Tải bản đầy đủ (.doc) (65 trang)

BÁO CÁO THỰC TẬP-Quản lý rủi ro an toàn mạng máy tính

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (783.84 KB, 65 trang )

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
BÁO CÁO KẾT QUẢ NGHIÊN CỨU
Đề tài : T2009-27
Quản lý rủi ro an toàn mạng máy tính
(Managing computer network security risks)
Hà Nội, tháng 12 năm 2009
Báo cáo kết quả nghiên cứu
MỤC LỤC
1. GIỚI THIỆU CHUNG 1
1.1. Mục đích 1
1.2. Phạm vi 1
1.3. Tổng quan về đề tài 2
2. KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TOÀN MẠNG MÁY TÍNH QUY MÔ
DƯỚI 100 MÁY 4
2.1. Mục đích khảo sát 4
2.2. Nội dung khảo sát 4
2.3. Kết quả khảo sát 4
2.4. Kết luận 7
3. NGUYÊN TẮC CHUNG VÀ ĐỊNH NGHĨA XUNG QUANH KHÁI NIỆM RỦI RO 8
3.1. Các khái niệm cơ bản 8
3.2. Định nghĩa rủi ro 11
4. CÁC LỰA CHỌN CƠ BẢN ĐỂ QUẢN LÝ RỦI RO 13
4.1. Quản lý trực tiếp và chuyên biệt từng rủi ro 13
4.2. Quản lý tổng thể và gián tiếp nhiều rủi ro 14
4.3. Rủi ro và các thể loại quản lý 15
5. NHẬN DẠNG RỦI RO 17
5.1. Nhận dạng tài sản có tính quyết định (hoặc các tài sản có tiềm năng trở thành tài sản có
tính quyết định) 17
5.2. Nhận dạng các điểm yếu và các nguy cơ 19
5.3. Nhận dạng các kịch bản rủi ro 20


6. ƯỚC TÍNH CÁC RỦI RO ĐƯỢC NHẬN DẠNG 22
6.1. Ước tính rủi ro để quản lý chuyên biệt 22
6.2. Ước tính rủi ro để quản lý tổng thể 26
7. ĐÁNH GIÁ CÁC RỦI RO ĐƯỢC NHẬN DẠNG 29
©SoICT-HUT ii
Báo cáo kết quả nghiên cứu
7.1. Đánh giá rủi ro để quản lý chuyên biệt 29
7.2. Đánh giá rủi ro để quản lý tổng thể 29
8. XỬ LÝ RỦI RO 30
8.1. Giảm trực tiếp các tình huống rủi ro nguy kịch 30
8.2. Giảm gián tiếp các loại tình huống rủi ro 31
8.3. Dịch chuyển rủi ro 34
9. THÔNG BÁO RỦI RO 35
10. ĐÁNH GIÁ VÀ SO SÁNH CÁC PHƯƠNG PHÁP QUẢN LÝ RỦI RO 36
11. KẾT LUẬN 38
11.1. Kết quả đạt được 38
11.2. Hiệu quả của những công việc đã làm 38
11.3. Kiến nghị 39
PHỤ LỤC 1. KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TOÀN MẠNG MÁY TÍNH :
KHUNG CÂU HỎI BẮT BUỘC 40
PHỤ LỤC 2. KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TOÀN MẠNG MÁY TÍNH :
KHUNG CÂU HỎI TÙY CHỌN 52
©SoICT-HUT iii
Báo cáo kết quả nghiên cứu
DANH SÁCH CÁC HÌNH VẼ
HÌNH 4-1: QUẢN LÝ TRỰC TIẾP VÀ CHUYÊN BIỆT TỪNG RỦI RO 13
HÌNH 4-2: QUẢN LÝ TỔNG THỂ VÀ GIÁN TIẾP NHIỀU RỦI RO 15
HÌNH 4-3: TIẾN TRÌNH QUẢN LÝ RỦI RO 16
HÌNH 5-4: CÁCH TIẾP CẬN THỨ NHẤT ĐỂ NHẬN DẠNG RỦI RO 17
HÌNH 5-5: CÁCH TIẾP CẬN THỨ HAI ĐỂ NHẬN DẠNG RỦI RO 18

HÌNH 7-6: CÁC HÀM ĐẶC TẢ MỨC RỦI RO CHẤP NHẬN ĐƯỢC 29
HÌNH 8-7: QUẢN LÝ RỦI RO: GIẢM TRỰC TIẾP CÁC TÌNH HUỐNG RỦI RO DỰA TRÊN
CƠ SỞ TRI THỨC 30
HÌNH 8-8: QUẢN LÝ RỦI RO: GIẢM TRỰC TIẾP CÁC TÌNH HUỐNG RỦI RO 31
HÌNH 8-9: CÁC MỨC ĐƯA RA QUYẾT ĐỊNH 32
HÌNH 8-10: SƠ ĐỒ QUẢN LÝ TRỰC TIẾP VÀ CHUYÊN BIỆT TỪNG RỦI RO 33
HÌNH 8-11: SƠ ĐỒ QUẢN LÝ TỔNG THỂ VÀ GIÁN TIẾP CÁC RỦI RO 34
HÌNH 10-12: BẢNG TIÊU CHÍ ĐÁNH GIÁ CÁC PHƯƠNG PHÁP QUẢN LÝ RỦI RO 37
©SoICT-HUT iv
Báo cáo kết quả nghiên cứu
1. GIỚI THIỆU CHUNG
Hiện nay, nhiều cơ quan, tổ chức, doanh nghiệp đã nhận thức được rằng an toàn thông tin là
một trong các yếu tố quyết định sự thành công khi ứng dụng công nghệ thông tin trong hoạt
động của họ. Đảm bảo an toàn thông tin không đơn thuần là việc áp dụng các biện pháp kỹ
thuật như mua sắm trang thiết bị, phần mềm chuyên dụng mà cần có giải pháp tổng thể liên
quan đến các vấn đề quản lý, nhận thức và năng lực của người vận hành, pháp lý, v.v. Tuy
nhiên trên thực tế, việc triển khai ứng dụng công nghệ thông tin tại bất cứ cơ quan, tổ chức
hay doanh nghiệp cũng có thể gặp rủi ro, nguyên nhân chủ yếu do:
• Thiếu tài liệu hướng dẫn cụ thể
• Năng lực, nhân lực kém
• Kinh phí đầu tư hạn chế
Một hướng tiếp cận hiện đại cho phép các cơ quan, đơn vị giảm thiểu các hiệu ứng không
mong muốn có thể xảy ra khi triển khai các biện pháp đảm bảo an toàn thông tin, nhất là các
biện pháp đảm bảo an toàn mạng là quản lý rủi ro. Có nhiều phương thức quản lý rủi ro đã
được khuyến cáo, nhưng mỗi phương thức xem xét việc quản lý rủi ro dưới một góc độ khác
nhau, điều này có thể gây nhầm lẫn cho các tổ chức, cơ quan hay doanh nghiệp.
1.1. Mục đích
Mục đích của tài liệu này nhằm tổng kết các kết quả nghiên cứu cho đề tài nghiên cứu cấp
trường mã số 2009-T27: « Quản lý rủi ro an toàn mạng máy tính » (Managing computer
network security risks). Nhìn chung, quản lý rủi ro giúp hạn chế hoặc giảm thiểu các rắc rối

thường xẩy ra do thiếu kiểm soát việc áp dụng những thủ tục và hoạt động, hạn chế trong
quản lý do dự báo kém hoặc tiếp cận chưa chính xác. Do đó, tài liệu này nhằm hệ thống lại
các định nghĩa quản lý rủi ro khác nhau, miêu tả các giai đoạn chính của quá trình quản lý rủi
ro và giới thiệu thang phân tích cho các phương thức quản lý rủi ro. Từ đó, khuyến cáo các cơ
quan, tổ chức, doanh nghiệp nâng cao độ an toàn cho các hệ thống mạng bằng cách:
• Áp dụng các biện pháp quản lý chặt chẽ, khoa học theo hướng giảm thiểu rủi ro có thể
xảy ra khi triển khai các biện pháp đảm bảo an toàn cho mô hình mạng máy tính.
• Chủ động xây dựng các giải pháp phòng ngừa, giảm thiểu thiệt hại.
1.2. Phạm vi
Tài liệu trình bày tóm tắt các kết quả nghiên cứu theo Đề cương nghiên cứu của đề tài 2009-
T27. Trên nguyên tắc, quy trình quản lý rủi ro phải có lĩnh vực áp dụng rất rộng, và nó phải
bao quát tất cả các thể loại rủi ro. Trong tài liệu này, chúng tôi chỉ đề cập đến các chuẩn quản
lý rủi ro và tầm quan trọng của chúng trong lĩnh vực đảm bảo an toàn cho mạng máy tính có
quy mô dưới 100 máy và các ví dụ đưa ra không nằm ngoài lĩnh vực này (có thể ứng dụng cho
trung tâm ứng cứu khẩn cấp sự cố máy tính Việt Nam - VNCERT, bộ môn Công nghệ thông tin
và Truyền thông, các Khoa trong trường ĐH Bách khoa HN, ). Chúng tôi cũng xin phép
không bình luận về những điểm mạnh và điểm yếu của từng phương pháp quản lý rủi ro khi sử
dụng chúng như những công cụ quản lý an toàn thông tin trong những bối cảnh cụ thể.
©SoICT-HUT 1
Báo cáo kết quả nghiên cứu
1.3. Tổng quan về đề tài
1.3.1. Mục tiêu
Nâng cao độ an toàn cho các hệ thống mạng bằng cách:
• Áp dụng các biện pháp quản lý chặt chẽ, khoa học theo hướng giảm thiểu rủi ro có thể
xảy ra khi triển khai các biện pháp đảm bảo an toàn cho mô hình mạng máy tính.
• Chủ động xây dựng các giải pháp phòng ngừa, giảm thiểu thiệt hại.
1.3.2. Nội dung
• Tìm hiểu và phân tích hiện trạng công tác đảm bảo an toàn mạng tại một số cơ quan
đơn vị tại Việt Nam.
• Xây dựng hướng dẫn quản lý rủi ro trong công tác đảm bảo an toàn cho mô hình mạng

