Bài giảng An toàn thông tin và quản trị rủi ro thương mại điện tự: Chương 4 - TS. Chử Bá Quyết

1<br /> 9/26/2017<br /> <br /> D<br /> <br /> Chương 4 Kiểm soát rủi ro trong TMĐT<br /> <br /> H<br /> <br /> _T<br /> TM<br /> <br /> NỘI DUNG<br /> <br /> 1. Khái quát kiểm soát RR TMĐT<br /> <br /> M<br /> <br /> 2. Các biện pháp quản trị RR an toàn TT<br /> <br /> U<br /> <br /> 3. Các biện pháp xử lý rủi ro khác<br /> <br /> 2<br /> Khoa TMĐT_ĐHTM<br /> <br /> CA<br /> <br /> RA<br /> <br /> 1. Khái quát kiểm soát RR TMĐT<br /> <br /> D<br /> <br /> H<br /> <br /> Phân tích rủi ro (Risk Analysis)<br /> <br /> _T<br /> TM<br /> <br /> • Là nhận biết, đánh giá khả năng của tất cả RR tiềm ẩn và<br /> tác động đến tổ chức nếu đe dọa xảy ra. Để phân tích RR,<br /> các đe dọa cần được phân tích riêng. Mặc dù có thể có<br /> <br /> M<br /> <br /> nhiều đe dọa đến các hệ thống, bộ phận khác nhau, hệ<br /> phải là mối quan tâm duy nhất.<br /> <br /> U<br /> <br /> thống máy chủ có thể là RR cao nhất, nhưng nó không<br /> <br /> 3<br /> Khoa TMĐT_ĐHTM<br /> <br /> 1. Khái quát kiểm soát RR TMĐT (tiếp..)<br /> <br /> D<br /> <br /> _T<br /> TM<br /> <br /> H<br /> <br /> Phân tích rủi ro (Risk Analysis)<br /> • Là thực hiện đánh giá toàn diện và chi tiết các RR tiềm ẩn<br /> và các lỗ hổng bảo mât, tính toàn vẹn, tính sẵn sàng của<br /> các thông tin…<br /> <br /> M<br /> <br /> • Là việc xác định, đánh giá và xếp hạng các RR với mục<br /> <br /> U<br /> <br /> đích tiết kiệm các nguồn lực cũng như giảm thiểu kiểm<br /> soát, tổn thất và tác động không mong muốn và tối đa hóa<br /> <br /> việc thực hiện các cơ hội, bao gồm:<br /> <br /> 4<br /> Khoa TMĐT_ĐHTM<br /> <br /> Những khái niệm liên quan kiểm soát RR TMĐT<br /> <br /> D<br /> <br /> Quy trình phân tích rủi ro<br /> <br /> H<br /> <br /> • Xác định phạm vi, mục tiêu các đối tượng cần bảo vệ (Map<br /> <br /> _T<br /> TM<br /> <br /> Objectives)<br /> <br /> • Nhận biết các đe dọa, tấn công (ID threats)<br /> • Đánh giá lỗ hổng (Assess Vulnerabilities<br /> <br /> M<br /> <br /> • Xác định xác suất xảy ra (Determine Risk Likelihood<br /> <br /> U<br /> <br /> • Xác định tổn hại (Determine Threat Impact)<br /> <br /> • Xác định cấp độ RR (Determine Level or Risk)<br /> • Lập hồ sơ (Documentation)<br /> <br /> PP định tính phân tích RR<br /> <br /> D<br /> <br /> Theo tần xuất xuất hiện của RR: có 4 mức qua ước lượng sự<br /> <br /> H<br /> <br /> quan trọng của nó.<br /> <br /> _T<br /> TM<br /> <br /> ▫ Mức thường xuyên<br /> ▫ Mức hay xảy ra<br /> <br /> ▫ Mức đôi khi, thỉnh thoảng<br /> <br /> M<br /> <br /> ▫ Mức hiếm (ít) khi<br /> <br /> U<br /> <br />