Video Case

1. Mikko Hypponen: How the NSA betrayed the world's trust — time

to act (19:18)

2. Mikko Hypponen: Fighting viruses, defending the net (17:31)

3. Jennifer Golbeck: The curly fry conundrum: Why social media

“likes” say more than you might think (9:55)

4. Security.swf

1

Chapter 7

Đạo đức và An ninh trong Hệ thống thông tin

2

Hình thức tổ chức dạy học

Số tiết trên lớp

Nội dung

Tổng cộng

Thực hành

Tự học, tự NC

Tổng

Lý thuyết

Bài tập T. luận Khác

3

3 3

7 5

3 3

10 8

Đề cương chi tiết học phần MIS

Phần I. Cơ sở phương pháp luận về MIS 1 C1: Đại cương về MIS 2 C2: MIS và lợi thế cạnh tranh Phần II. Hạ tầng công nghệ thông tin của MIS

2 2

5 5

2 2

9 9

4 4

13 13

C3: Mạng, Internet và TMDT C4: Quản trị dữ liệu Phần III Các MIS trong thực tiễn

3

6

3

12

6

18

C5: Các MIS trong tổ chức Phần IV Quản trị MIS

4

C6: Phát triển MIS C7: Đạo đức và An ninh MIS

6 2 30

3 2 15

TỔNG

11

1 4

13 5 60

8 2 30

21 7 90 3-3

1. Mô tả ảnh hưởng của kỷ nguyên TT đến vấn đề đạo đức trong IS. 2. Thảo luận về 4 vấn đề trong mô

Learning Objectives

3. Giải thích và trình bày được các nguyên tắc và chuẩn mực đạo đức trong IS

4. Giải thích các rũi ro đối với IS 5. Mô tả các yêu cầu, nội dung

quản trị an ninh IS

6. Trình bày các công cụ và biện

pháp bảo vệ tài nguyên thông tin của tổ chức.

07-4

hình PAPA của Mason

Outline

I. Đạo đức trong Hệ thống thông tin 1.1. Vấn đề đạo đức trong kỹ nguyên thông tin 1.2. Các vấn đề về chuẩn mực hành vi

1.2.1. Quyền riêng tư (Information Privacy) 1.2.2. Tính chính xác (Information Accuracy) 1.2.3. Quyền sở hữu thông tin (Information Property) 1.2.4. Quyền tiếp cận thông tin (Information Accessibility)

1.3. Chuẩn mực hành vi đạo đức

1.3.1.Khung pháp lý về CNTT ở Việt Nam 1.3.2 Chuẩn mực đạo đức máy tính

II. An ninh hệ thống thông tin 2.1. Rũi ro trong HTTT 2.2. Quản trị an ninh HTTT

07-5

I. Đạo đức trong Hệ thống thông tin

1.1 Vấn đề đạo đức trong kỹ nguyên thông tin

Ethics – “Principles of right and wrong that individuals, acting as free moral agents, use to make choices to guide their behaviors” (Laudon, Management Information Systems 10e, p 128) Computer Ethics – ―Issues and standards of conduct pertaining to the use of information systems‖ (Jessup, IS Today 3e)

Cộng đồng, Xã hội

Hoạt động Cá nhân

Hoạt động Nghề nghiệp

07-6

I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT

Khái niệm

• Trách nhiệm (Responsibility) – nhân tố cơ bản của hành vi đạo đức. Đó là việc chấp nhận chi phí, nhiệm vụ và nghĩa vụ đối với các quyết định của mình.

• Trách nhiệm giải trình (Acountability) – cơ chế để xác định các bên chịu trách nhiệm (ai có thẩm quyền thực thi nhiệm vụ và người đó phải chịu trách nhiệm trước một cá nhân hay một nhóm người nào)

• Trách nhiệm pháp lý (Liability) – cho phép các cá nhân (và tổ chức) khắc phục các thiệt hại do người khác gây ra cho họ

• Quá trình/ thủ tục pháp lý (Due process)

07-7

I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT

Mối quan hệ giữa các vấn đề Đạo đức, Xã hội và Luật pháp trong HTTT

Đạo đức trong hệ thống

thông tin

• Quyền và nghĩa vụ về

• Quyền và nghĩa vụ về

tài sản thông tin

• Trách nhiệm giải trình

và kiểm soát.

