Atttkt (TỔNG HỢP)

An toàn thông tin kế toán (ATTTKT002)

CHƯƠNG 1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN KẾ TOÁN

I. Lịch sử ATTTKT:
TRƯỚC THẬP THẬP THẬP THẾ KỈ 21
1960 NIÊN 60 NIÊN NIÊN 90
70&80
SỰ RA Máy tính Máy tính Phạm vi an Sản phẩm Internet
ĐỜI lớn toàn máy chống virus
(Mainfram tính được
e mở rộng
Computer) RAND
ARPANET Corporatio
(Larry n 79
Robert – (RAND R
người sáng 609)
lập MULTICS
Internet) UNIX
TCP
DARPA
thành lập
CERT
NGUYÊN Nhu cầu an Chiến tranh ARPANET Nhu cầu Cuộc tấn
NHÂN VỀ toàn máy lạnh, chiến bị lạm dụng kết nối công vào
SỰ CẦN tính và an dịch gián và có vấn mạng tăng trung tâm
THIẾT toàn đối điệp, chạy đề về bảo đã tạo ra thương mại
ĐỐI VỚI với thiết bị. đua vũ mật (Robert Internet ngày
ATTT Nhu cầu trang => an M. 11/9/2001
giải mã toàn và bảo Metcalfe)
thông điệp mật hơn.
chiến tranh

II. Định nghĩa ATTT: Bảo vệ thông tin và các yếu tố quan trọng của nó (hệ
thống và phần cứng dung để sử dụng, lưu trữ và truyền tải thông tin).
- ATTT bao gồm 3 lĩnh vực: (1) Quản lý an toàn thông tin; (2) Bảo mật dữ
liệu và (3) An ninh mạng.
- Tam giác C.I.A bao gồm:
 C (confidentiality – tính bảo mật): ngăn chặn việc tiết lộ hoặc bí mật thông
tin với cá nhân hoặc hệ thống không được phép. CHỈ NHỮNG NGƯỜI

0 0
 DÙNG CÓ QUYỀN, ĐẶC QUYỀN VÀ NHU CẦY TRUY CẬP THÔNG
TIN MỚI CÓ THỂ TRUY CẬP.
 I (integrity – tính toàn vẹn): thông tin đầy đủ, hoàn chỉnh và không bị gián
đoạn. Tính toàn vẹn bị đe dọa khi thông tin bị hỏng, bị lộ và bị phá hủy hoặc
do hành vi khác làm gián đoạn.
 A (availability – tính sẵn có): Cho phép người dung khi cần truy cập thông
tin mà không bị can thiệp hoặc cản trở và truy xuất thông tin ở dạng bắt
buộc.
III. Các khái niệm chính:
- Risk – Sự kiện tiềm tàng không mong muốn có thể gây thiệt hại cho doanh
nghiệp.
- Threat (Nguy cơ/Đe dọa): Bất kỳ sự kiện/hoàn cảnh nào có khả năng ảnh
hưởng xấu đến doanh nghiệp
- Threat agent (Tác nhân đe dọa): một trường hợp cụ thể hoặc một thành
phần của một mối đe dọa.
- Threat event (Sự kiện đe dọa): sự kiện xảy ra do tác nhân đe dọa gây ra.
- Threat source (Nguồn gốc đe dọa): Tập hợp các tác nhân đe dọa.
- Possession (Chiếm hữu) có liên quan đến Confidentiality (Tính bảo mật)
IV. Bản chất an toàn thông tin: gồm 3 bản chất
 Tính nghệ thuật: đa dạng; phức tạp; không có nguyên mẫu; luôn sáng tạo
 Tính khoa học: công nghệ; khoa học máy tính; nghiêm túc; nguyên tắc
trong phương pháp và kỹ thuật; tương tác giữa phần cứng và phần mềm
 Tính chất của KHXH: tương tác của con người với hệ thống; hành vi của
người dung đến bảo mật; nhận thức về rủi ro.
V. Mô hình an toàn CNSS – khối lập phương McCumber: được John
McCumber tạo ra năm 1991, gồm 27 khối với:

Đường tung – Y: đề cập đến C.I.A (Confidentiality – Integrity – Availability)

0 0
Đường chéo – Z: đề cập đến chính sách – quá trình đào tạo – giáo dục (Policy –
Education – Technology)
Đường hoành – X: đề cập đến hoạt động của 1 hệ thống thông tin kế toán gồm lưu
trữ - xử lí – truyền tải (Storage – Processing – Transmission)
VI. Các thành phần của hệ thống thông tin: gồm 6 thành phần
1. Con người 2. Phần cứng
3. Phần mềm 4. Mạng máy tính
5. Các chính sách và thủ tục 6. Dữ liệu
- Cân bằng giữa ATTT và khả năng truy cập: ATTT tăng -> Khả năng truy cập
giảm.
- Cách tiếp cận thực hiện an toàn thông tin:
Tiếp cận từ trên xuống (top – down approach)
Tiếp cận từ dưới lên (bottom – up approach)
VII. An toàn thông tin và chu kỳ phát triển hệ thống:
ATTT là một phần cơ bản trong chu kỳ phát triển hệ thống.
Chu kì phát triển hệ thống:
Theo HTTTKT gồm các giai đoạn: Đánh giá ban đầu – Phân tích – Thiết kế - Thực
hiện – Vận hành, bảo trì – Đánh giá, kiểm soát thay đổi.
Theo ATTTKT gồm các cách thức:
 SDLC truyền thống – Mô hình thác đổ: Investigation – Analysis – Logical
Design – Physical Design – Implementation – Maintenance and Change (từ
trên xuống)
 Bảo hiểm phần mềm: thiết lập an toàn ngay trong chu kỳ phát triển
 Nguyên tắc thiết kế phần mềm: gồm 8 bước
1. Tính kinh tế của cơ chế thiết kế (càng nhỏ gọn và đơn giản càng tốt)
2. Mặc định không an toàn (Phải mặc định là không an toàn cho đến khi được
thông qua các bài kiểm tra, đánh giá)
3. Điều tiết hoàn chỉnh (Khi thiết kế phần mềm -> Bất kì hành vi nào truy cập
vào phần mềm đều phải thông qua kiểm tra)
4. Thiết kế mở (Mở cho tất cả mọi người -> Chứng minh tính ưu việt)

0 0
5. Tách biệt đặc quyền (Thiết kế và phân chia đặc quyền theo phân cấp -> các
cấp thẩm quyền có MQH với nhau -> bị ảnh hưởng nếu 1 cấp bị chiếm
quyền KS).
6. Đặc quyền ít nhất
7. Cơ chế chung ít nhất
(Cho cả 6 và 7: Khi thiết kế phần mềm và cấp quyền cho đối tượng sử dụng ->
phải cấp quyền đủ để tránh các nguy cơ bị chiếm quyền KS)
8. Khả năng chấp nhận tâm lý (Khi thiết kế phần mềm -> tạo ra sự thoải mái
cho người dung -> cân bằng những ATTTKT và khả năng truy cập).
 Tiếp cận NIST trong an toàn SDLC
 SDLC của Microsoft
VIII. An toàn thông tin trong doanh nghiệp
- Chuyên gia ATTT trong DN gồm (1) Gíam đốc thông tin - CIO; (2) Giám
đốc an toàn thông tin – CSO (Trong đó, CIO có cấp quản lí cao hơn CSO);
(3) Đội dự án an toàn thông tin (Informaton Security Project Team) và (4)
Người chịu trách nhiêm về dữ liệu (người sở hữu dữ liệu, người bảo quản
dữ liệu và người sử dụng dữ liệu)
- Các nhóm người dung ảnh hưởng đến an toàn thông tin trong doanh nghiệp
gồm (1) Nhóm quản lý chung; (2) Nhóm quản lý công nghệ thông tin và (3)
Nhóm quản lý an toàn thông tin.