máy tính.
1.3.3. Kết quả
Sau quá trình nghiên cứu, chúng tôi đã hoàn thiện:
Tài liệu hướng dẫn quản lý rủi ro trong công tác đảm bảo an toàn cho mô hình mạng máy tính
có quy mô dưới 100 máy.
Tài liệu này hướng dẫn cách áp dụng các phương pháp quản lý các rủi ro khác nhau theo trình
tự sau đây:
1. Nhận dạng các tình huống rủi ro: Các tiến trình nhận dạng tình huống rủi ro có thể bao
hàm luôn cả việc quản lý rủi ro. Chúng có thể được định hướng theo các chiến lược
hoặc theo các mục tiêu cơ bản của thực thể (cơ quan, tổ chức, doanh nghiệp hay quá
trình phát triển). Trong trường hợp ngược lại, chúng có thể không được công nhận ở
mức độ hoạt động hoặc ở mức độ kỹ thuật. Theo các cách định hướng này, không tồn
tại một phương pháp định nghĩa rủi ro kiểu trung dung.
2. Lựa chọn phương thức quản lý rủi ro: Có thể quản lý rủi ro theo một trong hai phương
thức sau:
i. Phân tích các tình huống rủi ro được nhận dạng và đưa ra các quyết định đặc
thù và thích nghi với từng tình huống cụ thể. Phương thức ra quyết định này
bao hàm luôn toàn bộ qui trình quản lý rủi ro.
ii. Phân tích một cách tổng quát các tình huống rủi ro nhằm xác định các mục tiêu
và các phương hướng đảm bảo an toàn riêng, điều này cho phép giảm thiểu rủi
ro nói chung. Phương thức này không đi sâu vào quản lý trực tiếp từng rủi ro
và ít khi bao hàm toàn bộ qui trình quản lý rủi ro.
Phương thức quản lý rủi ro (i) đòi hỏi một mô hình cho phép phân tích được rủi ro, còn
phương thức quản lý (ii) không cần đến một mô hình như vậy. Hai phương thức quản
lý rủi ro khác nhau dẫn đến các bước khác nhau của tiến trình quản lý rủi ro. Sự khác
nhau tại mỗi giai đoạn của tiến trình này sẽ được trình bày chi tiết trong tài liệu này.
3. Lựa chọn công cụ và cơ sở tri thức: Các công cụ phục vụ quản lý rủi ro rất đa dạng và
bắt nguồn từ một tập rất nhỏ các phương pháp luận hoàn chỉnh, bao gồm:
©SoICT-HUT 2
Báo cáo kết quả nghiên cứu

i. Các cơ sở tri thức, kể cả các chuyên gia cũng được coi là các cơ sở tri thức.
ii. Các công cụ kiểm tra nghe ngóng.
iii. Các công cụ mô phỏng mức độ rủi ro mắc phải dựa trên các biện pháp đảm
bảo an toàn đã chọn.
iv. Các công cụ theo dõi ngoài lề, v.v.
Nên lựa chọn các công cụ có khả năng tùy biến trong từng hoàn cảnh cụ thể.
a) Bảng các câu hỏi cho phép khảo sát hiện trạng quản lý rủi ro an toàn mạng tại một số cơ
quan đơn vị tại Việt Nam.
Dựa trên kết quả trả lời các câu hỏi trong bảng khảo sát và dựa vào hướng dẫn quản lý rủi ro
trong công tác đảm bảo an toàn cho mô hình mạng máy tính có quy mô dưới 100 máy, các cơ
quan, tổ chức, doanh nghiệp có thể đưa ra các biện pháp quản lý chặt chẽ, khoa học theo
hướng giảm thiểu rủi ro khi triển khai các biện pháp đảm bảo an toàn cho mô hình mạng máy
tính.
1.3.4. Yêu cầu khoa học, kinh tế xã hội
• Về mặt khoa học: Quản lý rủi ro trong an toàn thông tin là hướng tiếp cận hiện đại cho
phép các cơ quan, đơn vị giảm thiểu các hiệu ứng không mong muốn có thể xảy ra khi
triển khai các biện pháp đảm bảo an toàn thông tin, nhất là các biện pháp đảm bảo an
toàn mạng.
• Về mặt kinh tế: Hướng tiếp cận này cho phép các thực thể (đơn vị, cơ quan, ) khống
chế một cách chủ động các rủi ro cũng như chấp nhận thực tiễn là không thể và không
nhất thiết phải loại bỏ hoàn toàn rủi ro. Tối ưu hóa việc đầu tư kinh phí tính đến vai trò
của các biện pháp quản lý chuyên biệt của từng thực thể như nhân lực, quy trình, nhận
thức, theo hướng giảm thiểu rủi ro có thể xảy ra.
1.3.5. Tiến độ thực hiện và kinh phí từng giai đoạn
o STT
Nội dung từng bước
o Thời gian
thực hiện
Người thực hiện Kinh phí
(1) (2) (3) (4) (5)

1. Xây dựng đề cương nghiên
cứu
3/2009 Vũ Thị Hương Giang, ĐH BK HN
2. Tìm hiểu và phân tích hiện
trạng công tác đảm bảo an
toàn mạng tại một số cơ
quan đơn vị tại Việt Nam
4/2009 -
6/2009
Vũ Thị Hương Giang, ĐH BK HN
Lê Quốc, ĐH BK HN
Phạm Văn Đồng, học viên cao
học lớp CNTT 2008 ĐH BK HN
3.000.000
đồng
3. Xây dựng hướng dẫn quản lý
rủi ro trong công tác đảm
bảo an toàn cho mô hình
mạng máy tính
4/2009 -
8/2009
Vũ Thị Hương Giang, ĐH BK HN
Cao Tuấn Dũng, ĐH BK HN
4.000.000
đồng
4. Tổng hợp và hoàn thiện báo
cáo kết quả thực hiện đề tài
nghiên cứu
8/2009 -
11/2009

Vũ Thị Hương Giang, ĐH BK HN
Nguyễn Văn Duy, học viên cao
học lớp CNTT 2009 ĐH BK HN
3.000.000
đồng
5. Hội thảo và nghiệm thu 12/2009 Vũ Thị Hương Giang, ĐH BK HN
©SoICT-HUT 3
Báo cáo kết quả nghiên cứu
2. KHẢO SÁT THỰC TRẠNG QUẢN LÝ RỦI RO AN TOÀN MẠNG MÁY
TÍNH QUY MÔ DƯỚI 100 MÁY
2.1. Mục đích khảo sát
Nhằm đánh giá thực trạng quản lý rủi ro an toàn mạng máy tính của các tổ chức ứng dụng
công nghệ thông tin vào các hoạt động kinh doanh. Trên cơ sở đó nghiên cứu tính khả thi và
xây dựng hướng dẫn quản lý rủi ro trong công tác đảm bảo an toàn cho mô hình mạng máy
tính áp dụng dưới 100 máy.
2.2. Nội dung khảo sát
Khảo sát được thực hiện dựa trên bảng câu hỏi tập trung vào các khía cạnh chính sau đây:
1. Chính sách an toàn thông tin của cơ quan, tổ chức hay doanh nghiệp
2. Các sự cố an toàn thông tin
3. Hoạt động đảm bảo an toàn thông tin
4. Trách nhiệm và quyền hạn thực hiện các biện pháp đảm bảo an toàn thông tin
5. Sở hữu tài sản an toàn thông tin
6. Các dịch vụ tiện ích về an toàn thông tin
7. Các mức độ đảm bảo an toàn thông tin
8. Theo dõi kiểm kê, ghi chép tài sản
9. Hệ thống phân loại thông tin
10. Phổ biến kiến thức về an toàn thông tin
11. Vành đai an toàn thông tin
12. Các tiêu chí đánh giá rủi ro an toàn thông tin
13. Kiểm soát các hệ thống an toàn thông tin

