ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN QUỲNH DƯƠNG

NGHIÊN CỨU GIẢI PHÁP,
QUY TRÌNH QUẢN LÝ, ĐÁNH GIÁ RỦI RO AN TỒN
CÁC HỆ THỐNG THƠNG TIN VÀ ỨNG DỤNG

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Người hướng dẫn khoa học: TS PHÙNG VĂN ỔN

Hà Nội - 2020


LỜI CAM ĐOAN
Tơi xin cam đoan đây là cơng trình nghiên cứu của tôi. Các nội dung
nêu trong luận văn là kết quả làm việc của tôi và chưa được cơng bố trong bất
cứ một cơng trình nào khác./.
Hà Nội, ngày

tháng 5 năm 2020

Tác giả luận văn

Nguyễn Quỳnh Dương

XÁC NHÂN CỦA

XÁC NHẬN CỦA

NGƯỜI HƯỚNG DẪN KHOA HỌC

CHỦ NHIỆM KHOA CNTT

TS. PHÙNG VĂN ỔN

1


LỜI CẢM ƠN
Trước tiên em xin bày tỏ lịng kính trọng và biết ơn sâu sắc đến Thầy
giáo, TS. PHÙNG VĂN ỔN - người hướng dẫn luận văn, đã tạo mọi điều
kiện động viên và giúp đỡ em trong suốt q trình thực hiện và hồn thành
luận văn.
Em cũng chân thành cảm ơn Khoa Công nghệ thông tin, Khoa Sau Đại
học - Trường Đại học Công nghệ - ĐHQG Hà Nội đã tạo điều kiện cho em có
một mơi trường học tập và nghiên cứu thuận lợi để em hoàn thành tốt luận
văn của mình.
Em xin chân thành cảm ơn các Giáo sư, Phó Giáo sư, Tiến sĩ đã tham
gia giảng dạy tận tình lớp Cao học Quản lý Hệ thống thông tin K25, Trường
Đại học Công nghệ - Đại học Quốc gia Hà Nội.
Xin chân thành cảm ơn các bạn đồng nghiệp và tất cả các bạn bè, người
thân đã ủng hộ và tạo điều kiện giúp đỡ tôi trong quá trình thực hiện luận văn.
Trong điều kiện hạn hẹp về thời gian và khả năng có hạn, luận văn này khơng
tránh khỏi những thiếu sót nhất định. Rất mong nhận được những ý kiến đóng
góp của Quý Thầy, cô và các bạn đồng nghiệp.
Trân trọng cảm ơn !
Hà Nội, ngày


tháng 5 năm 2020

Tác giả luận văn

Nguyễn Quỳnh Dương

2


MỤC LỤC

3


DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
ATTT

:

An toàn thông tin

CNTT

:

Công nghệ thông tin

HT

:


Hệ thống

HTTT

:

Hệ thống thông tin

ĐV

:

Đơn vị

4


MỞ ĐẦU
1. Lý do chọn đề tài
Với việc ứng dụng ngày càng sâu rộng của công nghệ thông tin vào hoạt
động của các cơ quan, tổ chức, doanh nghiệp (gọi chung là tổ chức), kéo theo
những rủi ro tiềm tàng về an tồn đối với các hệ thống thơng tin của tổ chức.
Bởi vậy, song hành với triển khai ứng dụng công nghệ thông tin vào các hoạt
động nghiệp vụ, các tổ chức phải triển khai các hoạt động nhằm bảo đảm an
tồn các hệ thống thơng tin.
Một trong những u cầu chính của bảo đảm an tồn các hệ thống thông
tin là công tác quản lý, đánh giá rủi ro an tồn các hệ thống thơng tin của
mình để ngăn ngừa, giảm thiểu các tác động nếu sự cố mất an tồn thơng tin
xảy ra.