• Chất lượng dữ liệu và

hệ thống

• Chất lượng cuộc sống

07-8

thông tin

I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT

Mối quan hệ giữa các vấn đề Đạo đức, Xã hội và Luật pháp trong HTTT

Các xu hướng phát triển công nghệ  vấn đề đạo đức • Năng lực xử lý ―tăng gấp đôi‖  các tổ chức ngày càng lệ

thuộc vào IS để xử lý công việc

• Giảm chi phí lưu trữ dữ liệu  khả năng lưu trữ dữ liệu cá

07-9

nhân nhiều hơn và chi tiết hơn

I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT

Mối quan hệ giữa các vấn đề Đạo đức, Xã hội và Luật pháp trong HTTT

• Tiến bộ công nghệ mạng và Internet  sao chép và truy

xuất thông tin từ xa dễ dàng

• Tiến bộ về kỹ thuật phân tích số liệu

– Profiling – kết hợp dữ liệu từ nhiều nguồn để tạo hồ sơ

về các thông tin chi tiết của cá nhân

– Nonobvious relationship awareness (NORA)

07-10

• Tăng trưởng của thiết bị di động – Theo dõi cell phones cá nhân

I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT

NORA technology

Phần mềm NORA (Nonobvious relationship awareness) của SRD cho các sòng bạc ở Las Vegas để phát hiện gian lận.

Nó có thể thu thập thông tin về một cá nhân từ nhiều nguồn khác nhau và các hành vi của người đó để phát hiện các mối quan hệ mờ ám, không rõ ràng

07-11

Hiện nay nó được chính phủ và khu vực tư nhân Mỹ khai thác khả năng ―Profiling” phục vụ cho yêu cầu an ninh

I. Đạo đức trong Hệ thống thông tin

1.2. Các vấn đề về chuẩn mực hành vi – mô hình PAPA

Richard O. Mason (1986)

trong bài báo ―Four Ethical Issues of the Information Age.‖ đưa ra các vấn đề liên quan đạo đức trong kỹ nguyên thông tin:

• Quyền riêng tư • Tính chính xác • Quyền sở hữu thông tin • Quyền tiếp cận thông tin

07-12

http://links.jstor.org/sici?sici=0276-7783(198603)10:1%3c5:FEIOTI%3e2.0.CO;2-B

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

Mô hình PAPA – Richard O. Mason (1986)

Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng công nghệ thông tin, và các thông tin được xử lý, được sử dụng để nâng cao phẩm cách của nhân loại

Mối đe dọa • Sự phát triển của IT, với khả năng ngày càng nâng cao của nó

để giám sát, truyền thông, tính toán, lưu trữ, và phục hồi. • Thông tin ngày càng có giá trị cao trong việc ra quyết định

s m ble o r P

Privacy

Accuracy

Property

Accessibility

• WHAT thông tin cá nhân hoặc hiệp hội của một cá nhân mà

người đó có thể tiết lộ cho người khác; trong những điều kiện gì và những biện pháp gì để bảo vệ

s e u s s I

• WHAT người ta có thể giữ riêng cho bản thân mà không bị bắt

buộc phải tiết lộ cho người khác?

07-13

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

Mô hình PAPA – Richard O. Mason (1986)

Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng công nghệ thông tin, và các thông tin được xử lý, được sử dụng để nâng cao phẩm cách của nhân loại

Thông tin sai lạc  quyết định sai lầm, đặc biệt khi chúng nằm trong tay những người có lợi thế về quyền lực

s m ble o r P

Privacy

Accuracy

Property

Accessibility

• WHO chịu trách nhiệm về khả năng xác thực, tính trung thực

và chính xác của thông tin?

• WHO có trách nhiệm giải trình về sai sót trong thông tin và

s e u s s I

phải hành xử gì khi bị tổn thương?

07-14

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

Mô hình PAPA – Richard O. Mason (1986)

Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng công nghệ thông tin, và các thông tin được xử lý, được sử dụng để nâng cao phẩm cách của nhân loại

• Các vấn đề đa dạng và tập trung vào lãnh vực tài sản trí tuệ

 quyền chiếm hữu, định đoạt và sử dụng

s m ble o r P

Privacy

Accuracy

Property

Accessibility

s e u s s I

• WHO sở hữu thông tin? • WHAT giá hợp lý và công bằng khi trao đổi thông tin? • WHO sở hữu các kênh truyền, đặc biệt là kênh truyền thông? • HOW được phép truy cập vào các nguồn tài nguyên khan

hiếm đó?

