Khung kiểm tra

Các topic theo slide:
Lập kế hoạch
Chính sách ATTT
Phát triển chương trình đảm bảo ATTT
Mô hình quản lý attt
Xử lý sự cố (xem trong bài giảng)

(từ chương 1-6)

1. lập kế hoạch

Các chương

Slide:

• Chương 1,2,3: lập kế hoạch

Cheatsheet lần 1

Prompt

Cheatsheet

1. Vị trí của "Lập kế hoạch"

• "Lập kế hoạch" là một trong sáu đặc điểm trọng tâm (sáu chữ P) của môn học Quản lý An toàn Thông tin, cùng với:
  • Chính sách,
  • Các chương trình,
  • Sự bảo vệ,
  • Con người và
  • Quản lý dự án.

2. Vai trò của Lập kế hoạch

• Các cơ quan/tổ chức thành công đều sử dụng kế hoạch.
• Lập kế hoạch cung cấp định hướng cho tương lai của tổ chức.
• Nếu không có kế hoạch cụ thể và chi tiết, các đơn vị thành viên sẽ làm việc độc lập, dẫn đến sử dụng tài nguyên kém hiệu quả.
• Lập kế hoạch liên quan đến nhiều yếu tố: Nhân viên, Ban quản lý, Cổ đông, Các bên liên quan bên ngoài, Môi trường vật lý/công nghệ, Môi trường chính trị/luật pháp, Môi trường cạnh tranh.
• Với những giới hạn về nguồn nhân lực và tài chính, lập kế hoạch tốt cho phép tổ chức tận dụng tối đa các tài nguyên hiện có.

3. Các cấp độ Lập kế hoạch

• Lập kế hoạch chiến lược (Strategic Planning):
  • Định hướng lâu dài.
  • Hướng dẫn các nỗ lực của tổ chức.
  • Bao gồm: Tầm nhìn chiến lược, Tuyên bố sứ mệnh, Chiến lược, Kế hoạch phối hợp cho các đơn vị con.
  • Chuyển đổi từ các mục tiêu chung sang các mục tiêu cụ thể.
  • Quản trị an toàn thông tin là một trách nhiệm hoạch định chiến lược.
• Lập kế hoạch sách lược (Tactical Planning):
  • Trọng tâm ngắn hạn hơn (thường 1-3 năm).
  • Chia nhỏ mục tiêu chiến lược thành các mục tiêu gia tăng (cụ thể và ngắn hạn).
  • Lập ngân sách, phân bổ nguồn lực và nhân sự là thành phần quan trọng.
• Kế hoạch hoạt động (Operational Planning):
  • Sử dụng cho việc thực hiện nhiệm vụ hàng ngày.
  • Bắt nguồn từ kế hoạch sách lược.
  • Bao gồm các hoạt động phối hợp, ranh giới bộ phận, yêu cầu truyền thông, báo cáo tiến độ,....
  • Thiết kế để phản ánh cơ cấu tổ chức.

4. Các bước/yếu tố cần thiết trước khi Lập kế hoạch

• Tuyên bố giá trị.
• Thiết lập các nguyên tắc tổ chức.
• Tầm nhìn chiến lược: Tổ chức muốn trở thành gì.
• Tuyên bố sứ mệnh: Tổ chức làm gì và cho ai.
• Các yếu tố này cung cấp nền tảng cho việc lập kế hoạch.

5. Lập kế hoạch trong Chu trình phát triển hệ thống an ninh (SecSDLC)

• SecSDLC là phương pháp luận để thiết kế/triển khai hệ thống thông tin an ninh.
• Giai đoạn Điều tra (Investigation):
  • Bắt đầu với chỉ thị quản lý, xác định mục đích, kết quả, ngân sách.
  • Phân tích tính khả thi: Xác định nguồn lực và cam kết để thực hiện phân tích/thiết kế bảo mật.
  • Chuẩn bị phân tích các chính sách/chương trình bảo mật hiện có, mối đe dọa đã biết và biện pháp kiểm soát.
  • Phân tích vấn đề pháp lý liên quan.
• Giai đoạn Phân tích (Analysis):
  • Phân tích các chính sách/chương trình hiện có, mối đe dọa, kiểm soát, vấn đề pháp lý.
  • Bao gồm Quản lý rủi ro: Xác định/đánh giá giá trị tài sản thông tin, chỉ định xếp hạng rủi ro.
• Giai đoạn Thiết kế (Design):
  • Tạo và phát triển kế hoạch chi tiết về bảo mật.
  • Kiểm tra và thực hiện các chính sách chính.
  • Đánh giá công nghệ cần thiết.
  • Tạo giải pháp thay thế, thống nhất thiết kế cuối cùng.
  • Có thể sử dụng các mô hình bảo mật để hướng dẫn.
  • Bao gồm thiết kế an toàn vật lý.
• Giai đoạn Thực hiện (Implementation):
  • Mua sắm, thử nghiệm, triển khai giải pháp bảo mật.
  • Đánh giá vấn đề nhân sự, thực hiện chương trình đào tạo/giáo dục.
• Giai đoạn Bảo trì (Maintenance):
  • Chương trình phải hoạt động, được quản lý đúng cách và kịp thời (cập nhật).
  • Nếu không thích ứng với thay đổi, chu trình có thể cần bắt đầu lại.
  • Bao gồm giám sát, lập kế hoạch/đánh giá rủi ro, đánh giá/khắc phục lỗ hổng, kiểm tra sẵn sàng.

6. Lập kế hoạch trong Quản lý rủi ro

• Phân tích rủi ro giúp quản lý xây dựng ngân sách và phát triển các chính sách an toàn định hướng hoạt động an ninh.
• Lập kế hoạch tốt là một trong những nhiệm vụ chính của quản lý rủi ro.

