Chương 6.

Pháp luật & chính sách an

toàn thông tin

K.CNTT
GV: VŨ QUỐC HƯNG
EMAIL: HUNGVQ@VAA.EDU.VN
 NỘI DUNG CHÍNH
• Luật An Ninh Mạng
• Các khung làm việc (Framework) liên quan đến Bảo Mật & An Toàn Thông Tin
• Các chính sách về An Toàn Thông Tin
• Đạo đức trong An ninh mạng

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 LUẬT AN NINH MẠNG
• https://vanban.chinhphu.vn/?
pageid=27160&docid=206114
• https://
vksndtc.gov.vn/tin-tuc/tin-tong-hop/mot-so-noi-dung-
co-ban-cua-luat-an-ninh-mang-d8-t1219.html?Page=2
6#new-related

• Tổng hợp 25 câu hỏi tìm hiểu Luật An ninh mạng

năm 2018  https://
camhung.camxuyen.hatinh.gov.vn/vi/news/tuyen-truyen-va-pho-bien-phap-luat/tong-hop-25-cau-hoi-tim-hieu-lu
GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin
 LUẬT AN NINH MẠNG

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 https://
bocongan.gov.vn/giao-duc-pho-bien-phap-luat/hoi-dap/Pages
LUẬT SỐ 24/2018/QH14 CỦA
QUỐC HỘI: LUẬT AN NINH
/home.aspx?ItemID=19

Các hành vi bị nghiêm cấm về an ninh mạng

MẠNG

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 https://

INFORMATION SECURITY FRAMEWORK

www.connectwise.com/blog/cybersecurity/11-best-cybersecurity-framewo
rks

• ISO 27000 series

• NIST
• HIPAA
• PCI DSS
• GDPR
• COBIT
• FERPA
• GLBA
GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin
 • https://www.controlcase.com/courses/one-audit-
bootcamp/?utm_term=&utm_campaign=Remarketing+-
+OAB&utm_source=google&utm_medium=cpc&hsa_
acc=5046975321&hsa_cam=18794115029&hsa_grp=
&hsa_ad=&hsa_src=&hsa_tgt=&hsa_kw=&hsa_mt=&
hsa_net=adwords&hsa_ver=3&gad_source=1&gclid=C
jwKCAjwrvyxBhAbEiwAEg_KgjEBVBisnCyDv2BGv
fmcsroHEz7y_-5w6aal8TwYVvXdVQKMsGBfuxoC3-
sQAvD_BwE
GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin
 https://
vietnamese.opswat.com/blog/cybersecurity-complia
CÁC QUY ĐỊNH VÀ TIÊU CHUẨN CHÍNH
nce
VỀ TUÂN THỦ AN NINH MẠNG
(THEO ĐỊA LÝ)

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 HOA KỲ
• HIPAA (Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế)
– Luật liên bang Hoa Kỳ này bảo vệ thông tin nhạy cảm liên quan đến sức khỏe. Các thực thể truyền thông tin sức khỏe điện tử cho các giao dịch cụ thể phải tuân thủ các tiêu chuẩn về quyền riêng tư của HIPAA. Các tổ chức phải thực hiện các biện pháp bảo mật mạnh mẽ, bao gồm mã hóa, kiểm
soát truy cập, đánh giá rủi ro thường xuyên, đào tạo nhân viên và áp dụng các chính sách và thủ tục bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin sức khỏe được bảo vệ (PHI).

• PCI-DSS (Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán)
– Một yêu cầu phi liên bang nhằm bảo mật dữ liệu thẻ tín dụng. PCI-DSS áp dụng cho tất cả các thương nhân xử lý thông tin thanh toán, bất kể khối lượng giao dịch hoặc thẻ được xử lý hàng tháng. Các tổ chức cần thực hiện các biện pháp bảo mật mạng mạnh mẽ, bao gồm phân đoạn mạng,
đánh giá lỗ hổng thường xuyên, sử dụng thực tiễn mã hóa an toàn, mã hóa dữ liệu chủ thẻ và kiểm soát truy cập nghiêm ngặt để bảo vệ thông tin thẻ thanh toán và duy trì môi trường an toàn cho dữ liệu chủ thẻ.