07-15

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

Mô hình PAPA – Richard O. Mason (1986)

Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng công nghệ thông tin, và các thông tin được xử lý, được sử dụng để nâng cao phẩm cách của nhân loại

3 Rs: Read, wRite, aRithmetic + computeR

Trình độ Tin học – Computer Literacy • Khoảng cách số – Digital Divide •

― Knowledge is Power‖ Francis Bacon, 1597

s m ble o r P

Privacy

Accuracy

Property

Accessibility

• WHAT thông tin nào cá nhân hoặc tổ chức có quyền/ đặc ân để có được, trong các điều kiện gì và với các biện pháp bảo vệ gì?

s e u s s I

07-16

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.1. Quyền riêng tư (Information Privacy)

Quyền riêng tư – Quyền được ở một mình, tự do không bị theo dõi hoặc can thiệp bởi các cá nhân, tổ chức, hoặc nhà nước; Quyền được kiểm soát thông tin bản thân

―Privacy‖ vs ―Freedom of Speech‖

Các vấn đề • • Kỹ nguyên thông tin đã tác động thế nào đến ―Privacy‖ ? • Mối quan hệ hỗ tương về lợi ích giữa người thu thập

thông tin cá nhân với cá nhân đó.  Cá nhân có thể tiết lộ hoặc giữ bí mật các thông tin?  Tổ chức được quyền thu thập thông tin gì; và được làm gì với các thông tin thu thập được?  Mô hình ―Opt-out‖ vs ―Opt-in‖

• HOW bảo vệ ―Privacy‖?

07-17

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.1. Quyền riêng tư – HOW – FTC FIP Principles

Federal Trade Commission (FTC) đưa ra các nguyên tắc ―Fair

Information Practices (FIP)‖

• Thông báo / nhận thức (nguyên tắc cốt lõi)  Website phải

báo cho cá nhân biết trước khi thu thập dữ liệu.

• Truy cập / tham gia  Người tiêu dùng phải có khả năng

xem xét và tranh luận về sự chính xác của dữ liệu cá nhân. • An ninh  Người thu thập dữ liệu phải thực hiện các bước

nhằm đảm bảo tính chính xác, bảo mật của dữ liệu cá nhân.

• Lựa chọn / đồng ý (nguyên tắc cốt lõi)  Người tiêu dùng phải có khả năng lựa chọn việc thông tin của họ được sử dụng ra sao cho các mục tiêu thứ cấp.

• Thực thi  Phải có cơ chế để đảm bảo việc tuân thủ các

07-18

nguyên tắc FIP.

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.1. Quyền riêng tư – THREADS – Internet challenges to privacy

• Cookies  nhận dạng trình duyệt và theo dõi việc ghé thăm

trang web.  Super cookie (Flash cookies)

• Web beacons (Web bugs): hình ảnh đồ họa nhỏ nhúng trong e-mail và các trang Web để giám sát người đang đọc tin nhắn e-mail hoặc truy cập vào trang web

• Spyware: ứng dụng ―gián điệp‖ cài trên máy trạm nhằm lén

• Identify Theft  mạo danh • Dịch vụ của Google và ―behavioral targeting‖

07-19

lút thu thập thông tin cá nhân.

3. Tài sản thông tin – Information Property

Thu thập và sử dụng Cookies – là các tập tin ―văn bản‖ được các WebSite viết và lưu trú trên đĩa cứng của máy trạm nhằm lưu các thông tin về người dùng khi họ duyệt WebSite đó

07-20

3. Tài sản thông tin – Information Property

Thu thập và sử dụng

Spyware – ứng dụng ―gián điệp‖ cài lén lên máy trạm nhằm thu thập thông tin cá nhân một cách bất hợp pháp

Thông tin thu thập dùng để:

Lừa đảo (Identify Theft )

• • Bán cho các công ty

quảng cáo, spammers

• Sửa đổi hoạt động trình duyệt như quảng cáo, thêm ad banners, pop- ups, … (Adware)

• …

07-21

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.1. Quyền riêng tư (Information Privacy) – Mạo danh (Identify Theft)

Identify Theft – việc đánh cắp các thông tin cá nhân (SSN, tài khoản, số thẻ tín dụng, …) để hưởng lợi bất chính như rút tiền, mua hàng, vay nợ …

Các vấn đề •

―Vô hình‖ đối với nạn nhân

• Khó phát hiện và sửa

đổi

• Gây tổn thất về pháp lý và đôi khi không phục hồi được

07-22

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.1. Quyền riêng tư (Information Privacy) – Mạo danh (Identify Theft)

Phishing – Hình

thức lường gạt để lấy tài khoản, số thẻ tín dụng • Giả mạo

WebSite hợp pháp.

