Chương 3. Xây dựng dịch vụ quản lý quy trình nghiệp vụ đánh giá, quản lý rủi ro an

3.2. Đề xuất

3.2.1. Đề xuất quy trình quản lý, đánh giá rủi ro cho các hệ thống thông tin 3.2.1.1. Quy trình tổng thể dựa trên tiêu chuẩn ISO

Hình 3.1: Quy trình Quản lý rủi ro tổng thể 3.2.1.2. Quy trình chi tiết

Quy trình đánh giá tổng quan

Chuẩn bị đánh giá Mục tiêu kết quả

1.1. Lập kế hoạch đánh giá Bản kế hoạch đánh giá - Mục tiêu

- Đối tượng - Thời gian - Quy mô 1.2. Xây dựng nội dung đánh giá

Xác định đặc tính của HT được đánh giá Xác định tiêu chí, tiêu chuẩn, phương pháp đánh giá,

Xây dựng kịch bản đánh giá

Bản mô tả đặc tính của HT,

Tiêu chí, tiêu chuẩn, phương pháp đánh giá

Kịch bản đánh giá theo phương pháp đã chọn

1.3. Phê duyệt kế hoạch, nội dung đánh giá

Bản kế hoạch đánh giá rủi ro ATTT đáp ứng được yêu cầu và được phê duyệt

1.4. Thông báo kế hoạch đánh giá Chi tiết kế hoạch đánh giá được truyền thông tới tất cả các bên liên quan

1.5. Chuẩn bị công cụ, tài liệu kỹ thuật phục vụ đánh giá

Các công đủ đảm bảo tiêu chuẩn

3.2.1.3. Thực hiện đánh giá Quy trình thực hiện đánh giá

Thực hiện đánh giá Mục tiêu, kết quả

2.1. Họp với đơn vị quản lý, vận hành HT Biên bản làm việc về kế hoạch triển khai đánh giá

2.2. Thu thập thông tin, nhận dạng rủi ro - Xác dịnh và mô tả các nguồn threats và các sự kiện đe dọa tiềm ẩn

Xác định các vulnerabilities

Tài liệu mô tả các nguồn threats, mối đe dọa tiềm ẩn và vulnerabilities

2.3 Phân tích rủi ro

Ước ượng rủi ro có được từ:

- Xác định khả năng các sự kiện đe dọa gây ra sự cố

- Xác định các tác động khi sự cố xảy ra

Kết quả phân tích, ước lượng rủi ro

2.4. Ước lượng rủi ro

- Xác định rủi ro từ các sự kiện đe dọa cần quan tâm

- Phân loại ưu tiên theo các tiêu chí đã xác định

Kết quả đánh giá rủi ro

2.5 . Thống nhất với đơn vị quản lý, vận hành dự thảo báo cáo ketes quả đánh giá rủi ro

Dự thảo báo cáo kết quả đánh giá đã thống nhất

3.2.1.4. Xử lý rủi ro

Hình 3.2: Quy trình xử lý rủi ro

3.2.2. Đề xuất áp dụng phương pháp đánh giá, quản lý rủi ro an toàn hệ thống thông tin

3.2.2.1. Mục đích

Các hệ thống đánh giá, quản lý rủi ro đã có thể áp dụng các công nghệ tiên tiến nhằm đưa ra những chỉ số đánh giá trong quá trình quản lý, đánh giá rủi ro một cách nhanh chóng và minh bạch. Tuy nhiên việc tự động hóa hoàn toàn chưa hoàn toàn cho ra các kết quả phù hợp, do đó cần xây dựng một công cụ hỗ trợ giúp người quản lý có thể tự đánh giá và kiểm chứng lại các rủi ro đã được xác định. Với quy trình quản lý và đánh giá rủi ro được đề xuất tại Mục 1.3 tại đây, đề xuất phương pháp đánh giá dựa trên Phương pháp đánh giá rủi ro an toàn thông tin OWSAP.

3.2.2.2. Cải tiến

Cải tiến trong đề xuất áp dụng phương pháp đánh giá dựa trên Phương pháp đánh giá rủi ro an toàn thông tin OWSAP: Đối với xác định tác động: Đề xuất đánh trọng số cho Technical Impact và Business Impact sau đó đưa ra một giá trị tổng thể của Xác định tác động.