7. Lập kế hoạch dự phòng (Contingency Planning - CP)

• CP thảo luận về nhu cầu lập kế hoạch đối phó với các sự kiện đe dọa đến an toàn tài nguyên/tài sản thông tin.
• Các thành phần chính: Ứng phó sự cố (Incident Response - IR), Phục hồi sau thảm họa (Disaster Recovery - DR), Tiếp tục kinh doanh (Business Continuity - BC).
• Các bước xây dựng tài liệu CP:
  1. Xây dựng tuyên bố chính sách CP.
  2. Tiến hành Phân tích tác động kinh doanh (Business Impact Analysis - BIA). BIA xác định tài nguyên quan trọng, mối đe dọa, xác suất và tác động; ưu tiên nguồn lực CP.
  3. Xác định các biện pháp kiểm soát phòng ngừa.
  4. Phát triển các chiến lược phục hồi.
  5. Xây dựng kế hoạch CP CNTT.
  6. Lập kế hoạch kiểm tra, đào tạo và bài tập. Diễn tập/kiểm thử giúp phát hiện vấn đề, đào tạo nhân sự và chứng minh khả năng phục hồi.
  7. Lập kế hoạch bảo trì. Kế hoạch cần được cập nhật thường xuyên do thay đổi công nghệ, nhân sự, cơ cấu tổ chức,....

8. Xây dựng Kế hoạch Duy trì hoạt động (một phần của BCP)

• Bao gồm 4 bước chính:
  1. Lập kế hoạch và phạm vi dự án: Phân tích hoạt động tổ chức, xây dựng nhóm làm việc (bao gồm các phòng ban cốt lõi, hỗ trợ, CNTT, pháp lý), đánh giá tài nguyên, phân tích yếu tố pháp lý.
  2. Đánh giá tác động tới công việc (BIA): (Như đã nêu ở mục 7).
  3. Lập kế hoạch duy trì hoạt động (BCP Development): Thiết kế quy trình/cơ chế giảm thiểu rủi ro, bảo vệ con người, phương tiện, cơ sở hạ tầng.
  4. Phê chuẩn và triển khai (Approval and Implementation): Đạt được sự phê chuẩn của quản lý cấp cao, phổ biến kế hoạch, đào tạo nhân sự, thực hiện các bài kiểm tra/diễn tập.

9. Tích hợp Lập kế hoạch với Quản lý thay đổi

• Tích hợp các kế hoạch dự phòng vào quy trình quản lý sự thay đổi là cách đơn giản, tiết kiệm chi phí và hiệu quả để giữ kế hoạch được cập nhật.

10. Cân bằng và Hiệu quả

• Cần cân bằng giữa nhu cầu đảm bảo an toàn cho tài nguyên thông tin và việc thực hiện các hoạt động bình thường của cơ quan/tổ chức.
• Việc xây dựng kế hoạch cần cân bằng giữa lợi ích thu về và chi phí bỏ ra.
• Lập kế hoạch hiệu quả đòi hỏi điều chỉnh chức năng an ninh/an toàn phù hợp với mục tiêu, nhiệm vụ, kết quả và chiến lược của cơ quan/tổ chức, các ràng buộc về kinh phí và nguồn lực.
• Các biện pháp bảo đảm an toàn phải hỗ trợ các chức năng của hệ thống để công việc được thực hiện đầy đủ, không chỉ giới hạn truy cập. Đồng thời, cần thuận tiện và dễ hiểu cho người dùng.

2. Chính sách ATTT

Các chương

Slide:

• Chương 4.

Cheatsheet lần 1

Prompt

cheatsheet

1. Giới thiệu và Tầm quan trọng

• Chính sách ATTT là nền tảng thiết yếu cho một chương trình ATTT hiệu quả.
• Sự thành công của chương trình bảo vệ tài nguyên thông tin phụ thuộc vào chính sách được tạo ra và thái độ của ban điều hành đối với việc bảo mật thông tin.
• Chính sách là một tuyên bố chính thức về triết lý quản lý của tổ chức.
• Chính sách là một kế hoạch hoặc quá trình hoạt động nhằm tác động và xác định các quyết định, hành động và các vấn đề khác.
• Chương này trình bày các yêu cầu cơ bản về các chính sách ATTT của cơ quan hay tổ chức.
• Các chính sách này một mặt thể hiện mục tiêu mà cơ quan hay tổ chức cần đạt được, mặt khác chúng chứng tỏ sự tuân thủ với các quy định pháp luật cũng như sự đóng góp với xã hội và đối tác về việc đảm bảo ATTT.
• Cần sự hỗ trợ và cam kết từ quản lý cấp cao để chính sách có hiệu lực.

2. Tại sao cần Chính sách ATTT?

• Cung cấp cấu trúc tại nơi làm việc, giải thích ý niệm của lãnh đạo về việc kiểm soát hành vi của nhân viên liên quan đến tài nguyên thông tin.
• Tạo ra một môi trường làm việc năng suất và hiệu quả, không có những phiền nhiễu không cần thiết và các hành động không phù hợp.
• Cho phép chương trình ATTT hoạt động gần như liền mạch trong nơi làm việc.
• Phác thảo một cách khái quát các mục tiêu và thực tiễn an ninh cần được sử dụng để bảo vệ lợi ích quan trọng của cơ quan/tổ chức.
• Được sử dụng để phân công trách nhiệm, xác định vai trò, chỉ định các yêu cầu kiểm toán, phác thảo quy trình thực thi.
• Bồi thường cho tổ chức về trách nhiệm pháp lý đối với việc sử dụng hệ thống không phù hợp hoặc bất hợp pháp của nhân viên.
• Có tính chất phòng ngừa.

3. Quan hệ giữa Chính sách, Tiêu chuẩn, Thủ tục và Hướng dẫn

• Chính sách: Lớp ngoài cùng, thể hiện ý chí của ban quản lý, hướng dẫn hành vi người dùng. Được phê duyệt bởi quản lý cấp cao.
• Tiêu chuẩn: Những tuyên bố chi tiết về việc phải làm gì để tuân thủ chính sách. Được xây dựng dựa trên chính sách và mang giá trị của chính sách. Là một cách để thực hiện chính sách. Thường xác định yêu cầu tối thiểu nhưng có thể rất chi tiết. Bắt buộc và phải được thực thi.
• Thông lệ, Thủ tục và Hướng dẫn: Bao gồm các bước chi tiết cần thiết để đáp ứng yêu cầu của tiêu chuẩn.
  • Thủ tục: Danh sách các bước cụ thể để hoàn thành mục tiêu. Đủ chi tiết. Cách để bảo vệ tài nguyên. Chỉ định cấu trúc thực thi chính sách.
  • Hướng dẫn: Các khuyến nghị cho người dùng khi tiêu chuẩn cụ thể không áp dụng. Về bản chất nên được giải thích và không yêu cầu tuân thủ khắt khe về từ ngữ. Có thể thay đổi thường xuyên hơn chính sách và tiêu chuẩn.
• Mô hình Bulls-eye: Bắt đầu từ chính sách (lớp ngoài cùng), chuyển sang mạng, hệ thống, ứng dụng (lớp trong cùng).
• Tiêu chuẩn hỗ trợ và định hướng cho việc xây dựng chính sách.