0 0
CHƯƠNG 2. NHU CẦU CỦA TỔ CHỨC ĐỐI VỚI AN TOÀN THÔNG TIN
I. Nhu cầu của tổ chức đối với an toàn thông tin:
Bảo vệ chức năng của hoạt động của hệ thống.
Bảo vệ dữ liệu và thông tin mà tổ chức thu thập, sử dụng.
Cho phép vận hành an toàn các ứng dụng trên hệ thống CNTT của tổ chức
Bảo vệ tài sản công nghệ của tổ chức
II. Nguy cơ và tấn công:
- Giới thiệu:
Nguy cơ: rủi ro tiềm tàng đối với tài sản thông tin
Cuộc tấn công: một hành động liên tục gây tổn thất tài sản
Nguy cơ luôn hiện hữu trong khi cuộc tấn công chỉ tồn tại khi một hành động cụ
thể có thể gây ra tổn thất.
Các loại nguy Ví dụ về cuộc Cơ chế kiểm
STT Cụ thể
cơ tấn công soát
Xâm phạm tài Ăn cắp bản Digital
sản trí tuệ quyền watermark,
(Bí mật thương (software mã nhúng, mã
1 mại, Quyền tác piracy), vi bản quyền.
giả, Thương phạm bản
hiệu, Bằng quyền
sáng chế)
Sai lệch về chất
Các vấn đề liên
lượng dịch vụ quan nhà cung
bởi người cung cấp dịch vụ
2 cấp dịch vụ Internet (ISP),
năng lượng và
dịch vụ mạng
WAN
3 Gían điệp hoặc Truy cập trái Gián điệp Xác thực
xâm nhập trái phép/ và thu công nghiệp Phân quyền
phép thập dữ liệu (industrial
trái phép espionage);
Cạnh tranh
thông tin

0 0
 (competitive
intelligent);
Shoulder
surfing;
Tin tặc –
Hacker (tin
tặc chuyên
nghiệp ,
script
kiddies, nâng
cấp đặc
quyền –
escalation of
privileges)
Biến thể của
hacker
(Cracker – bẻ
khóa hoặc
loại bỏ lớp
bảo vệ và
Phreaker –
tấn công hệ
thống điện
thoại công
cộng)
Tấn công
mật khẩu
(Brute force –
vận dung tính
toán và tài
nguyên mạng
để thử mọi
kết quả mật
khẩu; Tấn
công từ điển
– Dictionary
– là biến thể
của brute
force; Bảng
cầu vồng –

0 0
 Rainbow
tables; Social
engineering –
đóng giả
chuyên gia
CNTT)
Những tác Cháy nổ, lũ lụt, Kế hoạch
động từ thiên động đất, sấm khắc phục hậu
nhiên sét quả thiên tai,
kế hoạch liên
4
tục kinh
doanh, kế
hoạch ứng phó
với sự cố
Lỗi con Tai nạn, lỗi Thiếu kinh Đào tạo
người/sai sót nhân viên nghiệm; Đào Nâng cao
tạo không nhận thức
đúng cách, Biện pháp
Các giả định kiểm soát
không chính
xác
=>Tiết lộ dữ
liệu đã được
5 xử lí; Nhập
dữ liệu không
chính xác;
Vô tình xóa
hoặc xóa dữ
liệu; Bảo
quản dữ liệu
ở những khu
vực không an
toàn.
6 Cưỡng đoạt Tống tiền, tiết Kẻ xấu đánh
thông tin lộ thông tin cắp sổ tín
dụng; Tin
tặc đánh cắp
dữ
liệu/thông
tin tổ chức

0 0
 (hộp mail; dữ
liệu về tài
khoản và mật
khẩu)
Ransomwar
e – cài phần
mềm độc hại
để từ chối
quyền truy
cập của
người dùng
và đề nghị
người dùng
cung cấp một
khoản phí.
Phá hoại Hủy hoại hệ Có thể là
thống hoặc hành động
thông tin riêng lẻ của
nhân viên
cho đến việc
phá hoại có
tổ chức của
một tổ chức
khác.
7 Hình thức:
Hành động
phá hoại trực
tuyến:
hacktivist và
cyberactivist
Khủng bố
mạng và
chiến tranh
mạng.
8 Tấn công có Viruses, Malware
chủ đích bằng worms, (viruses,
phần mềm macros, từ chối worms – sâu
dịch vụ đa hình/sâu
đa phương
thức, zero-

0 0
 day attack,
bots,
spyware, web
bug, theo dõi
Cookie,
adware)
Backdoors
Tấn công từ
chối dịch vụ
(Denial-of-
Service
(DoS)) và
Tấn công từ
chối dịch vụ
đã được
phân tán
(Distributed
Denial-of-
Service
(DDoS))
Trojan
Horses
Nguy cơ đa
hình
(Polymorphic
Threats)
Trò lừa bịp
(hoaxes)
Tấn công
bằng emails
Tấn công
chặn liên tục
(Packet
sniffer,
Spoofing,
Pharming,
Man-in-the-
middle)
Lỗi phần cứng Lỗi thiết bị
9
(đầu cuối)

0 0
 Lỗi phần mềm Bugs, các vấn Do người lập
đề về mã, lỗ trình tạo ra
hỏng bảo mật lối tắt (short-
chưa được xác cut) nên bỏ
10
định qua việc
kiểm tra bảo
mật (cửa bẫy
– trap doors)
Công nghệ lạc Công nghệ lạc
11
hậu hậu
Trộm Chiếm đoạt bất TS hữu hình TSHH: cửa
hợp pháp thiết Điện tử khóa, nhân
12 bị hoặc thông Trí tuệ viên an ninh,
tin hệ thống báo
động

III. Luật, đạo đức và thực hành ATTT:

Luật: là các quy tắc bắt buộc/nghiêm cấm hành vi xã hội nhất định và được thực
thi bởi nhà nước.
Đạo đức: là nhánh của triết học xem xét bản chất, tiêu chí, nguồn gốc, tính logic
và hiệu lực của phán đoán đạo đức.
Quy tắc mà các thành viên xã hội tạo ra để cân bằng giữa quyền tự quyết của cá
nhân so với nhu cầu của toàn xã hội gọi là luật.
Điểm khác biệt chính giữa luật và đạo đức là:
Luật có thẩm quyền của cơ quan quản lý, còn ĐẠO ĐỨC THÌ KHÔNG.
Đạo đức dựa trên phong tục, văn hóa truyền thống.
IV. Chính sách và luật trong ATTT:
Chính sách: các hướng dẫn quy định một hành vi nhất định trong tổ chức.
Một chính sách có hiệu lực cần đáp ứng 5 tiêu chí : (1) phổ biến; (2) dễ đọc; (3) dễ
hiểu; (4) tuân thủ rằng khi đăng nhập yêu cầu một hành động cụ thể để cho thấy
người đọc đã đọc, hiểu và đồng ý tuân thủ chính sách; (5) thực thi thống nhất.
V. Đạo đức và an toàn thông tin:
- Có 10 điều răn đe về Đạo đức máy tính từ Viện Đạo đức máy tính.