• Ngụy tạo thông điệp gạt người sử dụng chuyển đến các WebSite ―giả mạo‖

07-23

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.1. Quyền riêng tư – THREADS – Technical solutions

• Điều lệ thành viên (Privacy Policy )-- Tìm hiểu trước khi đăng

ký thành viên

• Mật khẩu (Password ) -- Mật khẩu ―tốt‖, mật khẩu ―nhân trắc

học‖ (Biometrics)

• Email – Sử dụng nhiều tài khoản với các phạm vi sử dụng

khác nhau

• Công cụ Anti-Spyware • Công cụ sẵn có trong trình duyệt

07-24

 Chế độ duyệt vô danh “Private”  Tùy chọn “Do not track” • Xác thực người máy -- CAPCHA • Truy cập Wifi – SSID, PIN / MAC Address • …

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.1. Quyền riêng tư – HOW – Điều lệ Privacy Statement

Privacy Statements được các tổ chức thu thập thông tin nêu ra về cách thức họ dự định sử dụng chúng gồm 2 loại

• Internal Use – chỉ dùng trong phạm vi tổ chức • External Use – có thể bán ra bên ngoài

Vấn đề: Người dùng có thật sự xem và hiểu điều lệ không ?

07-25

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.1. Quyền riêng tư (Information Privacy) – Top-10 Passcode (Daniel Amitay)

Total 204,508 Record Passcodes

07-26

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.1. Quyền riêng tư (Information Privacy) – Password strength

07-27

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.2. Tính chính xác (Information Accuracy)

Information Accuracy – các vấn đề liên quan đến tính xác thực về nguồn gốc và sự đúng đắn của thông tin cũng như việc xác định ai chịu trách nhiệm đối với các thông tin sai lệch gây nguy hại đến người khác

Các yếu tố gây lỗi

• Lỗi kỹ thuật – lỗi giải thuật, truyền thông và/hay quá trình xử lý khi nhận, xử lý, lưu trữ, và trình bày thông tin. Lỗi này xãy ra trong quá trình phân tích, thiết kế, và xây dựng IS

• Lỗi do người sử dụng – trong quá trình nhập liệu, khai

thác và quản lý hệ thống

• Do tội phạm

07-28

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.3. Quyền sở hữu thông tin (Information Property)

Quyền sở hữu thông tin – các vấn đề liên quan đến ai là người sở hữu thông tin và cách thức thông tin được mua bán hay trao đổi

Tài sản trí tuệ: (Intellectual property)  tài sản vô hình, thành quả của ―tư duy trí tuệ‖ của cá nhân hay tổ chức Ví dụ: các phát minh; các tác phẩm nghệ thuật và văn học; các biểu tượng, hình ảnh, tên, thiết kế dùng trong thương mại: thông tin ...

Quyền chiếm hữu

Quyền sử dụng

Quyền sở hữu

Quyền định đoạt

07-29

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.3. Quyền sở hữu thông tin – Phương thức bảo hộ chủ yếu

• Bí mật thương mại (Trade secret) sản phẩm hay công việc ―trí tuệ‖ thuộc sở hữu tổ chức và không công bố i.e. công thức sản xuất Coca-Cola.

• Tác quyền (Copyright): bảo hộ tài sản trí tuệ gồm quyền tái bản, in ấn và trình diễn hay trưng bày tác phẩm của mình trước công chúng cho đến 50 năm kể từ khi tác giả qua đời (công ước Berne, 1886)

07-30

• Bằng sáng chế (Patents): nhà phát minh được toàn quyền ngăn chặn người khác không được áp dụng, sử dụng và bán một phát minh đã được cấp bằng sáng chế trong 20 năm sau khi công bố để đổi lại việc công bố chi tiết phát minh cho công chúng.

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.3. Quyền sở hữu thông tin – Bản quyền phần mềm

07-31

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.3. Quyền sở hữu thông tin – Bản quyền phần mềm

07-32

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.3. Quyền sở hữu thông tin – Creative Common licenses

• Chuẩn cấp phép chia sẻ và sử dụng tài sản trí tuệ • Công cụ tuân thủ, bảo vệ bản quyền; giúp cho phép tác giả thay đổi các điều khoản bản quyền qua các yếu tố tùy chọn sao cho phù hợp nhất

BY – Attribution Ghi công - bắt buộc

NC – NonCommercial Phi thương mại

ND – NoDerivs

Không có tác phẩm phái sinh

07-33

SA – Share Alike Chia sẻ tương tự

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.3. Quyền sở hữu thông tin – Software Piracy

Ăn cắp bản quyền phần mềm (Software Piracy) – hành vi sao chép, phân phối bất hợp pháp các phần mềm có bản quyền (copyrighted software)

Nguyên nhân

• •

Lý do kinh tế Sự khác biệt về nhận thức giữa các quốc gia về “sở hữu trí tuệ (intellectual property)”

Nguồn: BSA, "2011 BSA Global Software Piracy Study, Ninth Edition“

07-34

• Thiếu hiểu biết

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.3. Quyền sở hữu thông tin – Cybersquatting

Mua bán tên miền (Cybersquatting) – Việc đăng ký tên miền rồi bán lại để hưởng lợi

Giải quyết tranh chấp về đăng ký, sử dụng tên miền quốc gia Việt Nam ―.vn‖ (Luật CNTT số: 67/2006/QH11) • Thông qua thương lượng, hòa giải • Thông qua Trọng tài • Khởi kiện tại Tòa án

07-35

Tên miền được các tổ chức và cá nhân đăng ký sử dụng nhằm mục đích thông qua đó góp phần quảng bá về tổ chức, sản phẩm, dịch vụ, tiến hành các hoạt động thương mại và phi thương mại trong môi trường Internet toàn cầu.