4. Các Loại Chính sách An toàn Thông tin

• Chính sách Bảo vệ Thông tin Doanh nghiệp (EISP - Enterprise Information Security Policy):
  • Tài liệu cấp điều hành, do giám đốc ATTT ban hành.
  • Tổng quan về triết lý của tổ chức về an ninh.
  • Thông tin về vai trò của tổ chức với InfoSec (trách nhiệm chung và cụ thể).
  • Làm cho chính sách chung của công ty dễ hiểu hơn.
  • Bao gồm mục đích, xác định các thành phần bảo mật quan trọng (bí mật, toàn vẹn, sẵn dùng), chứng minh sự cần thiết của chương trình bảo mật, vai trò/trách nhiệm nhân sự, liệt kê các chính sách/tiêu chuẩn liên quan khác.
• Chính sách Bảo mật cho từng vấn đề cụ thể (ISSP - Issue-Specific Security Policy):
  • Cung cấp hướng dẫn chi tiết, có mục tiêu cho việc sử dụng tài nguyên.
  • Nhằm bảo vệ cả nhân viên và tổ chức, giảm thiểu trách nhiệm pháp lý.
  • Ví dụ: chính sách sử dụng Internet, email, thiết bị di động, làm việc từ xa, mạng không dây,.....
  • Thành phần: Mục đích (ai, gì, công nghệ nào), Các hành vi được phép (ai, mục đích, sử dụng hợp lý), Các hành vi bị cấm (hành vi/công nghệ bị cấm), Quản lý hệ thống (trách nhiệm người dùng/quản lý), Vi phạm chính sách (hình phạt), Rà soát và sửa đổi (thủ tục/thời gian biểu xem xét), Giới hạn trách nhiệm pháp lý (tuyên bố từ chối trách nhiệm của tổ chức).
  • Cách triển khai: Độc lập (cho từng vấn đề - Ưu: phân công rõ ràng, chuyên môn hóa; Nhược: phân tán, khó phổ biến/thực thi), Toàn diện (một tài liệu chung - Ưu: kiểm soát tập trung, phạm vi đầy đủ; Nhược: tổng quát quá mức, bỏ sót chi tiết, người viết kém chuyên môn), Mô-đun (kết hợp - Ưu: cân bằng, kiểm soát tốt, chuyên môn hóa; Nhược: chi phí cao, triển khai khó quản lý).
• Chính sách Bảo mật hệ thống cụ thể (SysSP - System-Specific Security Policy):
  • Áp dụng cho các hệ thống cụ thể.
  • Thường hoạt động như các tiêu chuẩn hoặc thủ tục khi định cấu hình hoặc bảo trì hệ thống.
  • Hai nhóm:
    • Hướng dẫn quản lý SysSPs: Ban quản lý tạo ra để hướng dẫn việc triển khai và cấu hình công nghệ, giải quyết hành vi nhân viên nhằm hỗ trợ bảo mật. Áp dụng cho bất kỳ công nghệ nào ảnh hưởng đến bí mật, toàn vẹn, sẵn có của thông tin.
    • Thông số kỹ thuật SysSPs: Chi tiết kỹ thuật cho hệ thống, ví dụ: Danh sách kiểm soát truy cập (ACL) quy định ai, gì, khi nào, ở đâu, cách nào có thể truy cập hệ thống và các quyền (đọc, ghi, thực thi, xóa). Quy tắc cấu hình là mã hướng dẫn thực thi hệ thống.

5. Các Yêu cầu cơ bản để Chính sách Hiệu quả

• Phổ biến (Disseminated): Mọi người có thể đọc và xem xét.
• Đánh giá (Read) & Hiểu (Understood): Tài liệu dễ hiểu. Cần xem xét rào cản ngôn ngữ, đọc viết.
• Tuân thủ (Complied with): Nhân viên tuân thủ bằng hành động hoặc cam kết.
• Thực thi thống nhất (Consistently Enforced): Áp dụng và thực thi nhất quán. Chính sách không có khả năng thực thi sẽ không được tuân thủ.

6. Quy trình Phát triển Chính sách

• Nên xem là một dự án gồm 2 phần: Thiết kế/phát triển và Củng cố quy trình quản lý để duy trì.
• Cần kế hoạch tốt, được cấp vốn hợp lý, được quản lý sát sao.
• Có thể xây dựng theo mô hình SecSDLC:
  • Điều tra: Hỗ trợ quản lý cấp cao, mục tiêu rõ ràng, quản lý đủ năng lực, phác thảo phạm vi dự án, ước tính chi phí/lịch trình.
  • Phân tích: Đánh giá rủi ro mới, tổng hợp tài liệu tham khảo (chính sách hiện có).
  • Thiết kế: Lập kế hoạch phân phối và xác minh việc phân phối.
  • Thực hiện: Viết chính sách, phân bổ.
  • Bảo trì: Giám sát, duy trì, sửa đổi, cơ chế báo cáo/rà soát tích hợp.
• Phương pháp của NIST (SP 800-18 Rev 1) củng cố cách tiếp cận lấy quy trình kinh doanh làm trung tâm, xem chính sách là tài liệu sống.

7. Duy trì Chính sách

• Chính sách là tài liệu sống.
• Cần có các thủ tục và thời gian biểu để xem xét định kỳ.
• Yêu cầu để duy trì chính sách: Một cá nhân chịu trách nhiệm, lịch trình đánh giá, phương pháp đề xuất sửa đổi, dấu hiệu chính sách và ngày sửa đổi.
• Quản lý và kiểm soát thay đổi có thể dẫn đến lỗ hổng nếu không được xử lý đúng cách.