• CCPA (Đạo luật về quyền riêng tư của người tiêu dùng California)
– Luật cụ thể của tiểu bang này ở Hoa Kỳ cho phép người tiêu dùng kiểm soát nhiều hơn thông tin cá nhân mà các doanh nghiệp thu thập về họ. Nó bao gồm quyền được biết, quyền xóa và quyền từ chối bán thông tin cá nhân. Các tổ chức nên thực hiện các biện pháp như phân loại dữ liệu, kiểm
soát truy cập, mã hóa, kế hoạch ứng phó vi phạm dữ liệu và đánh giá bảo mật thường xuyên để bảo vệ thông tin cá nhân của người tiêu dùng và đảm bảo quyền riêng tư và bảo mật của thông tin đó.

• FISMA (Đạo luật quản lý bảo mật thông tin liên bang)
– Quản lý các hệ thống liên bang Hoa Kỳ bảo vệ thông tin, hoạt động và tài sản an ninh quốc gia khỏi các vi phạm tiềm ẩn. FISMA phác thảo các yêu cầu bảo mật tối thiểu để ngăn chặn các mối đe dọa đối với hệ thống cơ quan cấp quốc gia. Các tổ chức phải thực hiện các biện pháp kiểm soát an
ninh mạng, bao gồm đánh giá rủi ro, giám sát liên tục, kế hoạch ứng phó sự cố, đào tạo nâng cao nhận thức bảo mật và tuân thủ các tiêu chuẩn và hướng dẫn của NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia), để bảo vệ hệ thống thông tin liên bang và đảm bảo tính bảo mật, toàn vẹn và sẵn có
của dữ liệu nhạy cảm.

• SOX (Đạo luật Sarbanes-Oxley)

– Luật liên bang Hoa Kỳ này yêu cầu tất cả các công ty giao dịch công khai phải thiết lập các biện pháp kiểm soát nội bộ và thủ tục báo cáo tài chính để giảm gian lận của công ty. Các tổ chức nên thiết lập và duy trì kiểm soát nội bộ mạnh mẽ, bao gồm kiểm soát truy cập, các biện pháp bảo vệ dữ
liệu, kiểm toán thường xuyên và giám sát các hệ thống và quy trình tài chính, để bảo vệ dữ liệu tài chính và ngăn chặn các hoạt động gian lận có thể ảnh hưởng đến báo cáo tài chính.

• FERPA (Đạo luật về Quyền riêng tư và Quyền Giáo dục Gia đình)
– Luật liên bang Hoa Kỳ này bảo vệ quyền riêng tư của hồ sơ giáo dục học sinh. Các tổ chức giáo dục phải thực hiện các biện pháp bảo mật thích hợp như mã hóa dữ liệu, kiểm soát truy cập, xác thực người dùng, sao lưu dữ liệu thường xuyên và đào tạo nhân viên để bảo vệ hồ sơ giáo dục của
học sinh và đảm bảo tính bảo mật và riêng tư của thông tin nhận dạng cá nhân (PII).

• GLBA (Đạo luật Gramm-Leach-Bliley)

– Còn được gọi là Đạo luật Hiện đại hóa Dịch vụ Tài chính năm 1999, GLBA yêu cầu các tổ chức tài chính giải thích các hoạt động chia sẻ thông tin của họ cho khách hàng và bảo vệ dữ liệu nhạy cảm. Các tổ chức tài chính phải thực hiện các biện pháp an ninh mạng mạnh mẽ như mã hóa, kiểm
soát truy cập, đánh giá rủi ro thường xuyên, đào tạo nhân viên và kế hoạch ứng phó sự cố để bảo vệ thông tin cá nhân không công khai (NPI) của khách hàng và duy trì tính bảo mật và toàn vẹn của dữ liệu tài chính nhạy cảm.