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.4. Quyền tiếp cận thông tin (Information Accessibility)

• Information Accessibility –ai có quyền thu thập, thông tin

riêng cá nhân/ tổ chức khác và cách thức sử dụng chúng

WHO • Chánh phủ – sử dụng các phần mềm tiên tiến (e.g

Carnivore), kiểm soát tức thời hoặc sau đó các lưu lượng email, và tất cả các hoạt động lên mạng

• Người sử dụng lao động – có quyền (trong phạm vi giới hạn) giám sát, hoặc truy xuất các hoạt động trên các máy tính hay mạng của công ty khi họ đã công bố chính sách đó với nhân viên

• Công chúng • ….

07-36

I. Đạo đức trong Hệ thống thông tin

1.3. Chuẩn mực hành vi đạo đức

Chuẩn mực hành vi – xuất phát từ nhiều nguồn khác nhau 1.Luật pháp  Hành vi cấm hay KHÔNG cấm ngoài xã hội

Hệ thống luật pháp: về CNTT, về TMĐT

2.Quy định cơ quan, quy ước trong cộng đồng xã hội  Hành

vi cấm hay KHÔNG cấm trong nhóm xã hội Nội quy tổ chức về an toàn thông tin

3.Đạo đức  Hành vi ―KHÔNG‖ vi phạm luật pháp

1. Nguyên tắc đạo đức 2. ―De facto‖  The Ten Commandments of Computer

Ethics‖

07-37

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

1.3.1. Khung pháp lý về CNTT ở Việt Nam – Đối tượng điều chỉnh

Quan hệ dân sự (nghĩa vụ dân sự và hợp đồng dân sự)

Bản chất giao dịch

Hoạt động kinh doanh

Bộ luật dân sự

Giao dịch TMĐT

Luật doanh nghiệp

Trách nhiệm và nghĩa vụ của các bên trong hoạt động kinh doanh

Hệ thống Luật CNTT

Hệ thống Luật TMDT

Luật thương mại

Các cơ chế giải quyết tranh chấp dân sự

Hình thức giao dịch

07-38

Báo cáo TMDT tại Việt nam 2013 (trang 12)

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

1.3.1. Khung pháp lý về CNTT ở Việt Nam – Luật và NĐ hướng dẫn

Luật Giao dịch điện tử 51/2005/QH11

Luật Công nghệ thông tin 67/2006/QH11

Nghị định về TMĐT

Nghị định về chống thư rác

Nghị định về dịch vụ Internet và cung cấp thông tin trên Internet

Nghị định về GDĐT trong hoạt động tài chính

Nghị định về ứng dụng CNTT trong cơ quan NN

Nghị định về chữ ký số và dịch vụ chứng thực chữ ký số

Nghị định về GDĐT trong hoạt động ngân hàng

Nghị định về cung cấp thông tin và dịch vụ công trực tuyến trên Website cơ quan NN

07-39

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

1.3.1. Khung pháp lý về CNTT ở Việt Nam – Các Nghị định về xử lý vi phạm

Xử lý vi phạm hành chính

Ngày 10/04/2007 Nghị định số 63/2007/NĐ-CP quy định xử phạt vi phạm

hành chính trong lĩnh vực công nghệ thông tin 20/09/2011 Nghị định số 83/2011/NĐ-CP quy định về xử phạt vi phạm

hành chính trong lĩnh vực viễn thông

12/11/2013 Nghị định số 158/2013/NĐ-CP quy định xử phạt vi phạm

VB căn cứ Luật quảng cáo Luật Viễn thông Luật CNTT

hành chính trong lĩnh vực văn hoá, thể thao du lịch và quảng cáo

13/11/2013 Nghị định số 174/2013/NĐ-CP quy định xử phạt vi phạm

hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện

15/11/2013 Nghị định số 185/NĐ-CP quy định xử phạt vi phạm hành

chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng

07-40

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

1.3.2 Chuẩn mực đạo đức – Candidate ethical principles

Nguyên tắc đạo đức • Golden Rule: “Do unto others as you would have them do

unto you.‖

• Categorical Imperative (Immanuel Kant): ―If an action is not

right for everyone to take, it is not right for anyone.‖

• Rule of Change (Descartes): ―If an action cannot be taken

• Utilitarian Principle: ―Take the action that achieves the

higher or greater value.‖

• Risk Aversion Principle: ―Take the action that produces the

least harm or potential cost.‖

07-41

• Ethical ―No Free Lunch‖ Rule: “Assume that virtually all tangible and intangible objects are owned by someone unless there is a specific declaration otherwise.”