14. Nhận thức về an toàn thông tin
15. Mức độ cân đối giữa chi phí đảm bảo an toàn thông tin và các chi phí hoạt động của cơ
quan, tổ chức hay doanh nghiệp

Bảng câu hỏi khảo sát bao gồm 80 câu hỏi bắt buộc (xem phụ lục 1 : Khung câu hỏi bắt buôc -
khảo sát thực trạng quản lý rủi ro an toàn mạng máy tính) và 60 câu hỏi tùy chọng (xem phụ
lục 2 : Khung câu hỏi tùy chọn - khảo sát thực trạng quản lý rủi ro an toàn mạng máy tính).
Các câu hỏi này sẽ tiếp tục được bổ sung và hoàn thiện trong các nghiên cứu tiếp theo.
2.3. Kết quả khảo sát
Các câu trả lời cung cấp cái nhìn toàn diện cho việc phân tích về toàn bộ chính sách quản lý rủi
ro an toàn mạng của các cơ quan, tổ chức và doanh nghiệp (gọi chung là thực thể).
Mặc dù gần 100% số thực thể được khảo sát đã có kết nối mạng, nhưng độ sẵn sàng cho
quản lý rủi ro an toàn mạng của các thực thể vẫn còn ở mức thấp, nhiều thực thể và nhà quản
©SoICT-HUT 4
Báo cáo kết quả nghiên cứu
lý vẫn tỏ ra thờ ơ. Điều này được thể hiện qua việc khảo sát hiện trạng quản lý rủi ro an toàn
mạng máy tính như sau:
1. Chính sách an toàn thông tin của cơ quan, tổ chức hay doanh nghiệp : nhìn chung các
cơ quan, tổ chức hay doanh nghiệp được khảo sát đã triển khai các biện pháp và chính
sách phòng chống thâm nhập, tân công qua web, phát tán thư rác, … . Tuy nhiên, hâu
như chưa có các cuộc hội thảo, phát tài liệu cho mỗi người trong đơn vị về chính sách
an toàn cũng như chưa có một chính sách rõ ràng đối với việc sử dụng thư điện tử,
quản lý kiểm soát thông tin chia sẻ… do đó rất ít người hiểu được mục đích, ý nghĩa về
chính sách an toàn.
2. Các sự cố an toàn thông tin: kết quả khảo sát thể hiện sự đa dạng về các sự cố an
toàn thông tin mà các cơ quan, tổ chức hay doanh nghiệp gặp phải.
3. Hoạt động đảm bảo an toàn thông tin: kết quả khảo sát thể hiện sự đa dạng về các
hoạt động đảm bảo an toàn thông tin được áp dụng trong các cơ quan, tổ chức hay
doanh nghiệp, tuy nhiên hiệu quả của các hoạt động này là chưa rõ ràng.
4. Trách nhiệm và quyền hạn thực hiện các biện pháp đảm bảo an toàn thông tin: nhìn

chung chưa xác định rõ ràng trách nhiệm của người quản lý về việc đảm bảo an toàn
thông tin, trách nhiệm đối với tất cả tài sản và các hoạt động an toàn liên quan, trách
nhiệm của người sở hữu tài sản thông tin đối với việc phân loại, các vai trò và trách
nhiệm an toàn đã được tài liệu hóa, nhận thức của nhân viên về trách nhiệm của mình
trong việc không gây hại cho công ty qua sử dụng email, …
5. Sở hữu tài sản an toàn thông tin: các tài sản thông tin (tệp dữ liệu, mạng không dây,
v.v.) và tiến trình an toàn đã có người sở hữu, các yêu cầu an toàn đối với việc bảo vệ
các thiết bị chung đã được xác định, …
6. Các dịch vụ tiện ích về an toàn thông tin: Các tiện ích mới chỉ được giới thiệu sau khi
người quản lý thích hợp thông qua, các vấn đề liên quan đến an toàn và thương mại
của các hệ thống văn phòng điện tử đã được xem xét, các tiện nghi lựa chọn chưa bị
hạn chế đến các mục riêng biệt của người dùng, có các đường truyền riêng chuyên
biệt hay một mạng để đảm bảo cho nguồn các kết nối, chưa có các cổng an toàn đã
được cài đặt giữa các mạng máy tính để kiểm soát truy cập và các luồng thông tin,
chưa đặt các cổng mạng máy tính để lọc luồng thông tin qua mạng như là dùng các
bảng hay các quy tắc đã xác định trước, chưa có các tiện nghi tính toán có được sử
dụng với mục đích kinh doanh của nó, song song với việc quản lý quyền hạn thích hợp,

7. Các mức độ đảm bảo an toàn thông tin: Tất cả các mức quyền hạn chưa được xác định
và tài liệu hóa, cần cấp quyền hạn đối với việc sử dụng các tiện nghi xử lý thông tin cá
nhân trong thông tin kinh doanh, các tài sản chưa được xác định rõ ràng, đã có quyền
sở hữu đối với mỗi tài sản và sự phân loại an toàn của nó đã được thống nhất và tài
liệu hóa cùng với vị trí hiện tại của tài sản, các thiết bị thẩm định quyền thích hợp chưa
được sử dụng để kiểm soát truy cập vật lý, nhân viên phát triển chỉ có quyền truy cập
đến các hệ thống sẵn sàng để dùng khi họ được cung cấp các mật khẩu đặc biệt, và
các mật khẩu đó có được thay đổi ngay sau đó, chưa sử dụng đánh giá rủi ro để xác
định phương pháp phù hợp nhất đối với việc thẩm định quyền.
8. Theo dõi kiểm kê, ghi chép tài sản: Những người dùng chưa được yêu cầu ghi chép và
báo cáo các điểm yếu an toàn ngay lập tức, đã có rút ra bài học kinh nghiệm từ các sự
©SoICT-HUT 5

Báo cáo kết quả nghiên cứu
cố đã xảy ra để tránh các sự cố và hạn chế tác hại của nó trong tương lai, sự sử dụng
của các tài nguyên chính của hệ thống đối với các dịch vụ máy tính lớn chưa được theo
dõi, tất cả các lỗi chưa được báo cáo đầy đủ cũng như các hành động sửa chữa được
thực hiện, tất cả các lỗi được báo cáo bởi người dùng về các vấn đề của xử lý thông tin
hay các hệ thống truyền thông chưa được ghi lại, chưa có các kiểm soát đặc biệt được
thiết lập để bảo vệ dữ liệu truyền qua các mạng công cộng, và để bảo vệ các hệ thống
kết nối, chưa có các kiểm soát trên xác định tất cả các yêu cầu về độ tin cậy, tính toàn
vẹn và sẵn dùng của thông tin và các dịch vụ trên mạng, tất cả các quyền truy cập
không được kiểm tra thường xuyên về tính dư thừa của các ID và các tài khoản người
dùng, mật khẩu không bao giờ được lưu giữ tại hệ thống máy tính theo dạng không
bảo vệ, …
9. Hệ thống phân loại thông tin: Chưa phát triển một hệ thống phân loại thông tin để xác
định các mức bảo vệ tương ứng, chưa có lược đồ phân loại thông tin để nắm bắt được
các nhu cầu kinh doanh về chia xẻ và hạn chế quyền truy cập đến thông tin, thông tin
có thể được dán nhãn dựa vào mức độ quan trọng về kinh doanh của nó, giản đồ phân
loại là dễ dàng để hiểu đối với tất cả các nhân viên, chưa có giản đồ phân loại cho
phép phân loại theo độ tin cậy, tính toàn vẹn và sẵn dùng của tài sản, …
10. Phổ biến kiến thức về an toàn thông tin: Các nhân viên và những người sử dụng bên
thứ 3 chưa được huấn luyện đầy đủ để sử dụng các tiện nghi xử lý thông tin và các gói
phần mềm một cách chính xác, chỉ có rất ít nhân viên hiểu cách thức bảo vệ tránh các
cuộc tấn công vào thư điện tử, các nhân viên chưa biết cần phải làm gì để bảo vệ các
phần đính kèm trong thư điện tử, các người dùng nhận được một văn bản về các
quyền truy cập của họ, tất cả người dùng được truyền đạt rằng họ không nên chia xẻ
các mật khẩu riêng, tất cả người dùng được am hiểu về việc log-off máy tính, các
phiên hay mạng máy tính khi phiên làm việc kết thúc, người dùng chưa được hướng
dẫn để an toàn máy tính cá nhân hay các cổng khỏi việc sử dụng trái phép bằng cách
khóa mã hay bằng một kiểm soát tương tự, …
11. Vành đai an toàn thông tin: Vành đai an toàn chưa được xác định rõ ràng (phạm vi an
toàn rộng hay hẹp, mức độ an toàn cao hay thấp), Mạng máy tính chưa được giới hạn