8. Liên hệ với Luật pháp và Quy định

• Các yêu cầu và ràng buộc về mặt pháp luật, xã hội tác động đến việc đề ra các chính sách ATTT.
• Chính sách an toàn cần nhất quán với luật pháp, quy định.
• Các lĩnh vực chịu tác động của luật pháp: sử dụng/trao đổi dữ liệu, sử dụng máy tính, thông tin cá nhân/tổ chức, thương mại điện tử, ngân hàng điện tử, bản quyền, khủng bố.
• Luật CNTT, Luật An ninh mạng quy định về trách nhiệm, hành vi bị cấm, biện pháp bảo vệ.
• Các yêu cầu pháp lý liên quan đến hoạt động mạng bao gồm phân loại thông tin bí mật, quy định xử lý thông tin, ghi log truy nhập, quản lý gửi thông tin (không giả mạo nguồn gốc, thông tin thương mại cần sự đồng ý).
• Nhà nước xác định các trọng tâm quản lý phát triển mạng/ứng dụng bao gồm hoàn thiện cơ sở pháp lý (ban hành văn bản quy phạm pháp luật), khuyến nghị triển khai hệ thống phòng thủ theo tiêu chuẩn, rà soát lỗ hổng, tăng cường kiểm soát truy nhập, đánh giá rủi ro.
• Tuân thủ các tiêu chuẩn (thường bắt nguồn từ quy định pháp luật hoặc thực tiễn được chấp nhận rộng rãi) là cần thiết để tăng sự thu hút với thị trường.

3. Phát triển chương trình đảm bảo ATTT

Các chương

Slide:

• Chương 5

Cheatsheet lần 1

Prompt

cheatsheet

1. Giới thiệu về Chương trình Đảm bảo ATTT

• Khái niệm: Chương trình đảm bảo an toàn thông tin được sử dụng để mô tả cấu trúc và nỗ lực phòng chống rủi ro đối với tài sản thông tin của tổ chức.
• Chương trình an toàn (security program) của cơ quan/tổ chức không được xây dựng từ chân không mà là một hệ thống (framework) gồm nhiều thực thể: các cơ chế bảo vệ, chính sách, tiêu chuẩn, thủ tục, hướng dẫn và các thông lệ.
• Việc quản lý an toàn thông tin là một trách nhiệm hoạch định chiến lược. Khi các chương trình an toàn được thiết kế và quản lý như một chuyên môn kỹ thuật trong bộ phận CNTT, chúng ít có hiệu quả hơn. Cần có cái nhìn rộng hơn bao gồm tất cả tài sản thông tin của tổ chức.

2. Các yếu tố ảnh hưởng đến Chương trình Đảm bảo ATTT

Có rất nhiều thứ ảnh hưởng đến việc xây dựng chương trình đảm bảo ATTT:

• Văn hóa tổ chức.
• Ngân sách: Gồm ngân sách nhân sự, ngân sách vốn và chi phí. Ngân sách của chương trình bảo mật phải phù hợp với tổng ngân sách của tổ chức.
  • Các tổ chức càng lớn thì chương trình bảo mật càng lớn và ngược lại.
  • Ngân sách cho bảo mật chiếm khoảng 5% tổng ngân sách IT ở doanh nghiệp lớn và khoảng 11% tổng ngân sách IT ở doanh nghiệp trung bình.
• Quy mô công ty:
  • Khi quy mô tăng, bộ phận an ninh có thể không theo kịp những cơ sở hạ tầng phức tạp.
  • Doanh nghiệp lớn: Trưởng phòng ATTT (CISO) chịu trách nhiệm. Việc có nhân viên an ninh toàn thời gian phụ thuộc vào độ nhạy cảm thông tin, quy định ngành, lợi nhuận, ràng buộc ngân sách. Tiếp cận hợp lý hơn, kết hợp kế hoạch và chính sách vào văn hóa doanh nghiệp. Có thể phân tách chức năng thành 4 lĩnh vực (phi kỹ thuật ngoài IT, nhóm IT ngoài InfoSec, InfoSec chiều sâu/dịch vụ khách hàng, InfoSec chiều sâu/bắt buộc).
  • Doanh nghiệp trung bình: Có xu hướng bỏ qua một số chức năng bảo mật nhưng vẫn có thể triển khai phương pháp bảo mật nhiều tầng.
  • Doanh nghiệp nhỏ: Mô hình đơn giản, tập trung vào CNTT. Ngân sách không cân xứng. Các chính sách mang tính hình thức. Thường thuê ngoài các chức năng. Mối đe dọa nội bộ ít hơn do quen biết.
• Quan điểm của quản lý cấp cao (tích cực hay tiêu cực) ảnh hưởng tới việc hỗ trợ, duy trì và mở rộng chương trình bảo mật về nhiều mặt (nhân lực, ngân sách,...).

3. Vị trí của An toàn Thông tin trong Tổ chức (Mô hình Báo cáo)

• Trong các tổ chức lớn, bộ phận bảo mật thường nằm trong bộ phận CNTT đứng đầu bởi CISO người báo cáo trực tiếp cho CIO.
• Tuy nhiên, điều này không phải luôn như vậy. Một chương trình bảo mật hoạt động đôi khi có thể gây mâu thuẫn với mục tiêu ngắn hạn hoặc dài hạn của bộ phận CNTT.
• Các mô hình báo cáo phổ biến:
  • Báo cáo cho CIO: Phổ biến, nhưng có thể có mâu thuẫn lợi ích.
  • Báo cáo cho CEO: Đề xuất cho những tổ chức kinh doanh trên Internet hoặc các công ty thẻ tín dụng. Cung cấp quan điểm bảo vệ lâu dài và giảm chi phí.
  • Báo cáo cho bộ phận Bảo mật/Phòng An ninh: Tăng khả năng trao đổi giữa những người cùng quan điểm bảo mật.
  • Báo cáo cho bộ phận Chiến lược và Kế hoạch: Nhấn mạnh nhu cầu về tài liệu an ninh (chính sách, tiêu chuẩn, thủ tục,...). Truyền đạt rằng InfoSec là vấn đề quản lý và con người, không chỉ là vấn đề công nghệ. Nhược điểm: có thể không được chú ý bởi phó chủ tịch chiến lược và kế hoạch.
  • Các lựa chọn khác: Trong phòng pháp lý, phòng kiểm toán nội bộ, bộ phận trợ giúp, phòng kế toán/tài chính, bộ phận nhân sự, bộ phận quản lý cơ sở vật chất, hướng tiếp cận hoạt động.