repeatedly, it is not right to take at all.‖

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

1.3.2 Chuẩn mực đạo đức – Candidate ethical principles

Chuẩn mực hành vi nghề nghiệp – những cam kết nghề nghiệp để điều chỉnh cá nhân hướng tới lợi ích chung của xã hội Do các hiệp hội nghề nghiệp ban hành, i.e. Ngành Y, Ngân

hàng, Luật, Máy tính, ...

07-42

Các tình huống “tiến thoái lưỡng nan”  Xung đột về lợi ích nhóm. Ví dụ: Tự động hóa quá trình kinh doanh  Tăng năng suất và giảm lao động

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

1.3.2 Chuẩn mực đạo đức – The Ten Commandments of Computer Ethics

Thou shalt NOT

1. Use a computer to harm other people. 2. Interfere with other people's computer work. 3. Snoop around in other people's computer files. 4. Use a computer to steal. 5. Use a computer to bear false witness. 6. Copy or use proprietary software for which you

have not paid.

7. Use other people's computer resources without

authorization or proper compensation.

8. Appropriate other people's intellectual output.

07-43

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

1.3.2 Chuẩn mực đạo đức – The Ten Commandments of Computer Ethics

Thou shalt

9.think about the social consequences of the program you are writing or the system you are designing.

10.always use a computer in ways that insure consideration and respect for your fellow humans.

07-44

Video Case – Google_data_center_security_YouTube (7-00) II. An ninh Hệ thống thông tin

Yêu cầu:

45

Ghi nhận và phân loại những biện pháp an ninh được 2.1. System Vulnerability and Abuse – Khả năng dễ bị tổn thương và lạm dụng của IS Google sử dụng được mô tả 2.2. Business Value of Security and Control trong clip trên 2.2. Biện pháp quản trị an ninh Establishing a Framework for Security and Control 2.3. Phòng chống các hiểm họa an ninh Technologies and Tools for Protecting Information Resources

II. An ninh hệ thống thông tin

2.1. Rủi ro trong HTTT 2.2. Quản trị an ninh HTTT

46

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS

Khái niệm

• An ninh:

Chính sách, thủ tục và biện pháp kỹ thuật được sử dụng để ngăn chặn truy cập trái phép, thay đổi, trộm cắp, hoặc thiệt hại vật chất cho hệ thống thông tin

• Kiểm soát:

Phương pháp, chính sách, thủ tục để đảm bảo an toàn cho tài sản của tổ chức; độ chính xác và tin cậy của hồ sơ kế toán; và việc tuân thủ tiêu chuẩn quản lý của các hoạt động tác nghiệp.

07-47

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS

Phân loại rũi ro

• Rủi ro khách quan, thiên tai

– Mất điện, hỏa hạn – Chuột bọ …

• Rủi ro về hệ thống hạ tầng (thiết bị, phần mềm và đường truyền)  mất cắp, hư hỏng, Wifi …

• Rủi ro do con người: trong

và ngoài tổ chức

07-48

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS

Rũi ro do con người

Chưa có sự phân biệt rõ ràng về các đối tượng xâm hại IS • Bốn loại chính

– Nhân viên hiện và đã làm việc trong tổ chức

• 85-95% việc xâm hại đến hoạt động kinh doanh là từ

nguồn bên trong

– Các cá nhân có chuyên môn kỹ thuật thực hiện vì mưu

lợi riêng

– Tội phạm chuyên nghiệp sử dụng máy tính để hỗ trợ

– Crackers bên ngoài tìm kiếm các thông tin có giá trị

• Khoảng 12% sự tấn công của crackers gây nguy hại

11-49

thực hiện hành vi tội phạm

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS

Minh họa

Minh họa các vấn đề về an ninh và các lỗ hổng trong một ứng dụng

database trên nền Web 3 tier.

07-50

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS

Hacking and Cracking

Hackers – cá nhân truy cập trái phép vào IS • Xuất hiện vào những năm 1960s • Ban đầu vì mục đích tìm hiểu không gây hại

Crackers – cá nhân đột nhập hệ thống máy tính với ý đồ

xâm hại hoặc thực hiện hành vi phạm tội.

