạch cần chuyển chiến lược vào trạng thái sẵn sàng Nói cách khác, cần chuyển từ giai đoạn lập kế hoạch túy sang giai đoạn thực hành động thực tế Các kế hoạch thực cần phải lưu giữ nhiều vị trí khác với trang web chính, để vị trí bị phá hủy bị ảnh hưởng tiêu cực, kế hoạch liên tục có sẵn cho nhóm Điều quan trọng định dạng khác kế hoạch có sẵn cho nhóm, bao gồm phiên điện tử giấy Phiên điện tử khơng hữu ích khơng có điện để máy tính hoạt động T Kế hoạch nên đề cập tất chi tiết theo chủ đề Định dạng thực tế kế hoạch phụ thuộc vào môi trường, mục tiêu kế hoạch, ưu tiên mối đe dọa xác định Sau mục kiểm tra ghi lại, chủ đề kế hoạch chia thành loại cần thiết Bảng liệt kê kế hoạch tiêu biểu cho việc khôi phục Tùy thuộc vào thức quản lý nhóm xây dựng kế hoạch để xác định số lượng dạng kế hoạch cần phát triển triển khai PT I Bảng 6-1 Các kiểu kế hoạch khôi phục Kiểu kế hoạch Mục tiêu Kế hoạch khôi phục hoạt động Tập trung vào việc khởi tạo lại quy trình hoạt động cần thiết để hoạt động lại thay tập trung vào thiết bị CNTT Tính liên tục kế hoạch hành động Thiết lập quản lý cấp cao trung tâm xử lý có thảm họa (sự cố) Vạch chức trách vai trò, thứ tự hành động, nhiệm vụ cá nhân Kế hoạch cho tính liên tục CNTT Kế hoạch cho thủ tục/quy trình khơi phục hệ thống, mạng ứng dụng sau thảm họa Cần các quy trình/thủ tục cho phận quan trọng/chủ yếu Kế hoạch truyền thông khủng hoảng Bao gồm vai trị chế truyền thơng nội bên Xác định cá nhân cụ thể liên lạc với bên Bao gồm phát biểu chuẩn bị trước mà cần công bố 113 Kế hoạch đối phó cố mạng Tập trung vào phần mềm độc hại, xâm nhập, công, vấn đề an toàn khác Vạch thủ tục để đối phó với cố Kế hoạch khẩn cấp (với nhân viên) Xây dựng an toàn lao động thủ tục sơ tán 6.4.1 Kiểm thử kế hoạch Các kế hoạch cần phải kiểm thử thường xuyên môi trường hoạt động quan/tổ chức liên tục thay đổi Để giảm thái độ thiếu hợp tác việc kiểm thử, người quản lý coi việc kiểm thử việc thực hành thường xuyên kế hoạch để đánh giá, cải thiện nâng hiệu kế hoạch PT I T Việc kiểm thử/thực hành giúp cho người (nhân viên/lãnh đạo) làm quen với tình nhiệm vụ họ phải đối mặt giải mơi trường có kiểm sốt.Các kiểm tra thực hành khôi phục khắc phục thảm họa nên thực năm lần Cơ quan/tổ chức thực khơng có tự tin xây dựng kế hoạch kế hoạch thực thử nghiệm Các kiểm tra diễn tập chuẩn bị nhân cho họ phải đối mặt cung cấp mơi trường kiểm sốt để tìm hiểu nhiệm vụ dự kiến họ Các kiểm tra diễn tập vấn đề nhóm lập kế hoạch quản lý mà trước chưa suy nghĩ giải phần quy trình lập kế hoạch Các tập, cuối cùng, chứng minh tổ chức thực phục hồi sau thảm họa Diễn tập phải có kịch xác định trước mà quan/tổ chức thực phải đối mặt với thời điểm Các thơng số cụ thể phạm vi diễn tập phải trước cảnh báo cố Nhóm thực hành diễn tập phải chấp thuận cách xác thử nghiệm cách xác định thành công hay thất bại Ngồi ra, nhóm cần xác định xem phần cứng, phần mềm, nhân sự, quy trình tuyến liên lạc kiểm tra Nếu diễn tập bao