bởi thiết lập các domain vật lý riêng biệt, …
12. Các tiêu chí đánh giá rủi ro an toàn thông tin: Chưa sử dụng các tiêu chí đánh giá rủi
ro để xác định phương pháp phù hợp nhất đối với việc thẩm định quyền, các kỹ thuật
và phương pháp khác nhau đã chưa được xem xét đối với việc thẩm định quyền người
dùng, các tiêu chí chấp nhận đối với các hệ thống thông tin mới, nâng cấp, hay phiên
bản mới chưa được thiết lập, …
13. Kiểm soát các hệ thống an toàn thông tin: Các truy cập đến các cổng chẩn đoán chưa
được kiểm soát an toàn, các cổng vào ra chưa được định cấu hình để lọc đường truyền
giữa các domain và để chặn các truy cập trái phép, sự chuyển đổi địa chỉ mạng chưa
được xem xét để chia tách mạng, và để ngăn chặn router mạng truyền thông tin theo
cách không kiểm soát, tất cả người dùng đã có định danh duy nhất (ID) đối với sử
dụng riêng tư do đó tất cả các hoạt động có thể được theo dõi theo trình tự với mỗi
người dùng, hệ thống quản lý mật khẩu chưa hoạt động hiệu quả, bảo đảm chất lượng
của mật khẩu, hệ thống quản lý mật khẩu không hiển thị mật khẩu trong quá trình
nhập mật khẩu, các nhân tố rủi ro sau đây chưa được xem xét như độ quan trọng của
các tiến trình ứng dụng, giá trị của các thông tin liên quan, kinh nghiệm của các lần hệ
©SoICT-HUT 6
Báo cáo kết quả nghiên cứu
thống bị thâm nhập trước kia, sử dụng không đúng và phạm vi của các hệ thống kết
nối với nhau. Truy cập từ xa tới các thông tin thương mại thông qua mạng công cộng
chỉ được cho phép khi xác minh thành công, và với kỹ thuật kiểm soát truy cập hợp lý
được áp dụng, đã xem xét đến sự bảo vệ của các khóa công cộng (mật khẩu vào mạng
không dây, mật khẩu mặc định của email công ty …), …
14. Nhận thức về an toàn thông tin: Người dùng đã nhận thức được rằng các trang thiết bị
quan trọng, hay các thông tin kinh doanh cốt yếu không nên để không chú ý, và tốt
nhất là nên khóa an toàn vật lý. Tuy nhiên, người dùng chưa nhận thức về việc tăng
rủi ro bởi chia xẻ thông tin và tương kết mạng,
15. Mức độ cân đối giữa chi phí đảm bảo an toàn thông tin và các chi phí hoạt động của cơ
quan, tổ chức hay doanh nghiệp : Chưa có các tiêu chí về việc chia tách của các mạng
chú trọng vào giá cả và các tác động thực thi.

16. Kiểm kê tài sản định kỳ: Có bảng kiểm kê các tài sản quan trọng liên kết với mỗi hệ
thống thông tin đã phát triển và duy trì. Tuy nhiên, mỗi tài sản đều được xác định rõ
ràng, bảng kiểm kê tài sản bao gồm các loại tài sản khác nhau, như là thông tin về
phần mềm, tính vật lý và dịch vụ của tài sản, cũng như là tài sản không hữu hình như
hình ảnh và danh tiếng của tổ chức, …
2.4. Kết luận
Kết quả khảo sát nêu ở phần trên cho thấy rủi ro trên phương diện đảm bảo an toàn thông tin
tại các cơ quan, tổ chức và doanh nghiệp là rất lớn. Việc xây dựng hướng dẫn quản lý rủi ro
trong công tác đảm bảo an toàn cho mô hình mạng máy tính áp dụng dưới 100 máy là rất cần
thiết, phù hợp với nhu cầu của đại đa số các cơ quan, tổ chức hay doanh nghiệp được khảo
sát.
©SoICT-HUT 7
Báo cáo kết quả nghiên cứu
3. NGUYÊN TẮC CHUNG VÀ ĐỊNH NGHĨA XUNG QUANH KHÁI NIỆM
RỦI RO
Trước khi nói về quản lý rủi ro, tài liệu này làm rõ khái niệm rủi ro. Cách định nghĩa này hơi
khác với cách định nghĩa rủi ro trong các phương thức khác. Nó dựa trên một số các khái niệm
được các phương thức này tham chiếu đến một cách nhất quán, sau đó mới hướng tới sự khác
biệt và các khoảng cách có tính chất quyết định giữa các phương thức.
3.1. Các khái niệm cơ bản
Rủi ro đến từ việc một thực thể (tổ chức, cơ quan hay doanh nghiệp) sở hữu một số tài sản
(vật thể hoặc phi vật thể). Các tài sản này có thể bị mất phẩm chất, hủy hoại hoặc thiệt hại và
do đó thực thể liên quan phải chịu hậu quả. Rủi ro được định định nghĩa thông qua các khái
niệm sau:
• Tài sản của thực thể (trong lĩnh vực an toàn thông tin).
• Việc hủy hoại hay làm mất phẩm chất tài sản.
• Hậu quả thực thể phải gánh chịu.
• Nguyên nhân (không chắc chắn) có thể gây thiệt hại, làm mất phẩm chất hoặc hủy
hoại tài sản.
3.1.1. Tài sản (asset)

Một cách tổng quát, khái niệm tài sản dùng để chỉ một phần tử có giá trị hoặc cái được cái mất
của một thực thể. Khái niệm tài sản được định nghĩa và chú thích rất rõ trong bộ tài liệu chuẩn
ISO/IEC 27000. Bộ tài liệu này chủ yếu nhằm định nghĩa các rủi ro trong lĩnh vực an toàn
thông tin. Tuy nhiên, khái niệm tài sản lại không được nhắc đến trong các bộ tài liệu chuẩn
tổng quát hơn như là cẩm nang ISO 73 hay chuẩn ISO 31000.
Trong tài liệu này, khái niệm tài sản được hiểu là tài sản vật thể và phi vật thể của các thực
thể (cơ quan, tổ chức hay doanh nghiệp) cũng như các bất động sản của các thực thể này.
Tổng quát hơn, tài liệu này coi tài sản như là tất cả các phần tử có giá trị và cái được cái mất
của thực thể. Cũng trong lĩnh vực an toàn thông tin, chuẩn ISO/IEC 27005 phân biệt:
• Tài sản sơ cấp hay còn gọi là tài sản cơ bản, được hiểu là:
o Các tiến trình và các hành động
o Thông tin
• Tài sản nền, được hiểu là:
o Thiết bị phần cứng
o Phần mềm
o Mạng
o Nhân sự
o Vị trí địa hình
o Hỗ trợ về mặt tổ chức
©SoICT-HUT 8
Báo cáo kết quả nghiên cứu
Định nghĩa này phù hợp với các khái niệm nêu ra trong các phương thức quản lý rủi ro khác
nhau.
3.1.2. Hủy hoại tài sản
Tùy theo cách hủy hoại tài sản, các rủi ro khác nhau sẽ dẫn đến các hậu quả khác nhau.
Những tài sản được phân loại khác nhau sẽ bị hủy hoại theo những cách khác nhau. Như vậy
có bao nhiêu cách hủy hoại thông tin có thể dễ dàng liệt kê ra (như thông tin không sẵn dùng,
mất tính toàn vẹn, lộ bí mật hoặc mất phẩm chất, số cách hủy hoại thông tin này thường
không nhiều) thì có bấy nhiêu cách hệ thống hóa phân loại chuẩn cho những tài sản như tiến
trình hoặc một số tài sản nền.