4. Các thành phần của Chương trình Bảo mật

• Nhu cầu bảo mật thông tin của tổ chức phải phù hợp với văn hóa, quy mô và ngân sách.
• Mức độ hoạt động của chương trình ATTT phụ thuộc vào kế hoạch chiến lược, tầm nhìn và sứ mệnh của tổ chức. CIO và CISO nên sử dụng tầm nhìn/sứ mệnh để xây dựng báo cáo sứ mệnh cho chương trình ATTT.
• NIST SP 800-12 và SP 800-14 đưa ra các yếu tố thiết yếu và các thành phần của chương trình ATTT.
• Các thành phần bao gồm:
  • Chính sách: Chính sách chương trình (EISP), chính sách cụ thể về vấn đề (ISSP), chính sách cụ thể của hệ thống (SysSP).
  • Quản lý chương trình: Chương trình an ninh trung tâm, chương trình cấp hệ thống.
  • Nhận thức và đào tạo (SETA): Các kế hoạch SETA, các dự án nâng cao nhận thức và đào tạo về chính sách và thủ tục.
  • Cân nhắc về bảo mật trong hỗ trợ và hoạt động của máy tính: Tích hợp help desk, bảo vệ chống lại kỹ thuật xã hội, cải thiện quản trị hệ thống.
  • An ninh vật lý và môi trường: Bảo vệ, cổng, khóa, chuông báo động.
  • Nhận dạng và xác thực: Nhận dạng, xác thực, mật khẩu, xác thực nâng cao.
  • Kiểm soát truy cập logic: Tiêu chí truy cập, cơ chế kiểm soát truy cập.
  • Kiểm toán truy vết: Log hệ thống, quy trình xem xét log, hợp nhất và quản lý log.
  • Mật mã học: TKI, VPN, quản lý khóa và khôi phục khóa.

5. Vai trò và Chức danh của ATTT trong Chương trình

• Các vị trí bảo mật thông tin có thể chia làm 3 loại:
  • Để định nghĩa: Cung cấp các chính sách, tiêu chuẩn, hướng dẫn; tư vấn, đánh giá rủi ro.
  • Để xây dựng: Là các kỹ thuật viên, tạo ra và cài đặt các biện pháp bảo mật.
  • Để quản trị: Giám sát và cải tiến các quy trình bảo mật.
• Các chức danh thường dùng: Giám đốc An ninh Thông tin (CISO) / Giám đốc An ninh (CSO), Quản lý bảo mật, Quản trị viên và phân tích bảo mật, Kỹ thuật viên bảo mật, Nhân viên bảo mật, Cố vấn bảo mật, Nhân viên bảo mật/Điều tra viên, Chuyên viên hỗ trợ.

6. Chương trình Giáo dục, Đào tạo và Nhận thức về An ninh (SETA)

• Khái niệm: Là trách nhiệm của CISO, được thiết kế để giảm tỉ lệ vi phạm bảo mật ngẫu nhiên của các thành viên trong tổ chức (nhân viên, nhà thầu, tư vấn, nhà cung cấp, đối tác kinh doanh) tiếp xúc với tài sản thông tin.
• Mục đích: Tăng cường bảo mật theo 3 cách:
  • Xây dựng kiến thức chuyên sâu để thiết kế, triển khai hoặc vận hành chương trình bảo mật.
  • Phát triển kỹ năng và kiến thức để người dùng sử dụng hệ thống CNTT an toàn hơn.
  • Nâng cao nhận thức về sự cần thiết phải bảo vệ tài nguyên hệ thống.
• Lợi ích: Cải thiện hành vi nhân viên, thông báo về hành vi vi phạm chính sách, yêu cầu nhân viên chịu trách nhiệm về hành vi của mình.
• Các yếu tố của chương trình SETA:
  • Giáo dục bảo mật (Security Education): Xây dựng kiến thức chuyên sâu. Xác định vùng kiến thức, thiết kế khóa học, xác định kiến thức tiên quyết.
  • Đào tạo bảo mật (Training): Cung cấp thông tin chi tiết và hướng dẫn thực hành. Có thể tùy chỉnh hoặc thuê ngoài. Các phương pháp đào tạo người dùng: theo nền tảng chức năng (người dùng thường, quản lý, kỹ thuật), theo trình độ kỹ năng (mới, trung cấp, nâng cao). Các kỹ thuật đào tạo khác nhau (One-on-One, CBT).
  • Nhận thức về bảo mật (Awareness): Một trong những phương pháp ít được thực hiện nhưng hiệu quả nhất. Tạo tiền đề cho đào tạo bằng cách thay đổi thái độ để nhận ra tầm quan trọng của an ninh và hậu quả bất lợi khi chương trình an ninh không hiệu quả. Nhắc nhở người dùng về các quy trình cần tuân thủ.
    • Các cách thức thực hành tốt nhất cho Nhận thức: Tập trung vào con người. Không sử dụng thuật ngữ kỹ thuật. Sử dụng mọi địa điểm có sẵn. Xác định mục tiêu học tập, trình bày rõ ràng. Giữ mọi thứ nhẹ nhàng, đừng làm quá tải. Giúp người dùng hiểu vai trò của họ trong InfoSec. Tận dụng phương tiện truyền thông nội bộ. Tạo chương trình chính thức, lập kế hoạch, ghi lại hoạt động. Cung cấp thông tin tốt sớm. InfoSec là vấn đề của mọi người. Sử dụng ngôn ngữ dễ hiểu. Đưa ra quan điểm bản thân, ủng hộ, kết luận. Cho người dùng biết hành vi yêu cầu ảnh hưởng tới họ thế nào. Chính thức hóa phương pháp đào tạo. Luôn có mặt kịp thời.
    • Chương trình nhận thức hiệu quả sửa đổi hành vi nguy hiểm, khiến nhân viên chịu trách nhiệm. Phổ biến và thực thi nhận thức giúp chính sách dễ dàng hơn. Chứng minh sự quan tâm và thẩm định đúng mức giúp tổ chức tránh vụ kiện. Nhận thức có nhiều dạng và phương pháp (poster, bản tin, quà lưu niệm, trang web). Mọi người có xu hướng thích nghi. Trang web nhận thức cần dễ dùng, có phản hồi, quảng bá.