gồm việc di chuyển số thiết bị đến địa điểm thay việc vận chuyển, trang thiết bị phụ sẵn sàng vị trí thay phải giải đánh giá Cần xác định chi phí liên quan đến việc thử/thực hành bao gồm:  Thời điểm khoảng thời gian  Quy trình, nhân lực, phương tiện liên lạc  Các phương tiện phần cứng, phần mềm cần thiết  Phương tiện vận chuyển, vị trí thử nghiệm/thực hành 114 Những người thực diễn tập nói chung gặp vấn đề mắc sai lầm Đây lý cần có diễn tập thử nghiệm để tất người học hỏi thực nhiệm vụ hiệu xảy thảm họa thực 6.4.2 Các dạng kiểm thử Phần trình bày dạng kiểm thử tiêu biểu nên tiến hành để nâng cao hiệu khắc phục cố trì hoạt động quan/tổ chức a Kiểm thử đầu mục  Các kế hoạch đảm bảo trì hoạt động gửi cho phòng ban chức để đánh giá lại  Mục tiêu khơng để sót mục kế hoạch dự phòng phòng ban chức b Kiểm tra cấu trúc vắn tắt  Đại diện phòng ban duyệt qua kế hoạch để đảm bảo tính xác chúng c Kiểm thử giả lập PT I T  Các nội dung thảo luận bao gồm phạm vi, quy mô, giả định kế hoạch, đánh giá lại cấu trúc quản lý, điều hành yêu cầu cho việc đào tạo, trì kiểm thử  Tất nhân viên tham gia vào việc vận hành hay hỗ trợ hoạt động quan/tổ chức, hay đại diện họ thực hành kế hoạch phục hồi thảm họa dựa tình cụ thể  Cho phép kiểm tra phản ứng đại diện/nhân viên phòng ban xử lý cố  Đảm bảo khơng bỏ sót bước kế hoạch dự phòng mối đe dọa không bị coi thường d Kiểm thử song song  Việc kiểm thử nhằm đánh giá hệ thống dự phịng vị trí khác hoạt động cách thích đáng  Kết so sánh với việc vận hành hệ thống bình thường để đánh giá lại việc cấu quy trình sửa đổi cần thiết e Kiểm thử gián đoạn hoàn chỉnh  Thử nghiệm ảnh hưởng nghiêm trọng đến việc vận hành bình thường suất hoạt động quan/tổ chức  Toàn hệ thống thời bị ngắt thực việc chuyển sang vị trí dự phịng 115  Nhóm khơi phục thực đầy đủ việc chuẩn bị hệ thống môi trường hoạt động vị trí  Việc diễn tập giúp phát lỗ hổng kế hoạch  Việc kiểm thử thực sau phép thử khác thành công sau phê duyệt ban lãnh đạo cấp cao 6.4.3 Cập nhật kế hoạch Việc thiếu cập nhật kế hoạch làm cho người không nắm thực tế yêu cầu an toàn Các yếu tố ảnh hưởng khiến cho kế hoạch dự phịng nhanh chóng lỗi thời:  Các quy trình đảm bảo trì hoạt động khơng tích hợp với việc thay đổi quy trình quản lý  Tái cấu trúc/tổ chức lại quan  Thay đổi công nghệ (phần cứng/phần mềm)  Di chuyển nhân  Tốn công sức cho việc cập nhật kế hoạch T  Kế hoạch không trực tiếp mang lại lợi nhuận Các hành động cần thiết cho việc đảm bảo cập nhật: PT I  Đảm bảo yêu cầu trì hoạt động phần định hoạt động/kinh doanh  Yêu cầu trách nhiệm cập nhật rõ ràng mô tả công việc  Làm phần việc đánh giá hiệu cá nhân  Thực việc kiểm tra/kiểm toán việc cập nhật  Thực việc thực hành thường xun  Tích hợp kế hoạch dự phịng vào quy trình quản lý thay đổi  Liên kết học thực tế từ cố vào kế hoạch Một cách đơn giản, tiết kiệm chi phí hiệu để giữ kế hoạch cập nhật kết hợp quy trình quản lý thay đổi Quy trình quản lý thay đổi phải