0 0
- Bộ quy tắc đạo đức của các tổ chức nghề nghiệp gồm:
- Các tổ chức nghề nghiệp
 Hiệp hội máy tính (Association of Computing Machinery)
 Hiệp hội kiểm tra và kiểm soát hệ thống thông tin (ISACA)
 Hiệp hội an toàn hệ thống thông tin (ISSA)
 Tổ chức chứng nhận bảo mật hệ thống thông tin quốc tế (ISC2)
 Chứng nhận bảo đảm thông tin toàn cầu của Viện SANS

0 0
 CHƯƠNG 3. KẾ HOẠCH AN TOÀN
I. Lập kế hoạch và quản trị an toàn thông tin
Từ chiến lược tổng quát (general strategy) => lập kế hoạch chiến lược
(strategic planning) và đề ra phương hướng dài hạn => tập trung nguồn lực hướng
đến mục tiêu (goals)
Nhóm điều hành triển khai kế hoạch chiến lược (strategic planning) cho mỗi cấp
của bộ phận chức năng thành mục tiêu chiến thuật (tactical objectives) có 4
thuộc tính (có mục tiêu cụ thể, có thể đạt được, có giới hạn thời gian, có thể đo
lường được) => tạo ra kế hoạch chiến thuật (tactical plans) => phát triển thành
kế hoạch hành động (operational plans)
II. Chính sách, tiêu chuẩn và thực hiện triển khai ATTT:
Chính sách làm nền tảng cho việc lập kế hoạch

Chính sách phải đáp ứng 5 tiêu chí sau: (1) Truyền đạt, (2) Dễ sử dụng, (3) Dễ
hiểu, (4) Tuân thủ, (5) Thực thi thống nhất.
Nhà quản lý xác định 3 loại chính sách an toàn, theo (SP) 800-14 của Viện Tiêu
chuẩn và Công nghệ quốc gia (NIST):
1. Chính sách an toàn thông tin doanh nghiệp (EISP): giải quyết vấn đề
tuân thủ trong 2 khía cạnh
Đảm bảo rằng một tổ chức đáp ứng các yêu cầu để thiết lập một chương trình và
phân công trách nhiệm cho các thành phần khác nhau của tổ chức

0 0
Sử dụng các hình phạt cụ thể và hành động kỷ luật.
Thành phần của EISP gồm 4 thành phần
Tổng quan triết lý của tổ chức về an toàn
Thông tin về cơ cấu tổ chức và những người thực hiện vai trò an toàn thông tin
Các trách nhiệm rõ ràng, đầy đủ, an toàn và được chia sẻ bởi tất cả các thành viên
của tổ chức
Các trách nhiệm rõ ràng, đầy đủ, an toàn cần dành riêng cho từng vai trò trong tổ
chức

2. Chính sách an toàn đặc thù (ISSP)

Đề cập đến quan điểm của tổ chức về các lĩnh vực công nghệ, được cập nhật
thường xuyên về các nội dung như email; sử dụng Internet và www; sử dụng các
thiết bị công nghệ;…
Thành phần của ISSP gồm 7 thành phần:
Tuyên bố về chính sách Quyền truy cập và sử dụng thiết
bị
Cấm sử dụng thiết bị sai mục đích Quản lý hệ thống
Vi phạm chính sách Rà soát và sửa đổi chính sách
Giới hạn của trách nhiệm pháp lý

3. Chính sách an toàn dành riêng cho hệ thống (SysSP) (đọc thêm)

III. Bảng kế hoạch chi tiết về ATTT = Mô hình an toàn NIST SP 800-14
gồm 33 nguyên tắc

IV. Thiết kế kiến trúc an toàn (Design of Security Architecture) gồm:

1. Các lĩnh vực an toàn (Spheres of Security)

0 0
ATTT được thiết kế và thực hiện theo 3 lớp PPT: chính sách (P), con người (P:
giáo dục, huấn luyện và các chương trình nâng cao nhận thức) và công nghệ (T).
2. Cấp độ kiểm soát (Levels of Control) gồm 3 cấp độ: quản lý, vận hành
và kỹ thuật.
Biệp pháp kiểm soát (BPKS) quản lý: lập kế hoạch hành chính, tổ chức, lãnh đạo
và kiểm soát; thiết kế bởi các nhà hoạch định chiến lược và thực hiện bởi tổ chức
quản lý an toàn
 Biện pháp bảo vệ: quản trị và quản lý rủi ro.
BPKS hoạt động/vận hành: lập kế hoạch cấp thấp hơn nhằm giải quyết chức năng
an toàn của đơn vị
 Biện pháp bảo vệ: lập kế hoạch phục hồi sau thảm họa và ứng phó sự cố.
BPKS kỹ thuật: áp dụng các công nghệ, hệ thống và quy trình hiện đại để bảo vệ
tài sản thông tin.
 Biện pháo bảo vệ: tường lửa, mạng riêng ảo và IDPSs.

3. Phòng thủ sâu (Defense in depth)

Do cần thiết phải triển khai an toàn theo lớp nên cần phải thiết lập nhiều lớp kiểm
soát an ninh và biện pháp bảo vệ, được tổ chức thành chính sách, đào tạo, giáo dục
và công nghệ.
4. Vành đai an toàn (Security Perimeter)
Là biên giới an ninh bảo vệ tất cả các hệ thống bên trong khỏi các mối đe dọa từ
bên ngoài.

0 0
 V. Chương trình giáo dục, huấn luyện và nhận thức về an toàn (security
education, training and awareness) – SETA
Bao gồm 3 yếu tố là (1) giáo dục an toàn, (2) huấn luyện an toàn và (3) nâng cao
nhận thức về an toàn
Một tổ chức có thể không có khả năng hoặc sẵn sàng đảm nhận cả 3 yếu tố này thì
có thể dùng dịch vụ thuê ngoài (outsource).

0 0
 CHƯƠNG 4. QUẢN LÝ RỦI RO
I. Quy trình quản lý rủi ro gồm: Xác định RR – Đánh giá RR – Kiểm soát
RR
Quản lý rủi ro hiệu quả nhất:
Biết bản thân
Biết đối thủ
Nhận biết vai trò của các bên có lợi ích liên quan gồm: cộng đồng an ninh thông
tin, nhà quản lý, người sử dụng và cộng đồng CNTT.
Mức độ chấp nhận rủi ro: số lượng và bản chất rủi ro mà các tổ chức sẵn sàng chấp
nhận
Rủi ro còn lại: là sự kết hợp của (1) Nguy cơ còn lại sau khi áp dụng biện pháp (2)
Điểm yếu tiềm ẩn còn lại và (3) Gía trị tài sản không được bảo vệ
Mục tiêu của an ninh thông tin: ĐƯA RR CÒN LẠI VỀ MỨC ĐỘ CHẤP NHẬN
RỦI RO của tổ chức.
II. Xác định rủi ro:
1. Lập kế hoạch và tổ chức quy trình
2. Xác định, kiểm kê (con người, thủ tục, thành phần dữ liệu, thành phần phần
cứng, thành phần phần mềm) và phân loại tài sản (thiếp lập mức độ ưu tiên)
3. Phân nhóm, định giá và sắp xếp ưu tiên các tài sản thông tin
4. Phân nhóm tài sản thông tin theo 3 mức độ: bảo mật, nội bộ và công khai
5. Phân nhóm và quản lý dữ liệu theo 3 nhóm: mật (confidentiality), nội bộ
(internal) và bên ngoài (external)
- Phân quyền an ninh
- Quản lý dữ liệu đã phân nhóm bao gồm lưu trữ, phân phối, truyền tải và
hủy dữ liệu.
- Tiêu chuẩn đánh giá giá trị tài sản thông tin: 6 tiêu chuẩn
- Yếu tố cần xem xét khi xác định giá trị thông tin: 8 yếu tố
- Xác định và sắp xếp ưu đãi đối phó với các nguy cơ
- Đánh giá nguy cơ
- Mối nguy hiểm
- Xác định các điểm yếu tiềm ẩn: sử dụng Bảng nguy cơ – điểm yếu tiềm ẩn
– tài sản (TVA)