7. Nguyên tắc Cơ bản trong Quản lý An toàn Thông tin (Liên quan đến Phát triển Chương trình)

• Xây dựng các chức năng an toàn hướng tới mục tiêu, nhiệm vụ, kết quả và chiến lược của cơ quan/tổ chức. Điều này bao gồm thiết kế và triển khai an toàn dựa trên nguyên tắc hoạt động/kinh doanh, ràng buộc kinh phí, nguồn lực sẵn có.
• Cách tiếp cận hiệu quả nhất là từ trên xuống (Top-down): Ban lãnh đạo chịu trách nhiệm khởi xướng chính sách. Quản lý hoàn thiện thành hướng dẫn, quy định, thủ tục, tiêu chuẩn. Chuyên viên CNTT và nhân viên quản lý triển khai cấu hình.
• Xây dựng các quy trình tổ chức.
• Xây dựng vai trò và trách nhiệm với an toàn.
• Xây dựng khung kiểm tra/kiểm soát.
• Cần mẫn và cẩn trọng thích đáng. Phải thực hiện một cách có trách nhiệm, cẩn thận, thận trọng và thực tế, cân bằng tính dễ sử dụng với tuân thủ yêu cầu pháp lý và ràng buộc chi phí.

Hy vọng cheatsheet này sẽ giúp bạn hệ thống lại kiến thức cho phần "Phát triển chương trình đảm bảo ATTT". Chúc bạn ôn tập hiệu quả và làm bài tốt sáng mai!

4. Mô hình quản lý attt

Các chương

Slide:

• Chương 6

Cheatsheet lần 1

Prompt

cheatsheet

1. Khái niệm Cơ bản

• Mô hình quản lý ATTT là một phần của bản thiết kế (blueprints) hoặc khuôn mẫu (framework) để tạo và duy trì môi trường an toàn thông tin.
• Nó là cơ sở để thiết kế, lựa chọn và thực hiện các biện pháp kiểm soát an ninh.

2. Mục tiêu của Mô hình Quản lý ATTT

• Mô tả được cốt lõi trong bản thiết kế, chương trình khung và mô hình quản lý ATTT, bao gồm những mô hình được công nhận (ví dụ tại Mỹ).
• Giải thích được tại sao kiểm soát truy cập là một yếu tố thiết yếu của quản lý ATTT.
• Có thể đề xuất mô hình quản lý ATTT và giải thích cách nó có thể được tùy chỉnh để đáp ứng nhu cầu của từng tổ chức cụ thể.

3. Nguyên tắc Cốt lõi (Dựa trên NIST SP 800-14)

• Bảo mật hỗ trợ sứ mệnh của tổ chức.
• An ninh phải có trong quản lý.
• Bảo mật phải phù hợp với chi phí.
• Chủ sở hữu tổ chức phải chịu trách nhiệm bảo mật với bên ngoài.
• Giải trình rõ ràng.
• Bảo mật phải toàn diện, tích hợp.
• Bảo mật nên được đánh giá lại định kỳ.
• An ninh bảo mật bị hạn chế bởi các yếu tố xã hội.

4. Một số Khung/Mô hình được đề cập trong nguồn

• NIST SP 800-14: Đưa ra các nguyên tắc và thực tiễn thường được chấp nhận cho bảo mật hệ thống thông tin.
• COSO: Là một sáng kiến của khu vực tư nhân Hoa Kỳ, tập trung vào kiểm soát nội bộ để giảm gian lận báo cáo tài chính và giúp tuân thủ các quy định như Sarbanes-Oxley. Các thành phần kiểm soát nội bộ theo COSO bao gồm: Môi trường kiểm soát, Đánh giá rủi ro, Hoạt động kiểm soát, Thông tin và liên lạc, Giám sát.
• ITIL: Là một tập hợp các phương pháp và thực hành quản lý sự phát triển và vận hành của cơ sở hạ tầng CNTT. ITIL có thể được điều chỉnh cho phù hợp với nhiều tổ chức CNTT.

5. Lưu ý khi áp dụng Mô hình Quản lý ATTT

• Việc lập kế hoạch quản lý an toàn cần điều chỉnh các chức năng an ninh/an toàn phù hợp với mục tiêu, nhiệm vụ, kết quả và chiến lược của cơ quan/tổ chức. Cách tiếp cận hiệu quả nhất là từ trên xuống (bắt đầu từ lãnh đạo cấp cao).
• Chương trình an toàn (mô hình) không được xây dựng từ chân không mà là một hệ thống (framework) gồm nhiều thực thể phối hợp với nhau (cơ chế bảo vệ, thủ tục, quy trình, con người).
• Cần tùy chỉnh các khía cạnh của khung bảo mật (mô hình) để đảm bảo nó phù hợp với nhu cầu của cơ quan/tổ chức, nếu không sẽ trở thành gánh nặng và tốn kém.
• Quản lý an toàn thông tin là một trách nhiệm hoạch định chiến lược và nên bao gồm tất cả các tài sản thông tin của tổ chức.
• Các tiêu chuẩn an toàn (ví dụ ISO 27000) giúp xây dựng các chương trình an toàn một cách thích đáng và phù hợp, cung cấp phương tiện để giám sát và kết hợp các biện pháp kiểm soát một cách toàn diện.

5. Xử lý sự cố (xem trong bài giảng)

Các chương

Cheatsheet lần 1

Prompt

cheatsheet

Cheatsheet: Xử Lý Sự Cố (Incident Handling)

(Tham khảo Chương 5: Vận hành và sử dụng hệ thống & Chương 6: Duy trì hoạt động và khắc phục sự cố)

1. Khái niệm & Mục tiêu Cơ bản (trong ngữ cảnh Vận hành An toàn)

• Quản lý sự cố (Incident Management) là một phần của việc vận hành an toàn.
• Mục tiêu chính của vận hành an toàn là đảm bảo tính an toàn của tài sản thông tin trong suốt quá trình lưu trữ, trao đổi và xử lý.
• Đảm bảo các hệ thống, ứng dụng và môi trường hoạt động một cách liên tục, chính xác và an toàn.
• Ngăn ngừa các vấn đề định kỳ, giảm hư hỏng.
• Khi có sự cố (vấn đề), bộ phận vận hành cần thực hiện điều tra, chuẩn đoán và đưa ra giải pháp lô-gíc.