3.1.3. Hậu quả mà các thực thể phải gánh chịu
Trong chuẩn ISO/IEC 27005, các kiểu mất phẩm chất thông tin không được liệt kê rõ ràng vì
chuẩn này không phân biệt các hậu quả mà một thực thể (tổ chức, cơ quan hay doanh nghiệp)
phải gánh chịu. Tài liệu này phân biệt rõ các kiểu hậu quả sau:
• Hậu quả sơ cấp hoặc hậu quả trực tiếp, do sự mất phẩm chất của tài sản hoặc việc hủy
hoại tài sản gây ra.
• Hậu quả thứ cấp hoặc hậu quả gián tiếp, do các tiến trình thực hiện hoặc do các hành
vi của thực thể gây ra.
Bản chất của các hậu quả này rất khác nhau, phụ thuộc vào kiểu thực thể như các tổ chức
thương mại, các cơ quan đoàn thể nhà nước hay các tổ chức phi lợi nhuận, v.v. Điều quan
trọng cần xem xét ở giai đoạn này là phải đánh giá được các hậu quả từ góc độ các thực thể
chứ không phải đánh giá các hậu quả từ góc độ các hệ thống thông tin hoặc từ góc độ các
thang phân tích kỹ thuật. Hơn nữa, việc đánh giá rủi ro phải bao gồm cả việc đánh giá các tác
động trên cơ cấu hủy hoại tài sản liên quan, cũng như việc đánh giá các tác động trên cơ cấu
làm mất phẩm chất của tài sản liên quan.
3.1.4. Nguyên nhân không chắc chắn của việc hủy hoại tài sản
Định nghĩa rủi ro thường bao hàm tham chiếu đến nguyên nhân hoặc kiểu nguyên nhân, thực
chất là không chắc chắn, có thể làm mất phẩm chất của tài sản hay hủy hoại tài sản. Cẩm
nang ISO 73 nói tới các sự kiện gợi lên các nguyên nhân này:
• Nếu có một hành động hoặc một sự kiện không chắc chắn gợi lên một tình huống rủi
ro thì sẽ có rủi ro. Rủi ro này là một sự hủy hoại hay mất phẩm chất thực sự của tài
sản liên quan, chứ không phải là:
o Sự ghi nhận hủy hoại hay sự ghi nhận mất phẩm chất của tài sản liên quan.
o Sự chắc chắn là tài sản liên quan bị mất phẩm chất hoặc bị hủy hoại.
• Đánh giá rủi ro ở đây phải hiểu là đánh giá xác suất xảy ra một hành động hay sự kiện
như thế.
Khái niệm
nguyên nhân
(cause) sử dụng trong tài liệu này đề cập đến những thứ dẫn tới sự
hủy hoại hoặc mất phẩm chất thực sự của tài sản. Nó bao gồm khái niệm nguyên nhân trực

tiếp (tương đương với khái niệm
sự kiện
(event) được đề cập đến trong cẩm nang ISO 73) và
khái niệm nguyên nhân gián tiếp (tương đương với khái niệm
nguồn
(source) được đề cập đến
trong cẩm nang ISO 73).
©SoICT-HUT 9
Báo cáo kết quả nghiên cứu
3.1.5. Nguy cơ (threat)
Các chuẩn ISO/IEC 2700x trình bày các rủi ro của các hệ thống thông tin, tham chiếu đến khái
niệm nguy cơ. Theo chuẩn ISO/IEC 27005, nguy cơ gây ra tổn thất cho các tài sản như thông
tin, tiến trình hoặc các hệ thống. Do đó nó gây ra tổn thất cho các thực thể như cơ quan, tổ
chức hay doanh nghiệp. Thoạt nhìn, khái niệm nguy cơ có vẻ gần giống với khái niệm nguyên
nhân đã nói đến ở phần trên. Thực tế là hai khái niệm khác nhau. Khái niệm nguy cơ có thể
bao hàm các khía cạnh rất khác nhau, đặc biệt là:
• Các sự kiện hoặc các hành động có thể làm xuất hiện rủi ro (Ví dụ như một tai nạn,
một đám cháy, một vụ trộm phương tiện thông tin, v.v.).
• Các sự kiện hoặc các phương thức hoạt động có thể làm xuất hiện rủi ro, dù chúng
không phát động rủi ro (Ví dụ như lạm dụng quyền truy cập, thủ đắc trái phép quyền
truy cập hay mạo danh).
• Các hiệu ứng đặc trưng và có ý nghĩa của nguyên nhân không xác định được (Ví dụ
như sự bão hòa của hệ thống thông tin).
• Các cách xử sự (Ví dụ như sử dụng trái phép các thiết bị) mà bản thân nó không làm
xuất hiện rủi ro.
Từ các ví dụ này có thể suy ra là các nguy cơ không liên quan chặt chẽ đến các nguyên nhân
của rủi ro, nhưng các loại nguy cơ cho phép xác định các hình thái của rủi ro.
3.1.6. Điểm yếu (vulnerability)
Để phân tích rủi ro, đôi khi người ta sử dụng khái niệm điểm yếu. Tổng quát hơn, khái niệm
này được sử dụng khi chúng ta đề cập đến tính an toàn của các hệ thống thông tin. Khái niệm

điểm yếu không được nhắc tới trong các chuẩn thông dụng về quản lý rủi ro như cẩm nang
ISO 73 nhưng lại được nhắc tới nhiều trong một số phương pháp quản lý rủi ro.
Khái niệm điểm yếu được định nghĩa theo một trong hai cách sau:
1. Từ góc độ ngôn ngữ học, điểm yếu được định nghĩa như một đặc tính của hệ thống,
của đối tượng hay của tài sản tiềm ẩn nguy cơ. Như vậy, nếu ta nói đến một tài liệu
đánh máy hay viết tay, và nếu nguy cơ là trời mưa hoặc tổng quát hơn là thời tiết thất
thường, những điểm yếu của nó có thể là: nhòe mực, giấy ẩm, long bìa
2. Từ góc độ các tiến trình đảm bảo an toàn cho các hệ thống thông tin và từ góc độ các
khiếm khuyết của các hệ thống thông tin, quan sát các điểm yếu sẽ hữu ích hơn. Như
vậy, một điểm yếu có thể được định nghĩa như một khiếm khuyết hay một lỗi của các
thiết bị đảm bảo an toàn; các khiếm khuyết và lỗi này có thể được tận dụng bởi một
nguy cơ tiềm ẩn của hệ thống, đối tượng hay tài sản. Trong ví dụ đã nêu ở trên, việc
không có thiết bị bảo vệ tài liệu chống lại sự thay đổi thời tiết là một điểm yếu có thể
bị khai thác.
Quan điểm này cho phép hình thành một cấu trúc phân cấp cho các điểm yếu. Trong thực tế,
tất cả các giải pháp đảm bảo an toàn thông tin đều có điểm yếu, và do đó tất cả các giải pháp
nhằm giảm thiểu các điểm yếu về an toàn thông tin đều có điểm yếu riêng của chúng.
Lấy ví dụ về hiện tượng long bìa tài liệu giấy, có thể đưa ra giải pháp ban đầu là cất nó ở một
chỗ trong văn phòng để tránh các hiệu ứng thời tiết thất thường. Như vậy, chỉ còn lại các điểm
yếu sau:
©SoICT-HUT 10
Báo cáo kết quả nghiên cứu
• Ống dẫn nước trong tòa nhà bị hỏng
• Quên không cất tài liệu vào đúng chỗ hoặc chỗ cất tài liệu vẫn chịu ảnh hưởng của các
hiệu ứng thời tiết thất thường
• Hệ thống phun mưa chống cháy tự nhiên hoạt động, v.v.
Như vậy, hai quan điểm về điểm yếu nêu trên không tương đương nhau, và chúng rất có ích
để xem xét các điểm yếu từ các góc độ khác nhau.
3.2. Định nghĩa rủi ro
Các phương thức quản lý rủi ro khác nhau đưa ra nhiều cách định nghĩa rủi ro khác nhau

nhưng đều xuất phát từ các khái niệm chung kể trên. Các định nghĩa này thường tương thích
với các tài liệu chuẩn về an toàn thông tin. Định nghĩa rủi ro cần chỉ rõ các thành phần hợp
thành rủi ro; các thành phần này sẽ can dự vào tiến trình nhận dạng và ước lượng rủi ro. Định
nghĩa kiểu này gọi là định nghĩa hình thức của khái niệm rủi ro nói chung. Các phương thức
quản lý rủi ro hiếm khi đưa ra định nghĩa hình thức của rủi ro. Những định nghĩa mà chúng ta
có thể hệ thống lại được xếp thành hai loại chính:
• Các định nghĩa rủi ro dựa trên khái niệm nguy cơ, nguy cơ này có thể liên quan hoặc
không liên quan tới các điểm yếu.
• Các định nghĩa rủi ro dựa trên khái niệm kịch bản.
3.2.1. Định nghĩa rủi ro bằng tập khái niệm tài sản - nguy cơ hoặc tập khái niệm tài
sản - nguy cơ - điểm yếu bị khai thác
Rủi ro có thể được định nghĩa như sau: Rủi ro là giao của tài sản và nguy cơ làm thiệt hại tài
sản đó. Các phương thức quản lý rủi ro sử dụng định nghĩa này thường cung cấp một hệ thống
các kiểu nguy cơ. Định nghĩa rủi ro trong một số phương thức có thể bao hàm định nghĩa một
số điểm yếu bị khai thác bởi các nguy cơ. Quan điểm này dựa trên ý tưởng là nếu không có
các điểm yếu có thể bị khai thác thì không có rủi ro. Như vậy, rủi ro được định nghĩa lại như
sau: Rủi ro là giao của tài sản, nguy cơ làm thiệt hại tài sản đó và các điểm yếu bị khai thác
bởi các nguy cơ nhằm làm thiệt hại tài sản đó.
Các định nghĩa về rủi ro này dẫn tới khái niệm
kiểu rủi ro
(risk type). Khái niệm này phát sinh
từ các kiểu nguy cơ, kiểu tài sản và đôi khi kiểu điểm yếu. Đây chính là một quan điểm tĩnh về
rủi ro, theo nghĩa là không xét thuộc tính thời gian của các sự kiện, các nguyên nhân cũng như
các hậu quả và không cho phép miêu tả trình tự của các phần tử này.
3.2.2. Định nghĩa rủi ro bằng các kịch bản cụ thể
Một định nghĩa khác về rủi ro nói rằng sự thiệt hại về tài sản và sự miêu tả tình tiết xảy ra sự
thiệt hại về tài sản phải được nhắc tới trong định nghĩa rủi ro. Khái niệm
tình tiết
(circonstance) bao trùm các khái niệm sau đây:
• Địa điểm (Ví dụ như hành động ăn trộm phương tiện thông tin tại một trụ sở nào đó).