Thực tế tại nước ta, vấn đề về an tồn thơng tin đã được rất nhiều tổ chức
quan tâm, một số tiêu chuẩn, quy trình quản lý và giải pháp đánh giá rủi ro an tồn
các hệ thống thơng tin cũng đã được nghiên cứu, áp dụng. Tuy nhiên, rủi ro an
tồn thơng tin ln là vấn đề tồn tại cùng với ứn dụng và luôn là vấn đề phải quan
tâm giải quyết trước các nguy cơ gây mất an tồn của hệ thống.
Từ đó, ta thấy vấn đề nghiên cứu về các giải pháp, quy trình quản lý,
đánh giá rủi ro an tồn cho các hệ thống thơng tin nhằm bảo đảm an tồn
thơng tin trong q trình ứng dụng cơng nghệ thơng tin luôn là vấn đề thời sự
và ngày càng trở nên cấp thiết đối với các cơ quan, tổ chức, doanh nghiệp
cũng như trong quá trình xây dựng và phát triển chính phủ điện tử.
2. Mục tiêu
Mục tiêu của nghiên cứu này là trên cơ sở nghiên cứu kinh nghiệm quốc
tế để đề xuất được một bộ quy trình quản lý, đánh giá rủi ro an tồn hệ thống
thơng tin cho các tổ chức; lựa chọn và đề xuất áp dụng giải pháp đánh giá,
quản lý rủi ro an toàn hệ thống thông tin trên cơ sở kết quả thử nghiệm thực
tế.

5


Về mặt quản lý: Tạo một bộ quy trình phục vụ cơng tác quản lý, đánh
giá rủi ro an tồn hệ thống thông tin cho các tổ chức, doanh nghiệp và chính
phủ điện tử.
Về mặt cơng nghệ: Nâng cao trình độ cơng nghệ trong việc đảm bảo an
tồn thơng tin cho các tổ chức, doanh nghiệp và chính phủ điện tử
3. Đối tượng và phạm vi nghiên cứu
Để đạt được mục tiêu nêu trên, các nội dung chính của đề tài dự kiến cần
thực hiện như sau:
- Nghiên cứu một số tiêu chuẩn, quy trình quản lý, đánh giá rủi ro an
tồn thơng tin: ISO/IEC 27005, NIST SP 800-39r1; trên cơ sở đó đề xuất bộ

quy trình quản lý, đánh giá rủi ro an tồn cho các hệ thống thơng tin.
- Nghiên cứu một số giải pháp đánh giá, quản lý rủi ro an tồn thơng tin:
Nessus (Tenable), NEXPOSE (Rapid7), Acunetix và lựa chọn và đề xuất áp
dụng giải pháp đánh giá, quản lý rủi ro an toàn hệ thống thông tin.
- Thử nghiệm đánh giá, quản lý lỗ hổng bảo mật một dựng ứng Web
(Trang thông tin điện tử của Sở Giáo dục và Đào tạo Hà Giang).
4. Cấu trúc của luận văn
Luận văn gồm 3 phần: Mở đầu, Nội dung và Kết luận
Phần nội dung của luận văn gồm 3 chương:
Chương 1: Nghiên cứu một số tiêu chuẩn, quy trình quản lý, đánh giá rủi
ro an tồn thơng tin.
Chương 2: Nghiên cứu một số giải pháp đánh giá, quản lý rủi ro an tồn
thơng tin.
Chương 3: Thử nghiệp đánh giá, quản lý lỗ hổng bảo mật ứng dụng
Web.

CHƯƠNG 1.

6


NGHIÊN CỨU MỘT SỐ TIÊU CHUẨN, QUY TRÌNH QUẢN LÝ,
ĐÁNH GIÁ RỦI RO AN TỒN THƠNG TIN
1.1. Nghiên cứu tiêu chuẩn, đánh giá rủi ro an tồn thơng tin ISO/IEC
27005:2011 - Quản lý rủi ro an tồn thơng tin
1.1.1. Khái quát về ISO/IEC 27005:2011
Quản lý rủi ro là việc xác định, đánh giá và xử lý rủi ro bằng việc áp
dụng hợp lý và tiết kiệm các nguồn lực để giảm thiểu, kiểm soát xác suất xảy
ra hoặc ảnh hưởng của các rủi ro hoặc để tối đa hoá việc thực hiện các cơ hội.
Mục tiêu của quản lý rủi ro là để đảm bảo ảnh hưởng của các rủi ro không

làm lệch hướng các mục tiêu hoạt động nghiệp vụ của tổ chức. Một cách ngắn
gọn: Quản lý rủi ro là hoạt động phối hợp về vấn đề rủi ro để điều hành và
kiểm soát tổ chức.
ISO/IEC 27005:2011 được thiết kế để hỗ trợ triển khai ISO/IEC 27001
dựa trên phương pháp quản lý rủi ro. Quy trình quản lý rủi ro ATTT như sau:

Hình 1.1. Quy trình quản lý rủi ro ATT

Quy trình quản lý rủi ro an tồn thông tin bao gồm: Thiết lập bối cảnh,
đánh giá rủi ro, xử lý rủi ro, chấp nhận rủi ro, truyền thông và tư vấn rủi ro,

7


giám sát và soát xét rủi ro.
1.1.2 Thiết lập bối cảnh
- Đầu vào: Tồn bộ thơng tin về tổ chức liên quan tới thiết lập bối cảnh
quản lý rủi ro an tồn thơng tin.
- Đầu ra: Đặc tả kỹ thuật về tiêu chí cơ bản, phạm vi và giới hạn và tổ
chức thực hiện quy trình quản lý rủi ro an tồn thơng tin.
- Hành động: Cần phải thiết lập bối cảnh nội bộ và bối cảnh bên ngoài tổ
chức cho các hoạt động quản lý rủi ro an toàn thơng tin, trong đó bao gồm
việc thiết lập tiêu chí cơ bản cần thiết cho hoạt động quản lý rủi ro an tồn
thơng tin, định nghĩa phạm vi và giới hạn và thiết lập một tổ chức thích hợp
để vận hành hoạt động quản lý rủi ro an tồn thơng tin.
- Các tiêu chí cơ bản:
+ Phương pháp tiếp cận quản lý rủi ro: Một phương pháp tiếp cận quản
lý rủi ro thích hợp cần phải được lựa chọn hoặc phát triển để giải quyết tiêu
chí cơ bản như: tiêu chí ước lượng rủi ro, tiêu chí về tác động, tiêu chí chấp
nhận rủi ro.

+ Tiêu chí ước lượng rủi ro: Để ước lượng rủi ro an tồn thơng tin của tổ
chức liên quan đến: Giá trị chiến lược của quy trình thơng tin nghiệp vụ; Mức
quan trọng đối với tài sản thơng tin có liên quan; Tầm quan trọng của tính sẵn
sàng, tính bí mật và tính tồn vẹn trong các hoạt động mang tính nghiệp vụ và
vận hành; Những nhận thức và mong muốn của các bên liên quan và những
hậu quả xấu đối với danh tiếng và uy tín của tổ chức.
+ Tiêu chí tác động: Được xác định theo mức thiệt hại hoặc các khoản
chi phí đối với tổ chức mà nguyên nhân gây ra là từ các sự kiện an tồn thơng
tin mà có liên quan đến: Mức phân loại tài sản thông tin bị tác động; Vi phạm
an tồn thơng tin (làm giảm tính bí mật, tính tồn vẹn và tính sẵn sàng); Yếu
kém trong vận hành (nội bộ hoặc các bên thứ ba); Tổn hại về giá trị nghiệp vụ
và tài chính; Thiệt hại về uy tín.
+ Tiêu chí chấp nhận rủi ro: Thường phụ thuộc vào các chính sách, mục
8


đích, mục tiêu của tổ chức và các lợi ích của các bên liên quan. Tiêu chí chấp
nhận rủi ro được thiết lập như sau: Tiêu chí nghiệp vụ; Khía cạnh pháp lý và
các quy định; Sự vận hành; Công nghệ; Tài chính; Các yếu tố về xã hội và
con người.
- Bối cảnh bên ngồi (external context): Mơi trường bên ngoài, nơi mà tổ
chức theo đuổi để đạt được các mục tiêu của mình; có thể bao gồm: Mơi
trường văn hóa, xã hội, chính trị, pháp lý, quy định, tài chính, cơng nghệ, kinh
tế, mơi trường tự nhiên và mơi trường cạnh tranh, trong phạm vi quốc tế, quốc
gia, khu vực hoặc địa phương; những xu hướng và động lực chính tác động
đến những mục tiêu của tổ chức; những mối quan hệ với các bên liên quan
bên ngoài tổ chức, và những nhận thức, giá trị của các bên liên quan đó.
- Bối cảnh nội bộ (internal context): Mơi trường nội bộ nơi mà tổ chức
theo đuổi để đạt được các mục tiêu của mình; có thể bao gồm: Quản trị, cơ
cấu tổ chức, vai trò và trách nhiệm giải trình; những chính sách, mục tiêu và