0 0
Cột (Az): TS – quan trọng nhất - ở bên trái
Dòng (Tx) : Nguy cơ – Quan trọng nhất/nguy hiểm nhất - ở trên cùng.
Lưới kết quả (Vy) : điểm yếu bảo mật của tài sản
Thể hiện ở định dạng: TxVyAz
Nếu giao điểm của 1 nguy cơ và 1 tài sản không có điểm yếu tiềm ẩn thì cần gạch
bỏ ô đó.
III. Đánh giá rủi ro:
1. Lập kế hoạch và tổ chức đánh giá rủi ro
Rủi ro = Tần suất tổn thất x Mức độ tổn thất + Sự không chắc chắn của các ước
tính của tất cả các giá trị đã trình bày.
2. Xác định tần suất tổn thất
Tần suẩt tổn thất
Xác suất xảy ra tấn công (likelihood)
Tỷ lệ thành công của cuộc tấn công (attack success probability)
3. Đánh giá mức độ tổn thất
Mức độ tổn thất = Gía trị tài sản x Tổn thất có thể xảy ra
4. Tính toán rủi ro
Rủi ro = Tần suất tổn thất x Mức độ tổn thất + Sự không chắc chắn của các ước
tính của tất cả các giá trị đã trình bày/Yếu tố không chắc chắn.
5. Đánh giá sự chấp nhận rủi ro
Xếp hạng rủi ro -> Xác định rủi ro còn lại -> So sánh với mức độ chấp nhận rủi ro
Nếu RR còn lại > Mức độ chấp nhận RR => Chuyển sang giai đoạn kiểm soát RR
và tìm kiếm các chiến lược bổ sung để giảm thiểu rủi ro
Nếu RR còn lại < Mức độ chấp nhận RR => Chuyển sang giai đoạn SAU kiểm soát
RR và tiếp tục theo dõi và đánh giá các biện pháp kiểm soát và tài sản.
IV. Kiểm soát RR:
1. Lựa chọn chiến lược kiểm soát

0 0
 Các chiến lược kiểm soát rủi ro: (1) Phòng thủ, (2) Chuyển giao, (3) Giảm
thiểu, (4) Chấp nhận và (5) Né tránh.
(1) Chiến lược phòng thủ trong kiểm soát rủi ro gồm 3 phương pháp chủ yếu: (1)
Áp dụng chính sách, (2) Giáo dục và huấn luyện và (3) Áp dụng công nghệ.
(2) Chiến lược chuyển giao
(3) Chiến lược giảm thiểu gồm 3 kế hoạch:
Kế hoạch ứng phó sự cố
Kế hoạch khắc phục sau thảm họa
Kế hoạch kinh doanh liên tục
(4) Chiến lược chấp nhận
(5) Chiến lược né tránh

2. Chứng minh các thủ tục kiểm soát

Có thể thực hiện phân tích chi phí – lợi ích (Cost-benefit analysis – CBA)
CBA = ALE (prior) – ALE (post) – ACS
3. Triển khai, theo dõi và đánh giá các kiểm soát rủi ro
Để xác định tính hiệu quả của các kiểm soát và tính toán chính xác rủi ro còn lại
V. Thực hành quản lý rủi ro: Định tính và Định lượng
- Đánh giá định tính – Chuẩn so sánh và thực hành tốt nhất
- Đo lường dựa trên số liệu và đo lường dựa trên quy trình
- Áp dụng thực hành tốt nhất
- Xác định đường cơ sở - Baselining
- Nghiên cứu khả thi
Khả thi về tổ chức Khả thi về vận hành
Khả thi về kỹ thuật Khả thi chính trị
VI. Đề xuất áp dụng thực hành quản lý rủi ro
- Lập tài liệu cho những kết quả
- Khuôn mẫu quản trị rủi ro NIST

0 0
 CHƯƠNG 5. KIỂM SOÁT AN TOÀN
I. Kiểm soát truy cập – Access control
- Attribute-based access control (ABAC)
- Kiểm soát truy cập tùy ý (DACs – Discretionary access controls): Truy
cập không hạn chế/giới hạn người, nhóm người có thể truy cập vào tài
nguyên.
- Kiểm soát truy cập không tùy ý (NDACs – Non discretionary access
controls): Kiểm soát truy cập dựa trên ma trận phân quyền (Lattice-based
access control) gồm
 Access control list (ACL)
 Capabilities tables
 Mandatory (theo mệnh lệnh)
 Role/task (vai trò/nhiệm vụ)
 Cơ chế kiểm soát truy cập: gồm 4 cơ chế
1. Nhận dạng
Được cung cấp một mã định danh – identifier (ID)
2. Xác thực
Chỉ người dung hợp phép mới có thể truy cập vào hệ thống
Cơ chế xác thực: Cái bạn biết – Cái bạn có – Cái thuộc về bạn
3. Phân quyền
Thiết lập quyền giữa một thực thể được xác thực và một danh sách các tài sản
thông tin và các mức độ truy cập tương ứng (Danh sách này thường là 1 ACL/Ma
trận kiểm soát truy cập – Access control matrix)
Cách thức phân quyền:
Phân quyền cho mỗi người dung
Phân quyền cho các thành viên trong nhóm
Phân quyền cho nhiều hệ thống
Chứng nhận phân quyền – Authorization credentials

0 0
 4. Truy vết
Đảm bảo tất cả hành động trên một hệ thống (được phân quyền/không được phân
quyền)
Thực hiện bằng:
Phương tiện nhật kí hệ thống
Nhật ký cơ sở dữ liệu
Kiểm toán các hồ sơ

 Sinh trắc học – Biometrics

Các công nghệ sinh trắc học bao gồm:
Dấu vân tay Dấu lòng bàn tay
Hình học tay Nhận dạng khuôn mặt bằng thẻ ID có
hình ảnh
Võng mạc Mẫu mống mắt
Nhận dạng khuôn mặt bằng máy ảnh kĩ thuật số
Ba đặc điểm được xem là duy nhất của con người: (1) Dấu vân tay, (2) Võng
mạc mắt, (3) Mống mắt

 Các mô hình kiến trúc kiểm soát truy cập (đọc them)

II. Tường lửa – Firewall

Là sự kết hợp giữa phần cứng và phần mềm có chức năng lọc hoặc ngăn thông tin
cụ thể
Phân loại tường lửa theo 3 cách:
1. Phân loại tường lửa theo chế độ xử lý gồm:
Packet-filtering firewalls
Application layer proxy firewalls (Application firewalls/Proxy server);

0 0
Media access control layer firewalls
Hybrids
2. Phân loại tường lửa theo thời đại phát triển
3. Phân loại tường lửa theo cấu trúc