• NERC (Tổng công ty độ tin cậy điện Bắc Mỹ)

GV: Vũ Quốc Hưng
– – An Toàn
Tổng&công
BảotyMật Thông
độ tin Tin Bắc Mỹ (NERC) cơ sở hạ tầng trọng yếu Bảo vệ (CIP) là một bộ tiêu chuẩn an ninh mạng được thiết kế để đảm bảo tính bảo mật và độ tin cậy của hệ thống điện số lượng lớn (BPS) ở Bắc Mỹ. Các công ty tiện ích điện phải thực hiện các biện pháp kiểm soát an ninh
cậy điện
mạng mạnh mẽ, bao gồm phân đoạn mạng, kiểm soát truy cập, hệ thống phát hiện xâm nhập, kế hoạch ứng phó sự cố và kiểm tra an ninh thường xuyên, để bảo vệ cơ sở hạ tầng trọng yếu, đảm bảo độ tin cậy của lưới điện và bảo vệ chống lại các mối đe dọa và lỗ hổng trên mạng.
 SIEM CASE STUDY
• Các trường hợp sử dụng tuân thủ SIEM hàng đầu: GD
PR, PCI DDS, ISO, v.v. (stellarcyber.ai
)

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 FERPA
FAMILY EDUCATIONAL RIGHTS AND PRIVACY ACT
• https://www2.ed.gov/policy/gen/guid/fpco/ferpa/index.html

https://
www.seattleschools.org/wp-content/uploads/2022/06/SPS-
2022-FERPA-PreK-8-VietnameseADA.pdf

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 • Rủi ro mất cắp dữ liệu (vnexpress.net)

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 • https://
vietnambiz.vn/lo-dien-nguoi-dung-dau-nhom-phat-tan
-ma-doc-tung-gay-te-liet-he-thong-vndirect-20245915
171032.htm

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 https://antoanthongtin.edu.vn/2023/07/24/nist-s
ecurity-framework THE NIST CYBERSECURITY
/
FRAMEWORK (CSF) 2.0
The NIST Cybersecurity Framework (CSF) 2.0 provides guidance to
Adobe Acrobat INDUSTRY, GOVERNMENT AGENCIES, and other ORGANIZATIONS
Document
The NIST to manage cybersecurity risks.
Cybersecurity
Framework (CSF) 2.0

Adobe Acrobat
Document

NIST Ransomware Risk

Management_ Khuyến Nghị
phòng chống ransomware_
Framework, Kiến trúc, Giải
pháp và Dịch vụ
GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin
 NIST V1.1
& NIST V2.0

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 SO SÁNH

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 ETHICAL PRINCIPLES
IN SECURITY

- Dùng để chế tài các vi phạm (VD:

Phạt..)
- Ngăn ngừa các vi phạm
GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin
 • https://baovephapluat.vn/cai-cach-tu-phap/thuc-tien-
kinh-nghiem/nhung-bai-hoc-kinh-nghiem-trong-dieu-
tra-xet-xu-vu-an-lien-quan-den-toi-pham-cong-nghe-
cao-149814.html

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 • https://baothanhhoa.vn/14-hanh-vi-vi-pham-luat-an-
ninh-mang-de-mac-phai-130499.htm

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 • Dùng mã độc chiếm 25.000 tài khoản Facebook giá trị
cao – VnExpress

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 • Chiêu chiếm đoạt tài khoản Facebook đi lừa của
nhóm hacker – VnExpress

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 QUẢN LÝ RỦI RO AN TOÀN
THÔNG TIN Microsoft Word
97 - 2003 Document

QUẢN LÝ RỦI RO AN TOÀN THÔNG TIN

• TCVN ISO/IEC XXXX:2012
• ISO/IEC 27005:2011

RISK MANAGEMENT/RESPONSE

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 RISK RESPONSE
• NIST SP 800-39, Managing
Information Security Risk:
Organization, Mission, and
Information System View
https://nvlpubs.nist.gov/nistpubs/Leg
acy/SP/nistspecialpublication800-39.
pdf

• NIST SP 800-137 Information

Security Continuous Monitoring
(ISCM) for Federal Information
Systems and Organizations https://
nvlpubs.nist.gov/nistpubs/Legacy/
SP/nistspecialpublication800-137.
pdf

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 RISK RESPONSE

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

https://
knowledge.sapp.edu.vn/knowledge/chapter-4-chi%E1%BA%BF
n-l%C6%B0%E1%BB%A3c-gi%E1%BA%A3m-thi%E1%BB%83u-r
%E1%BB%A7i-ro
RISK RESPONSE