Cyberterrorism – sử dụng máy tính và mạng để gây nguy hại đến cá nhân hay tài sản nhằm hăm dọa hoặc bắt buộc chính phủ, dân chúng, hoặc bộ phận bất kỳ của xã hội vì các mục tiêu chính trị, tôn giáo, hoặc lý thuyết nào đó

07-51

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS

Các hình thức xâm hại

Tội phạm Mô tã

Data diddling

Việc thay đổi dữ liệu vào và ra của 1 máy tính. Ví dụ: nhân viên đột nhập vào hệ thống chấm công để thay đổi số giờ làm việc, qua đó nâng thu nhập.

Salami slicing

Hình thức data diddling với giá trị thay đổi đủ nhỏ để hệ thống không phát hiện. Ví dụ nhân viên ngân hàng rút vài trăm đồng từ hàng ngàn tài khoản để chuyển vào tài khoản đăng ký bằng tên giả.

Phreaking Tấn công máy tính của công ty viễn thông nhằm thực

hiện các cuộc gọi đường dài không mất tiền

Cloning

Tấn công mạng di động qua đánh cắp mã số máy người khác để sử dụng dịch vụ cell phone ―không tốn tiền‖

Carding

Thường chỉ việc lấy cắp số thẻ tín dụng trên mạng để bán lại hoặc mua hàng bằng tài khoản của người bị hại

07-52

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS

Các hình thức xâm hại

Tội phạm

Mô tã

Xem lén số PIN khi nạn nhân rút tiền thẻ ATM  làm giả thẻ để rút tiền của nạn nhân

Piggybacking/ shoulder- surfing

Social Engineering

Mạo danh nhà báo, nhân viên điện thoại, hoặc người thân để nạn nhân tiết lộ mật khẩu và các thông tin khác. Thông tin đó được dùng để đột nhập vào hệ thống máy tính để lấy cắp

Dumpster diving

Đơn giản là moi rác văn phòng để lấy cắp chứng từ, tài liệu ….

Spoofing

Lấy cắp tài khoản bằng cách giả mạo màn hình đăng nhập

07-53

II. An ninh hệ thống thông tin

2.1. Rủi ro trong HTTT 2.2. Quản trị an ninh HTTT

Video: security.swf 54

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

Các biện pháp quản trị an toàn

Quản trị an ninh hệ thống thông tin – Các biện pháp phòng chống giữ cho tất cả các lãnh vực hoạt động hệ thống thông tin được an toàn khỏi các hành vi truy cập trái phép

Quản trị rũi ro

Biện pháp

Sao lưu và phục hồi

Chính sách và thủ tục an ninh

07-55

Kiểm soát truy xuất

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

2.2.1 Quản trị rũi ro

• Kiểm toán mức độ an ninh nhận dạng mọi lãnh vực hệ thống

thông tin và các quá trình kinh doanh

• Phân tích rũi ro xác định giá trị và tổn thất tài sản bảo vệ

• Xây dựng phương án dựa trên phân tích rũi ro

– Giảm thiểu rũi ro – hiện thực các phương án tích cực để

bảo vệ hệ thống (e.g. firewalls)

07-56

– Chấp nhận rũi ro – Xử lý khi rũi ro phát sinh – Chuyển đổi rũi ro – e.g. mua bảo hiểm

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

2.2.2 Kiểm soát truy xuất – Biện pháp quản trị

Biện pháp đảm bảo an ninh bằng cách chỉ cho phép truy xuất

những gì cần để làm việc

• Xác thực (Authentication) – xác thực nhân thân trước khi truy

• Cấp quyền truy xuất (Access Control) – chỉ cấp quyền trong những lãnh vực của hệ thống mà người dùng được quyền (e.g. accouting)

07-57

xuất (e.g. passwords)

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

2.2.3. Thủ tục và chính sách – Ex. Acceptable use policies

7-58

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

2.2.3. Thủ tục và chính sách – Biện pháp về con người (phi kỹ thuật)

Acceptable Use Policies – Tài liệu chính thức về cách thức sử

dụng, mục tiêu và các xử lý khi không phù hợp – WHO  Phân loại đối tượng sử dụng hệ thống  người

– HOW  phương thức quản lý và xử lý

07-59

dùng tin cậy và ―cần chăm sóc‖

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

2.2.4. Sao lưu và phục hồi – Biện pháp kỹ thuật

• Sao lưu – định kỳ sao chép dự phòng các dữ liệu hệ thống

thiết yếu và lưu vào nơi an toàn (e.g. backup tape)

• Hoạch định phục hồi sự cố – các thủ tục chi tiết dược dùng để khôi phục khả năng truy xuất đến các hệ thống chủ yếu (e.g. viruses hay hỏa hoạn)

• Phục hồi sự cố – thực hiện các thủ tục phục hồi bằng cách dùng công cụ backup để phục hồi hệ thống về trạng thái gần nhất trước khi nó bị tổn thất

07-60

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

Thống kê các kỹ thuật an toàn được sử dụng (%đvị khảo sát)

CSI 2007 2007: 484 Respondents 2006: 616 Respondents

07-61

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

2.2.5. Hoạch định an ninh HTTT

Kế hoạch an ninh IS – văn bản tổng hợp tất cả biện pháp được

chuẩn bị sẵn để bảo vệ tài sãn thông tin của tổ chức

Ba nội dung phải thực hiện • Security Audit – Xác định tất cả các tài sãn về IS của tổ chức gồm phần cứng, phần mềm, tài liệu, các quy trình thủ tục, con người, dữ liệu, phương tiện và nguồn cung cấp.