III. Bảo vệ kết nối từ xa – Protecting remote connections

Sử dụng mạng riêng ảo – VPN
IV. Kiểm soát truy cập vật lý – Physical access control
Các bên có lợi ích liên quan trong đơn vị chịu trách nhiệm gồm (1) Ban quản lý
chung, (2) Quản lý IT và chuyên gia, (3) Ban quản lý và các chuyên gia an toàn
thông tin.
Cơ sở an ninh – Security facility: vị trí thực tế có các biện pháp kiểm soát để giảm
thiểu nguy cơ bị tấn công từ các mối đe dọa vật lý.
V. Sự đánh chặn dữ liệu – Interception of data
Quan sát trực tiếp – direct observation
Đánh chặn truyền dữ liệu – interception of data transmission
Đánh chặn điện tử - electromagnetic interception
VI. An toàn hệ thống di động – Securing Mobile and Portable System
An toàn máy tính từ xa gồm (1) Telecomuting – làm việc từ xa, (2) Máy tính điều
khiển từ xa – Remote site computing.
VII. Những cân nhắc đặc biệt cho an toàn vật lý – Special considerations
for physical security

0 0
 CHƯƠNG 6. THỰC HIỆN AN TOÀN THÔNG TIN
I. Giới thiệu:
Giai đoạn thực hiện được hoàn thành bằng cách thay đổi cấu hình và hoạt động của
hệ thống, bao gồm những thay đổi như:
- Thủ tục (thông qua chính sách)
- Con người (thông qua đào tạo)
- Phần cứng (thông qua tường lửa)
- Phần mềm (thông qua mã hóa)
- Dữ liệu (thông qua phân loại)

II. Quản lý dự án ATTT:

1. Lập kế hoạch dự án: bằng việc sử dụng công cụ bảng phân chia công việc
(WBS) để chia nhỏ kế hoạch dự án thành các nhiệm vụ chính (major task)
bao gồm:
- Công việc cần hoàn thành
- Phân công nhiệm vụ
- Ngày bắt đầu và ngày kết thúc
- Nỗ lực cần thiết
- Ước tính chi phí được vốn hóa
- Ước tính chi phí không được vốn hóa
- Xác định sự phụ thuộc giữa các nhiệm vụ
2. Những cân nhắc khi lập kế hoạch dự án: gồm 8 vấn đề chính
- Vấn đề tài chính: Phân tích chi phí – lợi ích (CBA) => Đưa ra yêu cầu
ngân sách và thiết lập kế hoạch ước tính ngân sách.
- Vấn đề về sự ưu tiên: việc thực hiện các biện pháp kiểm soát sẽ phụ thuộc
vào mức độ ưu tiên
- Vấn đề về thời gian và lịch trình: gồm 4 thời gian sau:
+ Thời gian từ khi đặt hàng đến khi nhận được kiểm soát an ninh
+ Thời gian cần thiết để cài đặt và cấu hình kiểm soát
+ Thời gian cần thiết để huấn luyện người dùng

0 0
 + Thời gian cần thiết để nhận ra lợi tức đầu tư của dự án
- Vấn đề về nhân sự: phải đảm bảo có được một đội ngũ nhân viên có kinh
nghiệm, nếu không thì phải dành thời gian huấn luyện hoặc tiến hành thuê
ngoài.
- Vấn đề mua sắm: ràng buộc đối với việc lựa chọn thiết bị và dịch vụ =>
kiểm soát tổn thất do lạm dụng.
- Vấn đề về tính khả thi về mặt tổ chức: phải có khả năng thích ứng với
những thay đổi (về công nghệ, về nhân sự) => Thời gian tối ưu cho việc
huấn luyện thường là 1-3 tuần trước khi chính sách và công nghệ đưa vào
hoạt động.
- Vấn đề về huấn luyện và truyền đạt:
- Vấn đề về phạm vi: phạm vi phải càng nhỏ càng tốt vì:
+ Những thách thức sẽ gặp phải khi phải xử lý nhiều nhiệm vụ phức tạp
cùng một lúc
+ Giới hạn phạm vi dự án trong một tập hợp các nhiệm vụ có thể quản lý
được, không có nghĩa là dự án chỉ nên cho phép thay đổi một thành phần tại
một thời điểm.
3. Nhu cầu quản lý dự án:
Hầu hết các dự án ATTT đều yêu cầu người quản lý dự án được đào tạo –
một CISO (chief executive security officer) hoặc một nhà quản lý CNTT có
kỹ năng được đào tạo các kỹ thuật về quản lý dự án.
a. Giám sát việc thực hiện:
- Lựa chọn 1 chuyên gia từ cộng đồng quản lý chung
- Giải pháp thay thế là một giám đốc CNTT cấp cao hoặc CIO
- Giải pháp tốt nhất: lựa chọn một người phù hợp từ cộng đồng quan tâm đến
ATTT.
b. Hoàn thành kế hoạch:
Được quản lý bằng cách sử dụng quy trình được gọi là “phân tích thiếu sót
nhằm đảm bảo tiến độ được đo lường định kì”. Và khi sai lệch đáng kể xảy
ra thì hành động khắc phục sẽ được thực hiện.
Người quản lý dự án có thể điều chỉnh một trong ba thông số lập kế hoạch sau
nhằm giúp nhiệm vụ được khắc phục:
- Nỗ lực và tài chính được phân bổ
- Thời gian đã trôi qua hoặc tác động lên lịch trình
- Chất lượng hoặc số lượng của kế quả

0 0
 c. Kết thúc dự án:
Là một nhiệm vụ mang tính thủ tục và dô người quản lý CNTT hoặc an ninh thông
tin cấp trung.
Những người quản lý này sẽ thu thập tài liệu, hoàn thành báo cáo tình trạng và đưa
ra một báo cáo cuối cùng kèm theo bài thuyết trình tại cuộc họp tổng kết.
Mục tiêu của kết thúc dự án: giải quyết mọi vấn đề đang xử lý; đánh giá nỗ lực
tổng thể của dự án và đưa ra kết luận về cách cải thiện quy trình cho tương lai.
III. Các khía cạnh KỸ THUẬT IV. Các khía cạnh PHI KỸ
của việc thực hiện THUẬT của việc thực hiện
1. Những chiến lược thay đổi: 1. Văn hóa quản trị thay đổi
- Chuyển đổi trực tiếp Mô hình thay đổi Lewin – mô hình
- Chuyển đổi từng phần thay đổi lâu đời nhất, bao gồm 3 giai
- Chuyển đổi thí điểm đoạn:
- Vận hành song song Phá vỡ thói quen hiện tại
Thay đổi sang trạng thái mới
Thiết lập thói quen mới
2. Mô hình bull’s eye 2. Cân nhắc thay đổi về mặt tổ chức
Giải quyết từ tổng quát đến chi tiết và a. Giảm sự chống đối ngay từ đầu:
trọng tâm là các giải pháp mang tính hệ cải thiện sự tương tác giữa các thành
thống thay vì riêng lẻ. viên và sự tương tác này có thể cải
Cách tiếp cận dựa trên quy trình đánh thiện thông qua một quy trình 3 bước:
giá kế hoạch dự án theo 4 lớp (từ ngoài - Giao tiếp
vào trong): - Cập nhật và huấn luyện nhân
Chính sách viên chính xác những thay đổi
Hệ thống mạng được đề xuất ảnh hưởng đến họ
Hệ thống như thế nào
Ứng dụng - Cho nhân viên tham gia vào kế
hoạch dự án

b. Phát triển văn hóa hỗ trợ thay

đổi: cần phải biết rằng sự thay đổi là
một phần cần thiết của văn hóa tổ chức
và việc chấp nhận sự thay đổi sẽ hiệu
quả hơn là né tránh nó.
3. Thuê ngoài
4. Quản trị công nghệ và kiểm
soát thay đổi