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 RISK RESPONSE

• https://
bshc.com.vn/en/ca-nhan/cyberguard-bao-hiem-rui-ro-t
ren-khong-gian-mang

• https://
www.chubb.com/vn-vn/business/cyber-insurance.html

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 Adobe Acrobat
Document

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 DISASTER RECOVERY PLAN

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 ÔN TẬP CHƯƠNG 6
Tham
khảo
Theo bạn , trong các phát biểu sau, phát biểu nào sau không phải là mục đích chính của khung bảo mật
A. Bảo vệ các cá nhân cụ thể
B. Xác định điểm yếu về bảo mật
C. Liên kết bảo mật với mục tiêu kinh doanh
D. Bảo mật thông tin tài chính

Theo bạn , trong các thành phần sau, thành phần nào là thành phần cốt lõi của khung bảo mật?
• 1. Giám sát và truyền đạt kết quả
• 2. Thực hiện các quy trình bảo mật
• 3. Quản lý yêu cầu dữ liệu
• 4. Thiết lập các biện pháp tuân thủ quy định

A. 1 và 2
B. 2 và 3
C. 3 và 4
D. 4 và 1

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 ÔN TẬP CHƯƠNG 6 Tham
khảo
Bạn thân của Bạn là chuyên gia an ninh làm việc cho một cơ
Theo bạn, nguyên tắc đạo đức của liên quan đến việc bảo
quan quản lý xe cơ giới của thành phố, nơi lưu trữ số nhận
vệ cơ sở dữ liệu của công ty chứa thông tin nhạy cảm về nhân viên.
dạng quốc gia và thông tin ngân hàng của người lái xe.
Nguyên tắc đạo đức nào liên quan đến việc tuân thủ các quy A. Trung thực
tắc nhằm bảo vệ những loại dữ liệu này? B. Truy cập không hạn chế
A. Hướng dẫn C. Bảo vệ quyền riêng tư
B. Những hạn chế D. Không thiên vị
C. Pháp luật
D. Đạo đức
Một chuyên gia bảo mật đang cập nhật phần mềm trên máy tính
của đồng nghiệp và tình cờ nhìn thấy một email nhạy cảm của một
nhân viên khác. Người này chọn tuân theo các nguyên tắc của công
Theo bạn, nguyên tắc đạo đức nào mô tả việc bảo vệ thông tin
ty liên quan đến bảo vệ quyền riêng tư và không chia sẻ thông tin
cá nhân khỏi việc sử dụng trái phép?
với đồng nghiệp. Điều này mô tả khái niệm nào trong An Toàn
A. Bảo vệ quyền riêng tư Thông Tin?
B. Trung thực A. Kiểm soát an ninh
C. Không thiên vị B. Bảo quản bằng chứng
D. Điều tra tai nạn C. Xâm phạm email doanh nghiệp
D. Đạo đức bảo mật

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 ÔN TẬP CHƯƠNG 6
Theo bạn, trong các giả thuyết sau đây, một kẻ đe dọa nguy hiểm nhất là vì chúng thường biết nơi tìm thông tin nhạy
cảm, có thể truy cập thông tin đó và có thể có mục đích xấu.
A. Nhân viên không hài lòng
B. Khách hàng không hài lòng
C. Đối tác cấp cao
D. Nhà cung cấp trước đây

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin

 ÔN TẬP CHƯƠNG 6
Theo bạn, trong các đạo luật sau đây, đạo luật nào bảo Theo bạn, một khi công ty mua bảo hiểm cho hệ thống thông tin,
vệ thông tin cá nhân của học sinh trong trường học? đây là chiến lược giảm thiểu rủi ro nào?
A. HIPPA A. Chuyển giao rủi ro
Tham
B. FERPA Tham B. Giảm rủi ro
khảo
C. CIPA khảo C. Chấp nhận rủi ro
D. COPPA D. Tránh rủi ro

Theo bạn trong các đạo luật sau đây, đạo luật nào bảo vệ quyền
riêng tư về thông tin cá nhân của nhân viên khỏi bị chia sẻ với
bên thứ ba? Tham
A. FIRPA khảo
B. SOX
C. GLBA
D. PCI DSS

GV: Vũ Quốc Hưng – An Toàn & Bảo Mật Thông Tin