• Thời gian (Ví dụ như vụ trộm này xảy ra trong hay ngoài giờ hành chính).
• Tiến trình hoặc giai đoạn của tiến trình (Ví dụ như thay đổi các tệp tin khi tiến hành
bảo dưỡng máy tính).
©SoICT-HUT 11
Báo cáo kết quả nghiên cứu
Định nghĩa rủi ro trở thành: Rủi ro là giao của tài sản, kiểu thiệt hại về tài sản và các tình tiết
xảy ra thiệt hại về tài sản.
Cũng có thể dùng khái niệm nguy cơ để định nghĩa rủi ro. Khi đó nguy cơ miêu tả tổng quát
các kiểu tình tiết khi rủi ro có thể cụ thể hóa. Tình tiết sẽ được định nghĩa bằng:
• Nguy cơ chung miêu tả một hệ thống các loại tình tiết
• Các tình tiết đặc biệt xác định một nguy cơ chung
Trong thực tế, định nghĩa này dẫn đến việc định nghĩa các tình huống rủi ro hay còn gọi là các
kịch bản rủi ro. Chúng miêu tả đồng thời các thiệt hại về tài sản cũng như khung cảnh xảy ra
thiệt hại về tài sản. Quan điểm này về rủi ro thực ra chính là quan điểm của cẩm nang ISO 73.
Trong cẩm nang này, rủi ro được định nghĩa như các nguồn gây nguy hiểm hay các hiện tượng
nguy hiểm (chính là khái niệm tình tiết), các hành động khơi mào rủi ro và các hậu quả. Đây là
quan điểm động về rủi ro, trong đó yếu tố thời gian có thể được xét tới, như vậy có thể phân
biệt các hành động theo các giai đoạn khác nhau của một kịch bản rủi ro. Quan điểm động này
cho phép miêu tả và xét đến trình tự của các sự kiện, nguyên nhân hay kết quả.
Chuẩn ISO/IEC 27005 nhắc tới khái niệm
kịch bản sự cố
(incident scenario). Khái niệm này rất
gần với khái niệm kịch bản rủi ro nói tới ở phần trên, cho dù chúng không thực sự tương
đương nhau. Trong thực tế, việc định nghĩa một kịch bản sự cố tùy thuộc vào việc khai thác
một vài điểm yếu nào đó, do đó những tình tiết đặc biệt xảy ra rủi ro có thể liên quan đến các
khái niệm khác nhau, chứ không chỉ liên quan đến mỗi khái niệm điểm yếu.
Chắc chắn có thể đưa ra nhiều cách định nghĩa rủi ro và các thành phần hợp thành rủi ro khác
nữa, nhưng chúng ta chỉ cần quan tâm đến hai cách định nghĩa đặc trưng và có ý nghĩa nói
trên đối với việc quản lý rủi ro.
©SoICT-HUT 12

Báo cáo kết quả nghiên cứu
4. CÁC LỰA CHỌN CƠ BẢN ĐỂ QUẢN LÝ RỦI RO
Các mục tiêu của việc quản lý rủi ro có thể rất khác biệt, chúng độc lập với cách định nghĩa rủi
ro. Trong thực tế, qua phân tích, chúng ta có thể phân biệt hai mục đích khác nhau về cơ bản
sau đây:
• Quản lý trực tiếp và chuyên biệt từng rủi ro, trong khuôn khổ một chính sách quản lý
rủi ro
• Quản lý tổng thể và gián tiếp nhiều rủi ro thông qua một chính sách đảm bảo an toàn
có khả năng thích nghi với các rủi ro có thể xảy ra.
Nội dung của các chính sách này sẽ được đề cập chi tiết trong chương 8.
4.1. Quản lý trực tiếp và chuyên biệt từng rủi ro
Mục tiêu của sự quản lý được xác định và nêu đặc tính trong một chính sách quản lý rủi ro là:
• Xác định tất cả các rủi ro mà một tổ chức, cơ quan hay doanh nghiệp có thể có.
• Định lượng mức độ của từng rủi ro.
• Với mỗi rủi ro được xem như là không thể chấp nhận, áp dụng các biện pháp giảm
thiểu mức độ rủi ro tương ứng xuống một mức nào đó có thể chấp nhận được.
• Bố trí, như là một công cụ dẫn đường, một sự theo dõi thường xuyên các rủi ro và mức
độ rủi ro tương ứng.
• Đảm bảo rằng sẽ có quyết định chuyên biệt cho từng rủi ro một: hoặc là chấp nhận rủi
ro hoặc là giảm thiểu rủi ro, có khi là chuyển từ rủi ro này sang rủi ro khác.
Như được minh họa trong hình 4-1, phương thức quản lý này xoay quanh các hoạt động của
thực thể (tổ chức, cơ quan hay doanh nghiệp) và những cái được cái mất cơ bản của chúng.
Nó chỉ có thể được lựa chọn và làm tốt nếu có sự thống nhất tuyệt đối giữa các cấp lãnh đạo
và những người thực hiện. Phương thức này có thể thích nghi với tất cả các tổ chức hoặc dự
án trong đó việc quản lý rủi ro được giao cho giám đốc dự án.
Hình 4-1: Quản lý trực tiếp và chuyên biệt từng rủi ro
Các nguyên tắc ngầm và các điều kiện tiên quyết:
Rõ ràng là để có thể quản lý chuyên biệt từng rủi ro thì đến một lúc nào đó chúng ta phải tính
đến các hiệu ứng của tất cả các biện pháp đảm bảo an toàn (hiện có hay dự kiến) có khả năng
ảnh hưởng tới mức độ rủi ro. Trên nguyên tắc và như một điều kiện tiên quyết, phương thức

©SoICT-HUT 13
Báo cáo kết quả nghiên cứu
quản lý như thế đòi hỏi cần định nghĩa một mô hình rủi ro cho phép chỉ rõ và định lượng cho
mỗi rủi ro được nhận dạng:
• Các nhân tố rủi ro có cấu trúc liên quan đến bối cảnh và hành động của thực thể, các
nhân tố này độc lập với các biện pháp đảm bảo an toàn.
• Các vai trò và hiệu ứng của các biện pháp bảo mật cho rủi ro cần xem xét.
• Mức độ rủi ro tổng quát muốn hướng đến.
Nếu không có một mô hình như vậy sẽ không thể thiết lập quan hệ giữa các quyết định bố trí
các biện pháp đảm bảo an toàn và một mức độ phòng ngừa rủi ro muốn hướng đến. Quan hệ
này là cần thiết cho sự quản lý chuyên biệt các rủi ro.
4.2. Quản lý tổng thể và gián tiếp nhiều rủi ro
Mục tiêu trong trường hợp này là định nghĩa một chính sách đảm bảo an toàn chú trọng đến
việc đánh giá các rủi ro. Mục tiêu hướng tới là:
• Xác định một số yếu tố có thể dẫn tới rủi ro.
• Phân cấp hóa các yếu tố này.
• Suy ra một chính sách đảm bảo an toàn và các mục tiêu an toàn.
• Bố trí một công cụ định hướng, một sự theo dõi thường xuyên các mục tiêu an toàn
hoặc các yếu tố của chính sách đảm bảo an toàn.
Phương thức này ít đòi hỏi sự can thiệp của ban lãnh đạo của tổ chức, cơ quan hay doanh
nghiệp và nó có thể được điều hành ở cấp độ kỹ thuật.
Các nguyên tắc ngầm và các điều kiện tiên quyết:
Như được minh họa trong hình 4-2, nguyên tắc của kiểu quản lý rủi ro này là việc định nghĩa
các yêu cầu hoặc các mục tiêu đảm bảo an toàn phải chú trọng đến việc phân bổ các rủi ro
vào một mức độ rủi ro. Việc phân bổ này phải tính đến việc đạt hoặc không đạt các mục tiêu
đề ra, hoặc sự thỏa mãn hay không thỏa mãn các yêu cầu đưa ra.
Quan điểm về rủi ro như vậy có thể chưa hoàn chỉnh, nó chỉ xem xét một trong các yếu tố ảnh
hưởng đến mức độ rủi ro thực tế, đặc biệt là một số điểm yếu (hoặc loại điểm yếu) bị khai
thác bởi các kiểu nguy cơ khác nhau. Phương thức quản lý rủi ro kiểu này đòi hỏi, trên nguyên
tắc và như điều kiện tiên quyết, định nghĩa một mô hình cho phép định lượng mỗi rủi ro được