chiến lược của tổ chức được đưa ra để đạt được mục đích; năng lực, được
hiểu như là các nguồn lực và tri thức (Ví dụ như nguồn vốn, thời gian, con
người, các quy trình, các hệ thống và các cơng nghệ); các hệ thống thơng tin,
luồng thơng tin và quy trình đưa ra quyết định (cả chính thức và khơng chính
thức); những mối quan hệ với các bên liên quan bên trong tổ chức và những
nhận thức và giá trị về các bên liên quan bên trong tổchức đó; văn hóa của tổ
chức; những tiêu chuẩn, hướng dẫn và mơ hình mà tổ chức chấp nhận; hình
thức và phạm vi của những mối quan hệ bằng hợp đồng.
1.1.3. Đánh giá rủi ro an tồn thơng tin
Đánh giá rủi ro nhằm xác định giá trị của các tài sản thông tin, nhận biết
các đe dọa có thể xảy ra và các điểm yếu vẫn cịn tồn tại (hoặc có thể tồn tại),
nhận biết các biện pháp kiểm sốt hiện có và hiệu quả của các biện pháp đó
trong việc nhận biết rủi ro, xác định các hậu quả tiềm ẩn và cuối cùng là phân
loại, sắp xếp thứ tự ưu tiên các rủi ro đã tìm được dựa vào bộ tiêu chí đánh giá
rủi ro trong quy trình thiết lập bối cảnh.
9


Đánh giá rủi ro là một quy trình tổng thể bao gồm nhận biết rủi ro, phân
tích rủi ro và ước lượng rủi ro.
Đầu vào: Các tiêu chí cơ bản, phạm vi và giới hạn và tổ chức thực hiện
quy trình quản lý rủi ro an tồn thơng tin được thiết lập.
Hành động: Các rủi ro cần phải được nhận biết được mơ tả định tính hoặc
định lượng và sắp xếp mức ưu tiên theo các tiêu chí ước lượng rủi ro và các mục
tiêu liên quan tới tổ chức.
Đầu ra: Một danh sách những rủi ro đã được đánh giá được sắp xếp theo
thứ tự ưu tiên phù hợp với các tiêu chí đánh giá rủi ro.
Đánh giá rủi ro bao gồm các hoạt động sau:

a) Nhận biết, xác định các rủi ro

Mục đích là xác định nguyên nhân có thể gây ra thiệt hại tiềm ẩn và hiểu
được lí do, phương thức, thời điểm, khơng gian mà thiệt hại có thể xảy ra. Các
hoạt động gồm:
- Xác định tất cả các tài sản (assets) trong phạm vi hệ thống quản lý
ATTT và đối tượng quản lý các tài sản này;
- Xác định các mối đe doạ (threats) đối với tài sản;
- Xác định các điểm yếu (vulnerabilities) có thể bị khai thác bởi các mối
đe doạ trên;
- Xác định các tác động (impacts) làm mất tính chất bí mật, tồn vẹn và
sẵn sàng của tài sản.
b) Phân tích rủi ro
Là quá trình để hiểu bản chất của rủi ro và xác định mức độ rủi ro, gồm:

10


- Đánh giá các ảnh hưởng tới hoạt động của tổ chức có thể gây ra do sự
cố về ATTT, chú ý đến các hậu quả của việc mất tính bí mật, tồn vẹn hay sẵn
sàng của các tài sản;
- Đánh giá các khả năng thực tế có thể xảy ra sự cố an tồn thơng tin bắt
nguồn từ các mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh giá các tác
động tới tài sản và các biện pháp bảo vệ đang thực hiện;
- Xác định các mức độ của rủi ro có thể xảy ra, trong đó:
+ Đầu vào: Một danh sách các tình huống sự cố cùng với các hậu quả
liên quan đến các tài sản và các quy trình nghiệp vụ và khả năng xảy ra các
kịch bản đó (định tính hay định lượng);
+ Đầu ra: Một danh sách các rủi ro cùng với các mức độ giá trị được
định rõ.
- Xác định rủi ro là chấp nhận được hay phải có biện pháp xử lý dựa trên
các tiêu chí chấp nhận rủi ro đã được thiết lập trong ISO/IEC 27001:2013.

c) Ước lượng mức độ rủi ro
Là quy trình đối chiếu kết quả của việc phân tích rủi ro với các tiêu chí
rủi ro để xác định liệu rủi ro đó và/hoặc mức độ nghiêm trọng của nó có thể
chấp nhận hay bỏ qua được hay không.
+ Đầu vào: Một danh sách các rủi ro cùng với các mức độ giá trị được
định rõ và các tiêu chí ước lượng rủi ro.
+ Đầu ra: Một danh sách các rủi ro đã được sắp xếp ưu tiên theo các
tiêu chí ước lượng rủi ro liên quan đến các tình huống sự cố mà dẫn đến các
rủi ro đó.
Các hoạt động gồm:
- Áp dụng các biện pháp quản lý ATTT thích hợp.
- Chấp nhận rủi ro với điều kiện chúng hồn tồn thỏa mãn các chính
sách và tiêu chí chấp nhận rủi ro của tổ chức;
- Tránh các rủi ro;
- Chuyển giao các rủi ro các bộ phận khác (như bảo hiểm, nhà cung
11


cấp...).
ISO/IEC 27005:2011 (Phụ lục D) chỉ ra danh mục các điểm yếu liên quan
đến các tài sản phần cứng, phần mềm, mạng, tổ chức, con người và các phương
pháp xác định các điểm yếu và kỹ thuật. Các phương pháp chủ động thực hiện
trước tiên như kiểm thử hệ thống thơng tin có thể được sử dụng nhằm nhận biết
các điểm yếu thơng tin dựa trên tính nguy cấp của hệ thống Công nghệ thông tin
và Truyền thông (ICT) và các nguồn lực sẵn có (ví dụ: Các nguồn vốn được phân
bổ, cơng nghệ sẵn có, các cá nhân có kinh nghiệm tiến hành kiểm thử). Các
phương pháp kiểm thử bao gồm: Công cụ quét điểm yếu tự động, Kiểm thử và
ước lượng an toàn, Kiểm thử việc xâm nhập, Soát xét mã.
ISO/IEC 27005:2011 (Phụ lục E) cũng chỉ ra các phương pháp tiếp cận đánh
giá rủi ro an toàn thơng tin, bao gồm: Đánh giá rủi ro an tồn thông tin ở mức cao

(xem xét đến các giá trị nghiệp vụ của các tài sản thông tin và những rủi ro từ
quan điểm nghiệp vụ của tổ chức) và đánh giá chi tiết rủi ro an tồn thơng tin
(nhận biết và định giá chuyên sâu về các tài sản, đánh giá các mối đe dọa đối với
các tài sản đó và đánh giá các điểm yếu) với hệ thống thang đo giá trị tài sản (từ 0
đến 4), các khả năng xảy ra mối đe dọa (Thấp, Trung bình, Cao) thì tương ứng với
từng loại hậu quả, sẽ xác định mỗi tổ hợp tương ứng với đo lường của rủi ro trong
thang đo từ 0 đến 8 bằng việc lập Bảng đánh giá.
1.1.4. Xử lý rủi ro an toàn thông tin
Đầu vào: Danh sách các rủi ro đã được phân loại ưu tiên theo các tiêu chí
ước lượng rủi ro liên quan đến các kịch bản sự cố mà dẫn đến các rủi ro đó.
Hành động: Cần phải lựa chọn các biện pháp kiểm sốt để giảm thiểu,
duy trì, ngăn ngừa, hoặc chia sẻ những rủi ro và xác định một kế hoạch xử lý
rủi ro ngừa, hoặc chia sẻ những rủi ro và xác định một kế hoạch xử lý rủi ro.
Đầu ra: Kế hoạch xử lý rủi ro và những rủi ro tồn đọng tùy thuộc vào
quyết định chấp nhận của ban quản lý của tổ chức.
Những lựa chọn xử lý rủi ro cần phải được chọn lựa dựa trên kết quả của
đánh giá rủi ro, chi phí mong muốn cho triển khai các lựa chọn này và các lợi
12