0 0
CHƯƠNG 7. VẤN ĐỀ NHÂN SỰ TRONG THỰC HIỆN AN TOÀN THÔNG
TIN
I. Định vị và cung cấp nhân sự cho vị trí ATTT:
Đối với doanh nghiệp có qui mô lớn thì cơ cấu tổ chức có ngụ ý là bộ phận CNTT
(IT department) do CIO/Vice President for IT phụ trách là riêng biệt nhưng phù
hợp trên tổng thể so với bộ phận ATTT (Information security department) do
CISO/CSO phụ trách.
1. Vị trí ATTT có thể được tổ trực ở nhiều vị trí khác nhau và trực thuộc
các chức năng sau:
- CNTT (IT) => Bộ phận ATTT có vị trị ngang với bộ phận “mạng”, “Phát
triển ứng dụng” và “hỗ trợ khách hàng” (information desk)
- An toàn vật lý (Physical security) => Bộ phận ATTT có vị trí ngang với bộ
phận “an toàn thông tin” hoặc “dịch vụ bảo vệ”
- Dịch vụ quản lý (Administrative service) => Bộ phận ATTT có vị trí ngang
với bộ phận “Nhân sự” hoặc “Mua hàng”.
- Đảm bảo và quản lý rủi ro (Insurance and risk management)
- Bộ phận pháp lý (The legal department)
 Thiết kế vị trí ATTT cần cân bằng được các nhu cầu cạnh tranh của từng
nhóm lợi ích liên quan (3 nhóm lợi ích là ATTT, CNTT và quản lý chung)
2. Các vị trí trong chức năng ATTT của doanh nghiệp
Nghiên cứu của Schwartz, Erwin, Weafer và Briney (p 588) chỉ ra các vị trí ATTT
được chia thành 3 phạm vi:
- Định nghĩa chương trình ATTT (Define)
- Xây dựng chương trình ATTT (Build)
- Quản trị hệ thống kiểm soát và chương trình ATTT (Administer)
Theo cách định vị trên thì các chức năng quan trọng gồm:
Giám đốc ATTT = Chief Information Security Officer (CISO)

0 0
Là lãnh đạo cao nhất của bộ phận ATTT; KHÔNG phải cấp điều hành DN; thường
báo cáo TRỰC TIẾP cho giám đốc CNTT (CIO/VP for IT)
Chức năng: gồm 7 chức năng chính
Giám đốc an ninh = Chieft Security Officer (CSO)
Là người chịu trách nhiệm tập trung cho an ninh về mặt vật lý, bảo vệ cơ sở hạ
tầng vật lý, tòa nhà, văn phòng kinh doanh.
Phải có đủ năng lực và hiểu biết về yêu cầu bảo mật thông tin và phương pháp bảo
vệ cơ sở hạ tầng vật chất, tòa nhà, khuôn viên,...
Quản lý an ninh = Security Manager
Là người có trách nhiệm cho hoạt động hàng ngày của chương trình ANTT
Có thể báo cáo cho CISO và CSO
Yêu cầu năng lực của Quản lý an ninh gồm 5 yêu cầu
Phân tích viên an ninh (Security Analyst)
Có thể là kỹ thuật viên an ninh (security technicians)/ kiến trúc sư an ninh/ kỹ sư
an ninh có kiến thức tốt
Được xem như là vị trí cấp bậc thấp (an entry-level position)
Nhiệm vụ: gồm 2 nhiệm vụ chính
Tuyển dụng nhân sự cho chức năng ATTT
Để có thể thiết lập các phương pháp tuyển dụng nhân sự tốt, cần yêu cầu cho:
- Nhóm quản lý chung
- Những người quản lý cấp cao
- Nhóm CNTT và quản lý chung
Các chất lượng và yêu cầu với ứng viên tuyển dụng vào vị trí ATTT gồm 9 cách
Hiểu
Những lời khuyên cho người làm ATTT chuyên nghiệp: 7 lời khuyên
- Luôn nhớ kinh doanh trước công nghệ
- Công nghệ có thể cung cấp giải pháp tốt cho một số vấn đề nhưng cũng có
thể làm trầm trọng thêm vấn đề khác

0 0
 - Nghề ATTT là bảo vệ thông tin và nguồn lực hệ thống thông tin của tổ chức
- An toàn thông tin cần minh bạch với người sử dụng
- Biết nhiều, nói ít
- Hãy sử dụng ngôn ngữ của người sử dụng khi trao đổi vấn đề
- Luôn học hỏi và tự đào tạo kiến thức mới

II. Chính sách nhân sự và thực hành tuyển dụng:

Mục tiêu: tích hợp quy trình ATTT vào tuyển dụng nhân sự và quản lý nhân viên.
Qui trình và các hoạt động cần thực hiện:
- Mô tả công việc
- Phỏng vấn
- Kiểm tra lý lịch (background check)
- Ký hợp đồng (hợp đồng ATTT) tuyển dụng
- Định hướng nghề nghiệp
- Huấn luyện an ninh gắn với công việc
- Đánh giá thành quả
- Chấm dứt làm việc tại công ty

III.Các cân nhắc về an toàn đối với những người không phải nhân viên
của công ty:
- Nhóm nhân viên tạm thời
- Nhóm nhân viên hợp đồng
- Đối tác kinh doanh

IV. Các chiến lược kiểm soát nội bộ trong kiểm soát nhân sự:
- Phân chia trách nhiệm
- Kiểm soát kép (two-person control/double check)
- Luân chuyển công việc (job/task rotation)
- Thực hiện kỳ nghỉ bắt buộc với nhân viên
- Giới hạn mức độ và phạm vi truy cập thông tin cần thiết cho công việc
(need to know/ least privilege)
- Đối với những vị trí lao động có thông tin đặc biệt hay rất quan trọng có
tính độc quyền (yêu cầu (1) chính sách về vườn – garden leave hoặc (2) yêu

0 0
 cầu ko được làm cho đối thủ cạnh tranh trong khoảng thời gian bao lâu sau
nghỉ việc)
- Quyền riêng tư và bảo mật dữ liệu nhân sự

CHƯƠNG 8. DUY TRÌ AN TOÀN THÔNG TIN

I. Giới thiệu
Môi trường thay đổi (Môi trường bên trong và bên ngoài) => Nguy cơ thay đổi =>
ATTT thay đổi
Cần đảm bảo rằng chương trình ATTT đang đáp ứng những thay đổi => Áp dụng
mô hình duy tri an ninh thông tin gồm
- NIST SP 800-100 Sổ tay an toàn Thông tin: Hướng dẫn cho Nhà quản lý
- Mô hình duy trì an toàn thông tin
II. NIST SP 800-100 Sổ tay an toàn Thông tin: Hướng dẫn cho Nhà
quản lý đề cập đến 13 lĩnh vực ATTT
1. Quản trị ATTT
Một chương trình quản trị ATTT cần được xem xét liên tục nên tổ chức cần giám
sát trạng thái của các chương trình nhằm đảm bảo 3 mục tiêu chính.
Các hoạt động chính đang diễn ra có thể hỗ trợ việc giám sát và cải thiện hoạt động
quản trị thông tin gồm:
- Lập kế hoạch và đo lường các mốc quan trọng (POA và Ms)
- Đo lường và các chỉ số
- Đánh giá liên tục (CA)
- Quản lý cấu hình (MA)
- Giám sát hệ thống mạng
- Thống kê sự cố và sự kiện
2. Chu kỳ phát triển hệ thống (SDLC)
SP 800-64 Rev.2 (Security Considerations in the Information System Development
Life Cycle) trình bày khuôn mẫu kết hợp an toàn vào tất cả giai đoạn của SDLC.