2. Yêu cầu về Chính sách và Ủy quyền

• Cần có chính sách chỉ rõ cách xử lý và báo cáo sự cố.
• Chính sách cần ủy quyền rõ ràng cho nhóm ứng phó sự cố.
• Nhóm ứng phó có các đặc quyền đặc biệt trong thời gian xảy ra sự cố (ngăn chặn, xóa, điều tra, khôi phục dịch vụ) mà bình thường họ có thể không được phép làm.
• Các chính sách an toàn cần được xem xét hàng năm để đảm bảo tuân thủ luật pháp và quản trị tổ chức.

3. Các Hoạt động Chính trong Quản lý Sự cố (Theo Mục 5.4)

• Phát hiện và Phân tích (Detection and Analysis):
  • Đây là khía cạnh phức tạp và thường bị bỏ qua; nếu thiếu, kẻ tấn công có thể ẩn mình lâu.
  • Quan sát và phản ứng với các hoạt động đáng ngờ là cần thiết.
  • Sử dụng các công cụ như SIEM (Security Information and Event Management) để giám sát môi trường tập trung.
  • Phân tích các sự kiện và cảnh báo để phát hiện dấu hiệu xâm phạm.
  • Các phương pháp điều tra:
    • Phân tích tĩnh (Static Analysis): Sử dụng công cụ phần mềm để xem phần mềm độc hại mà không thực thi nó.
    • Phân tích động (Dynamic Analysis) / Phân tích hành vi: Thiết lập môi trường thử nghiệm đặc biệt để chạy phần mềm độc hại và ghi lại hành vi, tác động của nó.
• Ngăn chặn và Khôi phục (Containment and Recovery):
  • Mục tiêu: Giảm thiểu tác động của sự cố, giải quyết sự cố một cách hiệu quả nhất.
  • Chiến lược ngăn chặn: Cần được cân nhắc kỹ, dựa trên loại tấn công (bên trong/bên ngoài), tài sản bị ảnh hưởng và mức độ nghiêm trọng. Có thể là chủ động hoặc đối phó.
  • Các biện pháp ngăn chặn:
    • Ngắt kết nối hệ thống bị ảnh hưởng khỏi mạng (có thể gây từ chối dịch vụ).
    • Sử dụng phân đoạn mạng để cô lập hệ thống.
    • Cấu hình lại các thiết bị tại ranh giới (ví dụ: tường lửa).
    • Cân nhắc cài đặt honeypot (bẫy) để cho phép tấn công vào khu vực rủi ro tối thiểu.
  • Khôi phục (Recovery): Sau khi ngăn chặn, cần khắc phục sự cố. Sau khi khắc phục, cần lập hồ sơ, báo cáo và đánh giá hiệu quả của kế hoạch ứng phó.

4. Mối liên hệ với Khắc phục Sự cố/Thảm họa (Incident/Disaster Recovery) (Chương 6)

• Trong khi mục 5.4 tập trung vào xử lý các sự cố an ninh thông thường, Chương 6 mở rộng ra các sự cố lớn hơn (thảm họa thiên tai hay con người) đe dọa hoạt động bình thường.
• Mục tiêu của khắc phục sự cố/thảm họa là giảm thiểu hậu quả và đảm bảo các tài nguyên, nhân lực trở lại hoạt động nhanh chóng.
• Việc lập kế hoạch duy trì hoạt động (BCP) và khắc phục thảm họa (DRP) là cần thiết để ứng phó với các sự kiện nghiêm trọng này.

5. Một số biện pháp cơ bản hạn chế lỗ hổng an toàn khi xử lý sự cố (liên quan đến Vận hành)

• Xử lý sự cố hệ điều hành không ổn định: Khi hệ điều hành không ổn định, luôn phải xem xét có lỗ hổng. Cần xem xét: trình tự khởi động, ghi nhật ký hệ thống đầy đủ, không tắt cưỡng bức, không chuyển hướng đầu ra dữ liệu.
• Kiểm soát dữ liệu vào/ra: Giám sát đầu vào để phát hiện lỗi hay hoạt động bất thường. Dữ liệu vào cần được kiểm tra logic. Dữ liệu đầu ra cần được lưu lại và đóng dấu thời gian.

6. Lưu ý Quan trọng:

• Lưu giữ bằng chứng quan trọng trong quá trình ngăn chặn.
• Tính chất động của các bản ghi log (dễ bị xóa/ghi đè) là một thách thức lớn cho điều tra. Việc lưu giữ log lâu hơn cần cân nhắc thách thức về quyền riêng tư và lưu trữ.

Cheatsheet lần 2

Cheatsheet: Xử Lý Sự Cố (Incident Handling)

(Dựa trên Chương 5: Vận hành và sử dụng hệ thống & Chương 6: Duy trì hoạt động và khắc phục sự cố từ tài liệu)

1. Khái niệm & Mục tiêu Cơ bản

• Quản lý sự cố (Incident Management) là một phần của việc vận hành an toàn.
• Mục tiêu chính của vận hành an toàn là đảm bảo tính an toàn của tài sản thông tin trong suốt quá trình lưu trữ, trao đổi và xử lý.
• Đảm bảo các hệ thống, ứng dụng và môi trường hoạt động một cách liên tục, chính xác và an toàn.
• Ngăn ngừa các vấn đề định kỳ, giảm hư hỏng.
• Khi có sự cố (vấn đề), bộ phận vận hành cần thực hiện điều tra, chuẩn đoán và đưa ra giải pháp lô-gíc.
• Chương 5 trình bày các vấn đề cơ bản với việc quản lý sự cố trong quá trình sử dụng và khai thác hệ thống.
• Chương 6 trình bày kế hoạch đối phó với những tình huống sự cố để khôi phục hệ thống cũng như đảm bảo khả năng hoạt động của hệ thống.

2. Yêu cầu về Chính sách và Ủy quyền

• Cần có chính sách chỉ rõ cách xử lý và báo cáo sự cố.
• Chính sách cần ủy quyền rõ ràng cho nhóm ứng phó sự cố.
• Nhóm ứng phó có các đặc quyền đặc biệt trong thời gian xảy ra sự cố (ngăn chặn, xóa, điều tra, khôi phục dịch vụ), có thể liên quan đến những việc mà bình thường họ có thể không được phép làm.
• Các chính sách an toàn cần được xem xét hàng năm để đảm bảo tuân thủ luật pháp và quản trị tổ chức.
• Thủ tục ứng phó sự cố được nêu trong các thủ tục vận hành.