nhận dạng:
• Một mức độ rủi ro theo các yếu tố được liệt kê trong khi miêu tả rủi ro đó.
• Ảnh hưởng của việc chọn lựa mục tiêu của chính sách đảm bảo an toàn.
• Mức độ rủi ro tương đối muốn hướng đến.
Mức độ rủi ro được đánh giá theo những yếu tố được chỉ ra khi nhận dạng rủi ro và theo sự
ảnh hưởng của chính sách đảm bảo an toàn trên các yếu tố này. Do đó, mức độ rủi ro này
không thể được coi là giá trị phán đoán của mức độ rủi ro thực tế của thực thể mà được coi là
giá trị tương đối biểu hiện tầm quan trọng của các mục tiêu đảm bảo an toàn cần đạt được
của chính sách đảm bảo an toàn.
©SoICT-HUT 14
Báo cáo kết quả nghiên cứu
Hình 4-2: Quản lý tổng thể và gián tiếp nhiều rủi ro
4.3. Rủi ro và các thể loại quản lý
Rõ ràng là định nghĩa rủi ro dựa trên khái niệm kịch bản đặc biệt thích ứng với sự quản lý trực
tiếp và chuyên biệt từng rủi ro một. Một định nghĩa rủi ro dựa trên những nguy cơ và những
điểm yếu về cơ bản thích ứng với sự quản lý chung và gián tiếp nhiều rủi ro. Không có trở ngại
về mặt lý thuyết khi sử dụng định nghĩa rủi ro dựa trên khái niệm kịch bản cho việc quản lý
gián tiếp các rủi ro thông qua một chính sách đảm bảo an toàn. Tương tự như thế, không có
trở ngại tuyệt đối khi sử dụng định nghĩa rủi ro dựa trên các nguy cơ và các điểm yếu cho việc
quản lý trực tiếp và chuyên biệt từng rủi ro. Định nghĩa này cũng được dùng để đánh giá các
rủi ro và để chọn lựa các biện pháp đảm bảo an toàn. Nó cũng được dùng để tìm kiếm các kịch
bản rủi ro khác nhau cần quan tâm, hoặc tìm kiếm các kịch bản rủi ro tương tự nhau.
Lưu ý về mối liên quan giữa các điểm yếu và kiểu quản lý rủi ro:
Mối liên quan giữa những điểm yếu được đề cập đến khi nhận dạng các rủi ro và kiểu quản lý
rủi ro là gì? Trong thực tế, nếu so sánh việc đề cập đến các điểm yếu ngay từ lúc định nghĩa
rủi ro và việc chỉ đề cập đến các điểm yếu vào lúc phân tích rủi ro, chúng ta sẽ nhận thấy có
nhiều hậu quả đáng suy nghĩ:
• Không xét các điểm yếu khi nhận dạng rủi ro tức là xem xét rủi ro phát sinh từ giao
của một tài sản và các tình tiết gây ra thiệt hại về tài sản đó. Để quản lý được tình
huống rủi ro này, trong quá trình phân tích nó cần xét đến các điểm yếu. Đó chính là

cách tiếp cận quản lý trực tiếp các rủi ro.
Ngược lại, đề cập đến các điểm yếu ngay từ lúc định nghĩa rủi ro trở thành việc xem
xét xem các điểm yếu đó có đúng là các điểm yếu mà chúng ta quan tâm và muốn
quản lý hay không. Đó chính là cách tiếp cận quản lý gián tiếp.
• Mặt khác, với một tình huống rủi ro được đưa ra, không chỉ một mà nhiều điểm yếu sẽ
bị liên đới và bị khai thác. Ví dụ, xét một kịch bản tấn công từ bên ngoài cơ quan làm
đổi hướng dữ liệu của một ứng dụng. Kịch bản này có thể khai thác đồng thời các điểm
yếu như: điều khiển không tốt các truy cập vào mạng thông tin, không phân mảnh
mạng và không tách riêng các tệp tin nhạy cảm, điều khiển không tốt các truy cập vào
hệ thống hoặc các ứng dụng, không mã hóa các tập tin, v.v. Trong bối cảnh đó, đưa
vào phần định nghĩa các rủi ro danh sách các điểm yếu bị khai thác hiển nhiên là một
nguồn khó khăn cho việc quản lý trực tiếp các rủi ro. Điều này bắt buộc phải đưa thêm
vào nhiệm vụ quản lý (tức là nhận dạng các rủi ro) một nhiệm vụ phân tích thuần túy
kỹ thuật (tức là tìm kiếm tập các điểm yếu liên quan đến tình huống rủi ro đó).
©SoICT-HUT 15
Báo cáo kết quả nghiên cứu
Có thể xem việc đề cập đến các điểm yếu khi nhận dạng rủi ro tương thích với sự quản
lý tổng thể và gián tiếp các rủi ro, nhưng việc này rất ít tương thích với sự quản lý trực
tiếp và chuyên biệt.
Đến đây chúng ta đã phác thảo thành công các định hướng cơ bản của tiến trình quản lý rủi ro
(hình 4-3). Trong các chương tiếp theo, chúng ta sẽ phân tích các chuẩn miêu tả những việc
cần làm trong từng giai đoạn như thế nào, đặc biệt là cẩm nang ISO 73.
Hình 4-3: Tiến trình quản lý rủi ro
©SoICT-HUT 16
Báo cáo kết quả nghiên cứu
5. NHẬN DẠNG RỦI RO
Những việc cần làm trong giai đoạn nhận dạng rủi ro phụ thuộc vào cách định nghĩa rủi ro.
Nhưng dù cho rủi ro được định nghĩa theo cách nào đi nữa thì một rủi ro phát sinh từ sự tồn
tại của các tài sản có giá trị đại diện cho những cái được cái mất của các doanh nghiệp hay tổ
chức, tức là việc duy trì một số tiêu chí chất lượng là rất quan trọng cho để bảo đảm tổ chức

hay doanh nghiệp hoạt động tốt.
Tiến trình thực hiện tất cả các phương thức phân tích rủi ro đều bắt đầu từ giai đoạn nhận
dạng các tài sản có tính quyết định (critical asset), có thể làm phát sinh rủi ro. Giai đoạn thứ 2,
vốn phụ thuộc vào cách định nghĩa rủi ro được dùng, tập trung vào:
• Tìm kiếm xem những nguy cơ nào có thể làm tổn hại các tài sản nào. Trong trường
hợp nhận dạng rủi ro dựa trên các khái niệm nguy cơ và điểm yếu: tìm kiếm xem
những điểm yếu nào có thể bị khai thác.
• Tìm kiếm xem những sự mất phẩm chất hay hủy hoại nào có thể tác động đến những
tài sản đó và trong các tình tiết nào thì những sự mất phẩm chất hay hủy hoại này có
thể xảy ra, để nhận dạng các tính huống hay kịch bản rủi ro.
Tiếp theo chúng ta sẽ phân tích dần các giai đoạn của quá trình nhận dạng tài sản, các giai
đoạn của quá trình nhận dạng nguy cơ và điểm yếu và các giai đoạn của quá trình nhận dạng
kịch bản rủi ro.
5.1. Nhận dạng tài sản có tính quyết định (hoặc các tài sản có tiềm năng trở
thành tài sản có tính quyết định)
Giai đoạn này hiển nhiên là giai đoạn thiết yếu trong quá trình nhận dạng rủi ro. Ta có thể
phân biệt hai cách tiếp cận chính sau đây:
5.1.1. Cách tiếp cận thứ nhất
Hình 5-1 minh họa cách tiếp cận thứ nhất, gồm những bước sau:
Hình 5-4: Cách tiếp cận thứ nhất để nhận dạng rủi ro