0 0
Các hoạt động bảo mật thông tin đang diễn ra trong SDLC trong năm giai đoạn bao
gồm:
a. Giai đoạn khởi tạo:
- Xác định nhu cầu
- Phân loại an toàn (tài sản)
- Đánh giá sơ lược rủi ro
b. Giai đoạn phát triển/mua sắm:
- Phân tích/phát triển các yêu cầu
- Đánh giá rủi ro
- Xem xét và lập báo cáo chi phí
- Lập kế hoạch an toàn
- Phát triển kiểm soát an toàn
- Kiếm tra/đánh giá an toàn được phát triển
- Các thành phần lập kế hoạch khác
c. Giai đoạn triển khai:
- Đánh giá và kiểm tra an toàn
- Kiểm duyệt và chấp nhận
- Tích hợp/cài đặt hệ thống
- Chứng thực an toàn
- Công nhận an toàn
d. Giai đoạn thực hiện/duy trì:
- Kiểm soát và quản lý cấu hình
- Giám sát liên tục
e. Giai đoạn loại bỏ
- Bảo quản thông tin
- “Vệ sinh” các thiết bị lưu trữ (xóa, ghi đè, hủy)
- Loại bỏ phần cứng và phần mềm
Quản lý cấu hình và quản lý sự thay đổi (CCM/CM)
3. Nhận thức và huấn luyện
Các quy trình phải được thực hiện để giám sát sự tuân thủ và hiệu quả
Có thể thiết kế hệ thống theo dõi tự động
4. Lên kế hoạch vốn và kiểm soát đầu tư

0 0
Nguồn lực bị hạn chế => Các phòng ban phải phân bổ nguồn vốn sẵn có cho các
khoản đầu tư ATTT ưu tiên => Cần lập kế hoạch vốn doanh nghiệp và kiểm soát
đầu tư (CPIC)
NIST SP 800-65 giới thiệu 7 bước về trình tự ưu tiên (tài chính) các hoạt động an
toàn và khắc phục:
- Xác định đường cơ sở
- Xác định các yêu cầu ưu tiên
- Xác định ưu tiên ở cấp độ doanh nghiệp
- Xác định ưu tiên ở cấp độ hệ thống
- Thiết lập các tài liệu hỗ trợ
- Thành lập ủy ban kiểm tra đầu tư (IRB) và quản lý danh mục đầu tư
- Gửi các giấy tờ cần thiết để phê duyệt ngân sách
5. Các hệ thống kết nối
Có 3 lý do và 2 rủi ro trong việc kết nối giữa các hệ thống
NIST SP 800-47 trình bày chi tiết cách tiếp cận quản lý chu kỳ gồm 4 giai đoạn:
- Lập kế hoạch kết nối
- Thiết lập kết nối
- Duy trì kết nối
- Ngắt kết nối
Các tổ chức có nhu cầu kết nối nhiều hệ thống với nhau cần ký 1 thỏa thuận bảo
mật kết nối (ISA)
6. Đo lường kết quả
Chương trình đo lường thành quả hoạt động mang lại nhiều lợi ích về tài chính và
quản trị cho tổ chức.
Chương trình quản lý thành quả thông tin điển hình bao gồm 4 thành phần phụ
thuộc lẫn nhau:
- Sự hỗ trợ của NQT cấp cao
- Các chính sách và thủ tục an toàn
- Đo lường thành quả định lượng
- Phân tích
Ngoài ra chương trình đo lường thành quả gồm 6 giai đoạn:

0 0
Prepare for Data Collection -> Collect Data and Analyze Results -> Identify
corrective actions -> Develop business case -> Obtain resources -> Apply
corrective actions
Tổ chức có thể sử dụng “đường cơ sở hiệu suất (performance baseline)” để làm
thang đo lường.
7. Lập kế hoạch an toàn
- SP 800-100
- FIPS 200
- SP 800-53
- NIST SP 800-18 Rev. 1
8. Lập kế hoạch dự phòng CNTT:
Bao gồm quy trình phục hồi và lập tài liệu về các thủ tục thực hiện khôi phục
9. Quản lý rủi ro
Mục tiêu chính: bảo vệ tổ chức và khả năng thực hiện sứ mệnh của tổ chức
10.Chứng nhận, công nhận và đánh giá an toàn
Quá trình trên được thiết kế để đảm bảo 2 vấn đề.
Chương trình giám sát hữu hiệu bao gồm:
- Quản lý cấu hình và quy trình kiểm soát cấu hình
- Phân tích tác động an toàn về những thay đổi đối với hệ thống thông tin
- Đánh giá các kiểm soát an toàn đã chọn trong hệ thống thông tin và báo cáo
tình trạng an toàn của hệ thống.

11.Mua sản phẩm và dịch vụ an ninh

Các nguyên tắc quản lý rủi ro nên được áp dụng
Nên thực hiện việc phân tích lợi ích – chi phí.
12.Ứng phó sự cố
Cần xác định rủi ro và giảm thiểu rủi ro xuống mức chấp nhận được
Phân tích xu hướng của các sự cố an toàn máy tính trong quá khứ và xác định cách
thức hiệu quả để đối phó

0 0
Bộ phận trợ giúp phải được đào tạo để phân biệt sự cố an toàn với các sự cố hệ
thống khác.
13.Cấu hình và quản lý sự thay đổi
Quản lý cấu hình là việc xác định, kiểm kê và lập tài liệu về hệ thống thông tin
hiện tại, bao gồm: phần cứng, phần mềm và mạng
Quản lý thay đổi đề cập đến việc giải quyết các sửa đổi đối với cấu hình
III. Mô hình duy trì an toàn:
Được khuyến nghị dựa trên 5 lĩnh vực
1. Giám sát môi trường bên ngoài
Tập trung vào việc đánh giá các nguy cơ bên ngoài đối với tài sản thông tin của tổ
chức
Mục tiêu: cung cấp nhận thức sớm về các nguy cơ mới và đang nổi lên, các tác
nhân đe dọa, điểm yếu tiềm ẩn và các cuộc tấn công để tổ chức có thể xây dựng 1
biện pháp phòng thủ hữu hiệu và kịp thời.
2. Giám sát môi trường bên trong
Thành phần này tập trung vào việc xác định, đánh giá và quản lý cấu hình và trạng
thái của tài sản thông tin trong tổ chức.
Mục tiêu: nhận thức đầy đủ về trạng thái của hệ thống mạng, HTTT và các biện
pháp bảo vệ an toàn thông tin của tổ chức
Nhận thức trên cần phải được truyền đạt và lập thành văn bản
3. Lập kế hoạch và đánh giá rủi ro
Thành phần này tập trung vào việc xác định và lập kế hoạch cho các hoạt động
ATTT đang diễn ra và xác định và quản lý các rủi ro được đưa ra thông qua dự án
ATTT CNTT
Mục tiêu: theo dõi toàn bộ chương trình ATTT bằng cách xác định và lập kế hoạch
cho các hoạt động ATTT đang diễn ra nhằm giảm thiểu rủi ro hơn nữa.
4. Đánh giá và khắc phục điểm yếu tiềm ẩn
Thành phần này tập trung vào việc xác định các điểm yếu tiềm ẩn cụ thể, được tài
liệu hóa và khắc phục chúng kịp thời

0 0
 5. Sẵn sàng và kiểm tra
Giữ cho chương trình ATTT hoạt động như được thiết kế và cải tiến nó liên tục
theo thời gian.