3. Các Hoạt động Chính trong Quản lý Sự cố (Theo Mục 5.4)

• Phát hiện và Phân tích (Detection and Analysis):
  • Đây là khía cạnh phức tạp và thường bị bỏ qua; nếu thiếu, kẻ tấn công có thể ẩn mình lâu.
  • Quan sát và phản ứng với các hoạt động đáng ngờ là cần thiết.
  • Sử dụng các công cụ như SIEM (Security Information and Event Management) để giám sát môi trường tập trung (từ trung tâm vận hành an ninh).
  • Phân tích các sự kiện và cảnh báo để phát hiện dấu hiệu xâm phạm.
  • SIEM hoạt động như hệ thống cảnh báo sớm, lọc log tìm dấu hiệu xâm phạm dựa trên chữ ký, kinh nghiệm, luật tương quan.
  • Các phương pháp điều tra:
    • Phân tích tĩnh (Static Analysis): Sử dụng công cụ phần mềm để xem phần mềm độc hại mà không thực thi nó.
    • Phân tích động (Dynamic Analysis) / Phân tích hành vi: Thiết lập môi trường thử nghiệm đặc biệt để chạy phần mềm độc hại và ghi lại hành vi, tác động của nó.
• Ngăn chặn và Khôi phục (Containment and Recovery):
  • Mục tiêu: Giảm thiểu tác động của sự cố, giải quyết sự cố một cách hiệu quả nhất.
  • Kế hoạch ngăn chặn được cân nhắc kỹ giúp giảm thiểu tác động.
  • Lưu ý quan trọng: Trong thời gian gấp rút (ví dụ: bùng phát virus), cần đảm bảo không để mất các nguồn bằng chứng quan trọng (ví dụ: bộ nhớ dễ bay hơi).
  • Chiến lược ngăn chặn: Cần được cân nhắc kỹ, dựa trên loại tấn công (bên trong/bên ngoài), tài sản bị ảnh hưởng và mức độ nghiêm trọng. Có thể là chủ động hoặc đối phó.
  • Các biện pháp ngăn chặn:
    • Ngắt kết nối hệ thống bị ảnh hưởng khỏi mạng (có thể gây từ chối dịch vụ).
    • Sử dụng phân đoạn mạng để cô lập hệ thống.
    • Cấu hình lại các thiết bị tại ranh giới (ví dụ: tường lửa).
    • Cân nhắc cài đặt honeypot (bẫy).
  • Khôi phục (Recovery): Sau khi ngăn chặn, cần khắc phục sự cố.
  • Sau khi khắc phục: Cần lập hồ sơ, báo cáo và đánh giá hiệu quả của kế hoạch ứng phó. Các loại báo cáo có thể gồm nhật ký phân tích, báo cáo kết thúc phân tích, định lượng hiệu quả từng giai đoạn.

4. Mối liên hệ với Duy trì Hoạt Động & Khắc phục Sự cố/Thảm họa (Business Continuity & Disaster Recovery) (Chương 6)

• Trong khi mục 5.4 tập trung vào xử lý các sự cố an ninh thông thường, Chương 6 mở rộng ra các sự cố lớn hơn (thảm họa thiên tai hay con người) đe dọa hoạt động bình thường.
• Mục tiêu của khắc phục sự cố/thảm họa là giảm thiểu hậu quả và đảm bảo các tài nguyên, nhân lực trở lại hoạt động nhanh chóng.
• Việc lập kế hoạch duy trì hoạt động (BCP) và khắc phục thảm họa (DRP) là cần thiết để ứng phó với các sự kiện nghiêm trọng này.
• Quản lý khủng hoảng bao gồm thủ tục phục hồi được kiểm tra thành công và định kỳ.
• Quy trình BCP/DRP bao gồm: Phân tích có tổ chức, xây dựng nhóm, đánh giá tài nguyên, phân tích yếu tố quy định/luật pháp.
• Đánh giá tác động kinh doanh (BIA) xác định tài nguyên quan trọng và mối đe dọa.
• Các kế hoạch cần được đào tạo và kiểm thử/diễn tập.
• Các dạng kiểm thử: Kiểm thử danh mục, kiểm thử giả định (walk-through), kiểm thử giả lập (simulation), kiểm thử song song, kiểm thử gián đoạn toàn bộ.
• Các kế hoạch cần được cập nhật thường xuyên, nên tích hợp vào quy trình quản lý thay đổi.

5. Một số biện pháp cơ bản liên quan đến Vận hành An toàn & Xử lý Sự cố

• Xử lý sự cố hệ điều hành không ổn định: Khi hệ điều hành không ổn định, luôn phải xem xét có lỗ hổng. Cần xem xét và thực hiện: trình tự khởi động, ghi nhật ký hệ thống đầy đủ, không tắt cưỡng bức, không chuyển hướng đầu ra dữ liệu.
• Kiểm soát dữ liệu vào/ra: Đầu vào cần được giám sát lỗi và hoạt động đáng ngờ. Đầu vào cần được kiểm tra logic. Đầu ra cần được lưu lại và đóng dấu thời gian.
• Log và Kiểm toán: Ghi log các sự kiện chính. Bảo mật các file log. Sao lưu và phân tích log thường xuyên. Xem xét kỹ lưỡng nhật ký hệ thống giúp xác định vi phạm chính sách hoặc mất thông tin. Tính chất động của log (dễ bị xóa/ghi đè) là thách thức. Lưu log lâu hơn đặt ra thách thức về quyền riêng tư và lưu trữ.

6. Vai trò Nhân sự liên quan:

• Nhóm ứng phó sự cố: Được ủy quyền đặc biệt trong sự cố.
• Kỹ thuật viên an ninh: Có kỹ năng chuẩn đoán và khắc phục sự cố.
• Quản lý vận hành CNTT: Giám sát an toàn (phát hiện sự vụ), ứng phó sự vụ (phản ứng thích đáng theo thủ tục), quản lý khủng hoảng (thủ tục phục hồi được kiểm tra).