1. Phân tích các tiến trình và các hoạt động của các thực thể (tổ chức, cơ quan hay doanh
nghiệp) và tìm các hoạt động không bình thường có thể tác động tới các mục tiêu hay
kết quả dự tính ban đầu của thực thể hay không.
©SoICT-HUT 17
Báo cáo kết quả nghiên cứu
2. Tìm kiếm các tài sản và các thiệt hại về tài sản có thể dẫn đến các hoạt động không
bình thường nói trên.
3. Liệt kê chi tiết các tài sản (nó có thể rất có ích nhằm phân biệt các tài sản có giá trị
nhất, chúng ta sẽ coi những tài sản này như những tài sản có tính quyết định để không

làm nặng thêm những giai đoạn còn lại của quản lý rủi ro).
Đây chính là cách tiếp cận tập trung vào các cái được cái mất khi thực thể thực hiện các hành
động khác nhau và thường tham chiếu tới việc quản lý rủi ro ở mức cao. Cách tiếp cận này
khai thông một cách tự nhiên việc tìm kiếm các tình tiết hủy hoại tài sản và việc định nghĩa các
kịch bản rủi ro.
5.1.2. Cách tiếp cận thứ hai:
Được minh họa trong hình 5-2, cách tiếp cận này tập trung vào:
• Phân tích kiến trúc của các phương tiện cơ bản hỗ trợ hoạt động của thực thể. Một
phương tiện cơ bản có thể là hệ thống thông tin hoặc bất cứ phương tiện nào khác
như phương tiện sản xuất, phần mềm, truyền thông, v.v.
• Tìm kiếm (nếu cần) các phương tiện hỗ trợ cho các phương tiện cơ bản nói trên. Một
phương tiện hỗ trợ có thể là năng lượng, các phương tiện cần thiết cho việc quản lý
hành chính, v.v.
• Từ đó liệt kê ra các tài sản cần xem xét để nhận dạng rủi ro.
Hình 5-5: Cách tiếp cận thứ hai để nhận dạng rủi ro
Cách tiếp cận thứ hai này là một cách tiếp cận thiên về mặt kỹ thuật hơn cách thứ nhất, nó có
thể được tiến hành không cần đến sự giúp đỡ của lãnh đạo cấp cao. Cách tiếp cận này dễ
dàng khơi thông việc tìm kiếm các nguy cơ có thể tác động đến các tài sản và việc định danh
các rủi ro được xác định thông qua các nguy cơ và điểm yếu.
Sự khác biệt chủ yếu giữa hai cách tiếp cận nêu trên là với một định nghĩa rủi ro qua các kịch
bản, các kiểu tổn hại có thể xảy ra với tài sản trong trường hợp rủi ro phát sinh thuộc về quá
trình tìm kiếm các tài sản có tính quyết định. Nói khác đi, các tiêu chí sử dụng để làm tăng giá
trị tài sản trong quá trình ước lượng rủi ro, với một định nghĩa rủi ro dựa trên các nguy cơ,
được đưa vào ngay khi nhận dạng các tài sản, khi chúng ta muốn nhận dạng các kịch bản rủi
ro.
Ví dụ minh họa: Trong khuôn khổ quan sát tĩnh các rủi ro, các tài sản được nhận dạng có thể
là:
• Tài liệu lập kế hoạch hành động.
©SoICT-HUT 18
Báo cáo kết quả nghiên cứu

• Cơ sở dữ liệu của một lĩnh vực hoạt động.
• Máy chủ của một sở, ban, ngành.
Trong khuôn khổ quan sát động các rủi ro bằng các kịch bản, các phần tử được nhận dạng sẽ
được làm rõ nét hơn bằng một kiểu tổn hại:
• Tài liệu mật về lập kế hoạch hành động
• Cơ sở dữ liệu cần đảm bảo tính toàn vẹn của một lĩnh vực hoạt động
• Máy chủ cần đảm bảo tính sẵn dùng của một sở, ban, ngành
5.2. Nhận dạng các điểm yếu và các nguy cơ
Trong trường hợp định nghĩa các rủi ro dựa trên các nguy cơ, cách tiếp cận sẽ thường tập
trung vào các phần tử chuẩn thích đáng cho kiểu tài sản cần xét đến. Nếu chúng ta dùng lại
các phần tử tài sản tương ứng với 3 ví dụ nói trên, chúng ta cũng sẽ tìm thấy các tài sản như
trong ví dụ của chuẩn ISO/IEC 27005:
• Đối với các tài liệu chiến lược, các nguy cơ thường xuyên là:
o Mất trộm phương tiện truyền thông hoặc tài liệu
o Chiến lược bị tiết lộ
• Đối với cơ sở dữ liệu, các nguy cơ thường xuyên là:
o Dùng phần mềm để mạo danh người sử dụng
o Phần mềm hoạt động không bình thường
• Đối với các máy chủ dữ liệu, các nguy cơ thường xuyên là:
o Hỏa hoạn
o Ngập lụt, rò rỉ nước
o Tai nạn
o Phá hủy thiết bị
o v.v.
Nếu các điểm yếu bị khai thác đã được định nghĩa như là rủi ro, cách tiếp cận này chủ yếu là
chọn trong một danh sách các điểm yếu, trong danh sách này các điểm yếu có thể được sắp
xếp theo các kiểu nguy cơ, các điểm yếu thích đáng và nếu sử dụng lại các ví dụ nói trên (Ví
dụ về dữ liệu trong phần phụ lục của chuẩn ISO/IEC 27005), chúng ta có thể nhận được kết
quả như sau:
1. Nguy cơ và điểm yếu của các tài liệu chiến lược: mất trộm phương tiện, thiết bị vì thiếu

bảo vệ các thiết bị lưu trữ.
2. Nguy cơ và điểm yếu của các cơ sở dữ liệu: dùng phần mềm để mạo danh người sử
dụng do tải về các phần mềm độc hại và sử dụng phần mềm không đúng cách.
3. Nguy cơ và điểm yếu của các máy chủ dữ liệu: phá hủy thiết bị do thiếu kế hoạch thay
thế định kỳ các thiết bị.
©SoICT-HUT 19
Báo cáo kết quả nghiên cứu
5.3. Nhận dạng các kịch bản rủi ro
Trong trường hợp này, cách tiếp cận tập trung vào phân tích. Trong các tiến trình thực hiện
bao hàm các phần tử tài sản cần xét đến hoặc trong các chu kỳ sống của phần tử đó, hoặc
trong kiến trúc của nó, những thứ có thể cáo giác chất lượng cần xét đến. Việc tìm kiếm này
sẽ được thực hiện trực tiếp hoặc dựa trên một cơ sở tri thức miêu tả các kịch bản rủi ro
thường gặp nếu phương thức đó cho phép.
Dùng lại ví dụ đã trình bày ở phần trước, ta có:
• Các tài liệu chiến lược mật: chúng ta phân tích tiến trình soạn thảo, điều khiển và
truyền các tài liệu kiểu này và chúng ta có thể làm cho minh bạch các tình tiết khác
nhau dẫn tới các rủi ro đặc biệt:
o Trong quá trình soạn thảo (các tệp tin trên máy tính của các nhà lãnh đạo hoặc
của trợ lý lãnh đạo hoặc trên một máy chủ dùng chung).
o Trong quá trình sao lưu
o Trong quá trình in ấn (trên máy in dùng chung)
o Trong quá trình gửi tài liệu qua mail
o Trong quá trình gửi tài liệu qua thư
o Trong quá trình lưu trữ
Cơ sở dữ liệu cần duy trì tính toàn vẹn. Chúng ta sẽ phân tích luôn cả các tiến trình
khác nhau, bao hàm cả các cơ sở dữ liệu và có thể dẫn tới việc cáo giác tính toàn vẹn
và làm cho minh bạch các tình tiết dẫn tới các rủi ro đặc biệt:
o Trong quá trình truy nhập tương tranh (rủi ro phần mềm)
o Trong quá trình truy cập có ác ý
o Trong quá trình bảo trì phần mềm

o Trong quá trình kiểm thử sự phát triển hoặc bảo trì
o Trong quá trình bảo trì nóng
• Máy chủ dữ liệu cần duy trì tính sẵn dùng: chúng ta phân tích và liệt kê các kiểu
nguyên nhân có thể khác nhau và các tiến trình nội bộ khác nhau bao hàm tài sản này,
có thể dẫn tới việc cáo giác tính sẵn dùng của máy chủ:
o Tai nạn vật lý (sự cố, thủy tai, v.v.) và nguồn gốc của tai nạn
• Tai nạn gây ra bởi sự đoản mạch dây cáp
• Tai nạn gây ra bởi sự cẩu thả trong nội bộ (gạt tàn, máy sưởi, v.v.).
o Lỗi thông thường, lỗi hiếm gặp và những điều kiện đặc biệt:
• Các lỗi thông thường được xử lý trong quá trình bảo trì
• Các lỗi leo thang
• v.v.
o Tấn công từ chối dịch vụ
o Lỗi bảo trì phần cứng hoặc phần mềm
©SoICT-HUT 20
Báo cáo kết quả nghiên cứu
• Do khiếm khuyết về mặt đào tạo
• Do khiếm khuyết về tài liệu hướng dẫn
• v.v.
Quan trọng cần chú ý việc bao hàm trong quá trình nhận dạng rủi ro các khung cảnh, trong đó
có thể sản sinh ra rủi ro cho phép làm rõ bằng tình tiết hoặc bằng các tiến trình hiện hành, vào
một thời điểm nào đó sẽ rơi vào một tình huống rủi ro đặc biệt.
Sự khác nhau về kết quả thu được trong ba ví dụ nói trên đã chứng minh rằng bằng các thuật
ngữ sử dụng, có một sự khác nhau về bản chất giữa các khái niệm cho phép xác định rủi ro.
Định nghĩa các nguy cơ về tài sản và các điểm yếu có thể đe dọa tài sản cho phép đặc tính
hóa một kiểu rủi ro. Nhưng đây không phải là mục đích chính của định nghĩa này vì nó không
cho phép trong bất cứ trường hợp nào xác định trực tiếp các tình huống rủi ro có liên quan.
©SoICT-HUT 21

×