cập nhật để kết hợp trường trình kích hoạt cảnh báo nhóm lập kế hoạch trì hoạt động có thay đổi đáng kể cung cấp phương tiện để cập nhật tài liệu khơi phục 116 6.5 Câu hỏi ơn tập Trình bày khác biệt kế hoạch khôi phục cố hoạt động liên tục Giải thích vấn đề khơi phục quy trình hoạt động Nêu vấn đề khơi phục trang thiết bị Trình bày vấn đề khơi phục nguồn cung cấp cơng nghệ Trình bày mục tiêu việc kiểm tra/thực hành kế hoạch đảm bảo hoạt động liên tục Giải thích mục tiêu yêu cầu dạng kiểm thử Phân tích yêu cầu đảm bảo hoạt động liên tục quy trình sản xuất tùy chọn xử lý đơn hàng? Phân tích yêu cầu đảm bảo hoạt động liên tục cho trình lựa chọn sản phẩm mua hàng trực tuyến PT I T 117 Tầi liẽ u thầm khầó [1] [2] [3] [4] Bộ Thơng tin Truyền thơng, V/v tăng cường cơng tác đảm bảo an tồn thông tin cho cổng/trang thông tin điện tử (1790/BTTTT-VNCERT), 20/06/2011 Bộ Thông tin Truyền thông, Phân công nhiệm vụ việc triển khai thực Quy hoạch phát triển an tồn thơng tin số quốc gia đến năm 2010, 21/06/2010 Hoàng Đăng Hải PGS TSKH, Quản lý an toàn thông tin, Nhà xuất khoa học kỹ thuật, ISBN 978-604-67-1062-2, 2018 James Michael Stewart, Mike Chapple, Darril Gibson, CISSP® Certified Information Systems Security, Professional Study Guide, Seventh Edition, 2015 by John Wiley & Sons, Inc, ISBN: 978-1-119-04271-6 [7] [8] [9] [10] [11] [12] [13] [14] T [6] John R Vacca, Computer and Information Security Handbook 3rd ed, Elsevier Science, 2017 Michael E Whitman and Herbert J Mattord, Management of Information Security, Course Technology, Cengage Learning, 2010 Michael E Whitman, Herbert J Mattord, Principles of information security, 4th edition, Course Technology, Cengage Learning, 2012 Michael E Whitman, Herbert J Mattord, Roadmap to Information Security: For CNTT and Infosec Managers, Delmar Publishers Inc., 2011 Quốc hội Việt Nam, Luật Công nghệ thông tin (67/2006/QH11), 12/07/2006 Quốc hội Việt Nam, Luật an tồn thơng tin mạng (86/2015/QH13), 2015 Quốc hội Việt Nam, Luật An ninh mạng 24/ 2018/ QH14, 2018 Sari Greene, Security Policies and Procedures Principles and Practices, Prentice Hall, 2005 Thủ tướng Chính phủ, V/v tăng cường triển khai hoạt động đảm bảo an tồn thơng tin số (897/CT-TTg), 10/06/2011 Thủ tướng Chính phủ, Phê duyệt Quy hoạch phát triển an tồn thơng tin số quốc gia đến năm 2020 (63/QÐ-TTg), 13/01/2010 PT I [5] 118 ... thông tin quan trọng để phổ biến thông tin quan trọng liên quan đến an toàn Do thay đổi nhận thức vấn đề an toàn, quản lý an tồn thơng tin tăng trách nhiệm quyền lực nhiều lĩnh vực Một số quan... loại thông tin hệ thống thông tin Tại cần phân loại thông tin hệ thống thông tin Nêu diễn giải biện pháp quản lý an tồn thơng tin tiêu biểu? Trình bày cách thức tổ chức quản lý an tồn thơng tin? ... CHƯƠNG TỔNG QUAN VỀ QUẢN LÝ AN TỒN THƠNG TIN 1.1 Giới thiệu quản lý an tồn thơng tin 1.2 Chính sách luật pháp an tồn thơng tin 16 1.3 Các ngun tắc quản lý an tồn thơng tin