ích mong muốn xuất phát từ những lựa chọn đó.
Cần phải triển khai những lựa chọn khi đạt được những giảm thiểu lớn
về rủi ro với chi phí tương đối thấp. Những lựa chọn bổ sung để nâng cấp có
thể không mang lại giá trị kinh tế và cần thiết phải thực hiện việc đánh giá để
xem xét liệu những lựa chọn đó có hợp lý hay khơng.
Hoạt động xử lý rủi ro như sau:

Hình 1.2. Quy trình xử lý rủi ro ATTT

Bốn lựa chọn cho việc xử lý rủi ro khơng loại trừ lẫn nhau. Đơi khi tổ

chức có thể được lợi chắc chắn bởi sự kết hợp những lựa chọn như giảm thiểu
khả năng xảy ra rủi ro, giảm thiểu hậu quả rủi ro và chia sẻ hoặc duy trì bất kì
rủi ro tồn đọng nào.
Đánh giá:
13


Tiêu chuẩn ISO/IEC 27005:2011 đưa ra các quy trình cho việc quản lý,
đánh giá và xử lý rủi ro ATTT. Đồng thời, các phụ lục cũng giúp nhận biết,
định giá tài sản và đánh giá tác động, xác định các mối đe dọa điển hình, các
điểm yếu và các phương pháp đánh giá điểm yếu và một số phương pháp tiếp
cận đánh giá rủi ro ATTT.
Tuy nhiên, ISO / IEC 27005 không cung cấp phương pháp cụ thể nào để
quản lý rủi ro ATTT; tùy thuộc vào tổ chức để xác định cách tiếp cận của mình
đối với quản lý rủi ro ATTT ATTT, chẳng hạn, tùy thuộc vào phạm vi của hệ
thống quản lý ATTT, dựa trên bối cảnh quản lý rủi ro hoặc ngành công nghiệp.
1.2. Nghiên cứu tiêu chuẩn quản lý, đánh giá rủi ro an toàn thông tin
NIST SP 800-39r1
1.2.1. Khái quát về các tiêu chuẩn đánh giá và quản lý rủi ro của NIST
Để giải quyết tốt hơn các mối rủi ro an ninh mạng, NIST phát triển
Khung an ninh mạng (Cybersecurity Framework) nhằm hỗ trợ các tổ chức và
các nhà quản lý nâng cao an toàn, an ninh và tăng khả năng hồi phục của cơ
sở hạ tầng quan trọng trước các cuộc tấn công mạng.
NIST cũng sử dụng các ấn phẩm đặc biệt NIST SP 800 để công bố, phổ biến
và hướng dẫn các tiêu chuẩn an tồn thơng tin, bao gồm một số ấn phẩm sau:
- NIST SP800-39: Managing Risk from Information Systems, đặc tả các
bước trong quản lý rủi ro ATTT.
- NIST SP800-30: Guide for Conducting Risk Assessments, đặc tả
hướng dẫn thi hành quá trình đánh giá rủi ro ATTT.
- NIST SP800-53r4: Security and Privacy Controls for Federal

Information Systems and Organizations, đặc tả các phương pháp kiểm sốt an
ninh và tính riêng tư trong các hệ thống thông tin và tổ chức.
1.2.2. Khung an ninh mạng NIST CSF
Khung an ninh mạng NIST CSF (NIST Cybersecurity Framework) cung
cấp một cách nhìn chiến lược về quản lý an toàn mạng của một tổ chức và cung
cấp mục tiêu, phương pháp luận đánh giá đối với các nguy cơ về an toàn mạng.
14