3.2.2.2.1. Cách đánh trọng số

Trọng số được thiết kế nhằm mục đích giúp tăng sự linh hoạt trong quá trình đánh giá kết quả. Việc đặt trọng số cho hai yếu tố Technical Impact và Business Impact giúp người quản lý có thể đánh giá tùy thuộc vào sự ưu tiên của yếu tố nào. Điều này phụ thuộc vào kinh nghiệm của người quản lý, hoặc cũng có thể phụ thuộc theo yêu cầu thực tế của quyết định xử lý rủi ro.

3.2.2.2.2. Giá trị

Giả sử ta có hai trọng số TechnicalImpactWeight và BusinessImpactWeight, ta có:

{

TechnicalImpactWeight ∈ {1, 2, 3, 4, 5, 6, 7, 8, 9}

BusinessImpactWeight ∈ {1, 2, 3, 4, 5, 6, 7, 8, 9}

BusinessImpactWeight + BusinessImpactWeight = 10 3.2.2.2.3. Phương pháp tính:

Kết quả tổng quan được tính theo công thức:

Overall = (Technical Impact × TechnicalImpactWeight + Business Impact × BusinessImpactWeight) / 10

Ví dụ:

Technical Impact Business Impact

Loss of confidentiality

Loss of integrity

Loss of availability

Loss of accountability

Financial damage

Reputation damage

Non- compliance

Privacy violation

9 7 5 8 1 2 1 5

Overall technical impact =7.25 (HIGH) Overall business impact =2.25 (LOW) TechnicalImpactWeight = 2 BusinessImpactWeight = 8

Overall = 3.25

3.2.2.2.4. Nhận xét:

Ước lượng rủi ro nhằm đưa ra đánh giá cho mức độ cũng như tác động của rủi ro đến hệ thống một cách rõ ràng hơn. Các kết quả của việc đánh giá rủi ro góp phần tạo cơ sở cho các quyết định trong hoạt động xử lý rủi ro. Việc có một ước lượng mức độ nghiêm trọng của một rủi ro sẽ đi kèm với kế hoạch hay quyết định xử lý với rủi ro này.

Đối với một doanh nghiệp hay tổ chức, việc quyết định khắc phục một rủi ro có thể gây tốn kém trong chí phí hơn. Có doanh nghiệp sẽ cần ưu tiên việc bảo vệ các lỗ hổng bảo mật liên quan đến yếu tố kỹ thuật hơn nghiệp vụ hoặc ngược lại. Do đõ phương pháp đề xuất để hỗ trợ ước lượng này sẽ hỗ trợ linh hoạt hơn cho người quản lý rủi ro trong các yêu cầu của mỗi một tổ chức có sự ưu tiên khác nhau.

Giả sử, xét một ví dụ:

Technical Impact Business Impact

Loss of

confidentiality

Loss of integrity

Loss of availability

Loss of

accountability Financial damage

Reputation damage

Non- compliance

Privacy violation

9 7 5 8 1 2 1 5

Overall technical impact =7.25 (HIGH) Overall business impact =2.25 (LOW) Theo phương pháp ước lượng nguyên mẫu của OWSAP ta sẽ có có kết quả tổng thể là Overall = (7.25 + 2.25) / 2 = 4.75 là giá trị MEDIUM theo tiêu chuẩn.

Khi ước lượng rủi ro đối với tác động này, người quản lý thấy rằng: đối với bối cảnh hiện tại của hệ thống, cần phải được trú trọng các tác động liên quan đến Technical hơn nhiều so với Business. Người quản lý đặt trọng số TechnicalImpactWeight = 8 và BusinessImpactWeight = 8, khi đó kết quả tính lại sẽ là: Overall = (7.25 * 8 + 2.25 * 2) / 10 = 6.25

Rõ ràng khi này ta thấy mức độ của tác động này nằm ở mức HIGH, điều này tác động trực tiếp đến điểm quyết định xử lý rủi ro của tổ chức.