TRẮC NGHIỆM
1. Để bảo vệ thông tin của tổ chức thì cần làm gì?
a. Biết các cuộc tấn công mà tổ chức đang đối mặt
b. Hiểu rõ vể bản thân của tổ chức
c. Bảo quản thông tin
d. Giấu thông tin

2. Hệ thống thông tin của một tổ chức phụ thuộc

vào Sự vận hành thành công của nhiều hệ thống hỗ trợ phụ thuộc
lẫn nhau, gồm lưới điện, mạng dữ liệu và viễn thông, phụ tùng, nhà
cung cấp dịch vụ, thậm chí cả nhân viên vệ sinh.
Sự triển khai Sự thiết kế

3. Hành vi sao chép, cài đặt hoặc phân phối trái phép phần mềm máy
tính có bản quyền là
a. Bảo vệ bản quyền
b. Ăn cắp bản quyền
c. Thay đổi quyền phần mềm
d. Chiếm đoạt bản quyền

4. Digital watermark là một số cơ chế kỹ thuật có thể được áp dụng

để:
a. Đánh giá tài sản
b. Chiếm đoạt thông tin
c. Bảo vệ bản quyền
d. Lưu trữ dữ liệu

0 0
5. Việc truy cập thông tin nhạy cảm, thường xảy ra tại các thiết bị
đầu cuối máy tính, bàn làm việc, máy ATM, trên xe bus, máy bay, tàu
điện ngầm – nơi mọi người sử dụng điện thoại thông minh, hoặc
những nơi nhân viên có thể truy cập thông tin bí mật là:
a. Cạnh tranh thông tin
b. Cạnh tranh bình đẳng
c. Shoulder surfing
d. Truy cập thông tin

6. Vì sao nhà quản lý cần phải triển khai các kiểm soát để hạn chế
thiệt hại, chuẩn bị các kế hoạch dự phòng để tiếp tục hoạt động bình
thường
a. Công ty có nhiều nguồn lực tài chính
b. Công ty không thể tránh được các loại nguy cơ từ thiên nhiên
c. Đó là chiến lược của công ty
d. Đó là yêu cầu của HĐ quản trị
7. Kẻ tấn công cài phần mềm độc hại vào hệ thống máy chủ nhằm từ
chối quyền truy cập của người dùng, sau đó đề nghị cung cấp mã
khóa để cho phép truy cập lại hệ thống và dữ liệu của người dùng với
một khoản phí thuộc về nguy cơ
a. Tống tiền
b. Cưỡng đoạt thông tin
c. Mailware
d. Ransomware

8. Hacker chỉ tấn công vì mục đích chính trị là một trong các hình
thức phá hoại trực tuyến, được gọi là
a. Jailbreaking
b. Script kiddies
c. Breaking up
d. Hacktivist

9. Back doors là
a. Tấn công từ chối dịch vụ
b. Tấn công phủ đầu
c. Kiểu tấn công có chủ đích bằng phần mềm
d. Một kiểu tấn công vật lý

10. Malware được thiết kế để làm hỏng, phá hủy hoặc từ chối dịch vụ

0 0
cho các hệ thống mục tiêu.
a. Đúng
b. Sai

11. Matching các nội dung sau đây cho hợp lý

Bots → Công nghệ thường được dùng để triển khai Trojan horse, Back
doors,
Spyware → Phần mềm gián điệp được đặt trên máy tính để thu thập
thông tin về người dùng,
Adware → Phần mềm độc hại với mục đích cung cấp tiếp thị và quảng
cáo không mong muốn

12. Câu phát biểu nào sau đây Đúng?

a. Các dạng tấn công sử dụng mã độc gồm: viruses, sâu, Trojan horses
và các tập lệnh Web được kích hoạt với mục đích phá hủy hoặc đánh
cắp thông tin.
b. Spam là email thương mại mong muốn của người dùng
c. Mail bombing là một hình thức tấn công thư điện tử tương tự back
doors
d. Một trong những phương thức lây truyền virus phổ biến nhất là qua
email

13. Packet sniffer, Spoofing, Pharming, Man-in-the-middle là các kỹ

thuật trong
a. Tấn công chặn liên lạc
b. Tấn công mục tiêu
c. Tấn công xóa thông tin
d. Tấn công từ chối dịch vụ

14. Sự chuyển hướng của lưu lượng truy cập Web hợp pháp đến một
trang Web bất hợp pháp với mục đích lấy thông tin cá nhân là kỹ
thuật
a. Mass mail
b. Pharming
c. Spoofing
d. Packet sniffer

15. Câu phát nào sau đây không Đúng?

a. Một số lỗi và lỗi phát triển phần mềm dẫn đến phần mềm có thể triển

0 0
khai theo cách an toàn.
b. Trộm cắp là việc chiếm đoạt bất hợp pháp tài sản của người khác.
c. Nguy cơ lỗi phần cứng xảy ra khi nhà sản xuất phân phối cho người
dùng thiết bị có chứa một lỗi đã biết hoặc chưa biết.
d. Khi cơ sở hạ tầng trở nên lạc hậu dẫn đến các hệ thống không đáng
tin cậy.

16. Vì sao các chuyên gia CNTT đóng vai trò lớn trong việc xác định
khi nào hệ thống/ công nghệ lỗi thời?
a. Họ có nhiều trình độ và kinh nghiệm
b. Giúp ít tốn chi phí hơn khi thay thế hệ thống mới
c. Họ là người quản lý hệ thống
d. Giúp hệ thống hoạt động nhanh hơn

17. Hành vi trộm cắp vật lý các tài sản hữu hình dễ bị phát hiện và có
thể được kiểm soát dễ dàng bằng nhiều cách nào:
a. Nhân viên an ninh
b. Hệ thống cảnh báo
c. Khóa cửa
d. Cả 3 đều đúng

18. Các cuộc tấn công trong đó một người chặn luồng liên lạc và tự
chèn mình vào cuộc trò chuyện để thuyết phục mỗi bên rằng anh ta
là đối tác hợp pháp là kỹ thuật
a. Back doors
b. Man-in-the-middle
c. Pharming
d. Spam

19. Mục tiêu của tấn công từ chối dịch vụ (DoS) là:
a) Cấm người dùng hợp pháp truy cập vào các hệ thống đó
b) Phá hủy tài sản hoặc làm hỏng hình ảnh của tổ chức
c) Đòi tiền chuộc
d) Chiếm đoạt tiền của công ty

20. Câu phát biểu nào sau đây Đúng?

a. Social Engineering là một dạng của tấn công mật khẩu
b. Lội sai sót của nhân viên là hành vi được thực hiện có chủ đích hoặc
mục đích xấu

0 0
c. Sai lầm của con người nếu vô hại có thể không gây ra thiệt hại lớn
d. Khủng bố mạng và chiến tranh mạng thì không phải là phá hoại

0 0