NIST CSF đưa ra một ngôn ngữ chung để hiểu, quản lý rủi ro ATTT cả
trong nội bộ và bên ngồi. Nó có thể được sử dụng để giúp nhận diện và đặt
ưu tiên cho các hành động cho việc giảm rủi ro an ATTT và đây là một công
cụ cho việc điều chỉnh chính sách, nghiệp vụ và các tiếp cận công nghệ cho
việc quản lý rủi ro ATTT của tổ chức.
NIST CSF cung cấp một cấu trúc đơn giản nhưng hiệu quả bao gồm 3
yếu tố: Lõi khung (Framework Core), Các lớp thực thi khung (Framework
Implementation Tiers) và Hồ sơ khung (Framework Profile).
Các lớp thực thi khung mô tả mức độ thực hiện quản lý rủi ro an ninh
mạng của mỗi tổ chức thông qua các đặc điểm đã được xác định trong Khung.
Phần Tiers sẽ chia mức độ thực hiện của tổ chức ra làm bốn mức từ thấp đến
cao, bao gồm: Partial, Risk Informed, Repeatable và Adaptive.
Hồ sơ khung phản ánh kết quả đầu ra dựa trên các đánh giá mà tổ chức
đã lựa chọn trong các mục Categories và Subcategories của phần Core.
Lõi khung có 5 chức năng: Identify, Protect, Detect, Respond Recover;
được kết cấu chặt chẽ với nhau, nhằm cung cấp một cách nhìn tổng thể và
mang tính chiến lược đối với việc quản lý vòng đời của các rủi ro an ninh
mạng. Mỗi chức năng được chia ra thành các chủng loại (Categories) và các
chủng loại con (Subcategories).
Lõi khung được minh họa trong hình sau:


15


Hình 1.3. Lõi khung an ninh mạng NIST CFS

Năm chức năng của Lõi khung tham chiếu gồm:
- Nhận diện (Identify): Phát triển sự hiểu biết của tổ chức để quản lý rủi
ro cho các hệ thống, tài sản, dữ liệu và các khả năng. Ví dụ về các Chủng loại
kết quả đầu ra trong chức năng này bao gồm: Quản lý Tài sản; Môi trường
Nghiệp vụ; Điều hành; Đánh giá Rủi ro; và Chiến lược Quản lý Rủi ro.
- Bảo vệ (Protect): Triển khai sự canh gác phù hợp để đảm bảo phân
phối các dịch vụ hạ tầng trọng yếu. Ví dụ về các Chủng loại kết quả đầu ra
trong Chức năng này bao gồm: Kiểm soát Truy cập; Nhận thức và Huấn
luyện; An ninh Dữ liệu; các Qui trình và các Thủ tục Bảo vệ Thơng tin; Bảo
trì; và Cơng nghệ Bảo vệ.
- Dị tìm (Detect): Triển khai các hoạt động phù hợp để nhận diện sự
xuất hiện một sự cố ATTT. Ví dụ về các Chủng loại kết quả đầu ra trong
Chức năng này bao gồm: các Bất thường và các Sự cố; Giám sát An ninh Liên
tục; và các Qui trình Dị tìm.
- Ứng cứu (Respond): Triển khai các hoạt động phù hợp để tiến hành hành
động đối với một sự kiện ATTT được dị tìm ra. Ví dụ về các Chủng loại kết quả
đầu ra trong Chức năng này bao gồm: Lập kế hoạch ứng cứu; Truyền đạt; Phân
tích; Giảm nhẹ và các Cải tiến.

16


- Phục hồi (Recover): Triển khai các hoạt động phù hợp để duy trì các kế
hoạch cho sự đàn hồi và để phục hồi bất kỳ khả năng nào hoặc dịch vụ nào mà đã
bị hư hại vì một sự cố ATTT. Ví dụ về các Chủng loại kết quả đầu ra trong Chức

năng này gồm: Lên kế hoạch Phục hồi; các Cải tiến; và Truyền đạt.
Hình sau minh họa cấu trúc của Framework Core:

Hình 1.4. Cấu trúc của Framework Core

Ví dụ minh họa cấu trúc của Lõi khung:
Chức năng

Chủng loại

Chủng loại con

NHẬN DIỆN

Quản lý Tài

ID.AM-1:

INDENTIFY

sản (ID.AM)

thiết bị và hệ

• COBIT

thống vật lý bên

• ISO/IEC


trong tổ chức sẽ

A.8.1.2

(ID)

Các

Tham chiếu thơng tin
• CCS

CSC 1
5 BAI09.01, BAI09.02
27001:2013 A.8.1.1,

được kiểm kê

• NIST

SP 800-53 Rev. 4 CM-8

ID.AM-2:

• CCS

CSC 2

Các

nền tảng và ứng

dụng phần mềm
trong tổ chức sẽ

17

• COBIT

5 BAI09.01,

BAI09.02, BAI09.05
• ISO/IEC

27001:2013 A.8.1.1,


được kiểm kê

A.8.1.2
• NIST

SP 800-53 Rev. 4 CM-8

Trong q trình triển khai, NIST CFS có tính tương thích cao, mềm dẻo
và có thể được sử dụng cùng với các quy trình quản lý rủi ro an ninh mạng
khác như ISO/IEC 27005:2011, NIST SP 800-39,...
1.2.3. NIST SP800-39: Managing Risk from Information Systems
NIST SP800-39 cung cấp một cách tiếp cận có cấu trúc, nhưng linh
hoạt để quản lý rủi ro dựa trên cơ sở đánh giá, ứng phó và giám sát rủi ro
được cung cấp bởi các tiêu chuẩn và hướng dẫn bảo mật của NIST. Các
hướng dẫn được cung cấp trong này xuất bản không nhằm thay thế hoặc bao

gồm các hoạt động, chương trình liên quan đến rủi ro khác, các quy trình hoặc
phương pháp mà các tổ chức đã thực hiện hoặc có ý định thực hiện giải quyết
lĩnh vực quản lý rủi ro được bảo vệ bởi luật pháp, chính sách khác.

Hình 1.5. Khung quản lý rủi ro ATTT của NIST

Quản lý rủi ro là một quá trình toàn diện yêu cầu các tổ chức phải: (i)
Xây dựng khung rủi ro (nghĩa là thiết lập bối cảnh cho các quyết định dựa
trên rủi ro); (ii) đánh giá rủi ro; (iii) ứng phó với rủi ro một khi đã xác định;
và (iv) theo dõi rủi ro trên cơ sở liên tục bằng cách sử dụng truyền thông tổ

18


chức hiệu quả và một vòng phản hồi để cải tiến liên tục trong hoạt động liên
quan đến rủi ro của các tổ chức.

Hình 1.6. Quy trình quản lý rủi ro

Hình trên minh họa quy trình quản lý rủi ro và các luồng thông tin và
truyền thông giữa các thành phần. Mũi tên đen đại diện cho các luồng chính
trong quản lý rủi ro xử lý với việc khung rủi ro thông báo cho tất cả các hoạt
động tuần tự từng bước chuyển từ đánh giá rủi ro để đáp ứng rủi ro đối với
giám sát rủi ro.
Ví dụ: Một trong những đầu ra chính từ thành phần Khung rủi ro
(Frame) là một mô tả về các nguồn và phương pháp mà các tổ chức sử dụng
trong có được thơng tin về mối đe dọa (ví dụ, nguồn mở, báo cáo cộng đồng
tình báo được phân loại). Các đầu ra liên quan đến thông tin mối đe dọa là
đầu vào chính của thành phần đánh giá rủi ro và là truyền đạt phù hợp với
thành phần đó.

Để tích hợp quy trình quản lý rủi ro trong tồn tổ chức, cách tiếp cận
theo cấp độ nhằm giải quyết nguy cơ tại: (i) cấp độ tổ chức; (ii) cấp độ
nhiệm vụ/quy trình nghiệp vụ; và (iii) cấp hệ thống thông tin. Quy trình
quản lý rủi ro được thực hiện liên tục trên cả 3 tầng với mục tiêu chung là
cải tiến liên tục trong rủi ro liên quan đến tổ chức các hoạt động và giao
tiếp giữa các lớp và nội bộ hiệu quả giữa tất cả các bên liên quan có một
chia sẻ quan tâm đến nhiệm vụ/thành công kinh doanh của tổ chức. Hình

19