• Risk Analysis – Xác định tất cả các rũi ro có thể xãy ra gây tổn thất đến tài sãn thông tin. Xếp hạng theo tần suất xuất hiện. Ước lượng tổn thất đối với từng rũi ro bao gồm cả tổn thất về kinh doanh

• Alternatives – Đối với từng rũi ro, xác định các phương án

xử lý gồm các biện pháp phát hiện, ngăn ngừa và khôi phục tồn thất

07-62

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

2.2.5. Hoạch định an ninh HTTT – IS Security Plan

Trình tự xây dựng kế hoạch an ninh HTTT – 5 bước Bước 1. Phân tích rủi ro • Xác định giá trị thông tin số của tổ chức • Đánh giá mối đe dọa đến tính bảo mật, tính toàn vẹn và tính

sẵn sàng của thông tin

7-63

• Xác định hoạt động dễ gây tổn thương đến hệ thống • Đánh giá chính sách an ninh hiện tại • Đề nghị thay đổi phương thức hiện có để cải thiện an ninh

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

2.2.5. Hoạch định an ninh HTTT – IS Security Plan

Bước 2. Các chính sách và thủ tục – hành động được thực hiện

nếu có sự vi phạm an ninh Information Policy – xử lý các thông tin nhạy cảm

• • Security Policy – kiểm soát về kỹ thuật vấn đề an ninh IS

của tổ chức

7-64

• Use Policy – quy định việc sử dụng trong nội bộ tổ chức • Backup Policy – chính sách sao lưu • Account Management Policy – thủ tục thêm người dùng mới Incident Handling Procedures – xử lý vi phạm an ninh • • Disaster Recovery Plan – phục hồi hoạt động máy tính

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

2.2.5. Hoạch định an ninh HTTT – IS Security Plan

Bước 3. Triển khai thực hiện • Triển khai các biện pháp an ninh về phần cứng, phần mềm

và an ninh mạng

• Phổ biến ID và smart cards. • Phân công trách nhiệm của bộ phận IS

Bước 4. Đào tạo nhân viên của tổ chức Bước 5. Kiểm toán • Đánh giá việc tuân thủ chính sách • Kiểm tra thâm nhập

7-65

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

2.2.5. Hoạch định an ninh HTTT – IS Security Plan

Disaster Recovery Plan

• Xác định thời gian phục hồi khi có sự cố  Thời gian phục hồi tối đa cho phép ??

• Xác định trạng thái khôi phục

 Phương án backup: định kỳ, thường xuyên

7-66

The End

67

07-68

http://onguardonline.gov/index.html

07-69

Security.swf

I. Đạo đức trong Hệ thống thông tin

1.2. Các vấn đề về chuẩn mực hành vi – mô hình PAPA

07-70

I. Đạo đức trong Hệ thống thông tin

1.2. Các vấn đề về chuẩn mực hành vi – mô hình PAPA – Case Study

07-71

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

1.2.3. Quyền sở hữu thông tin – Software Piracy

07-72

Hoạt động – A you a ―Netizen‖ ??

Look and Think

Video Case: Yêu cầu: Chủ đề và nội dung chính của clip security.swf

07-73

Hoạt động – A you a ―Netizen‖ ??

Chia sẽ – Teamwork

Chia sẻ theo nhóm: Mỗi nhóm (cùng bàn) trao đổi về nội dung đoạn phim. (thời

gian 2 phút)

Yêu cầu: 1. Căn cứ vào nội dung clip và kinh nghiệm cá nhân  Liệt kê Top-6 các nguy cơ (phương tiện gây hại) thường gặp nhất?

07-74

2. Sắp thứ tự từ cao xuống thấp

Hoạt động 1 – Người tiêu dùng ―sành điệu‖

Trò chơi chung sức

3. Đánh giá: đúng tên + 10/ 1 mục, đúng vị trí +20 điểm/ 1 mục

1

Virus / sâu: 20%

Spyware / Malware: 14%

2

Truy cập Wi-Fi: 9%

3

Email / Tập tin đính kèm: 9%

4

Phishing / Đánh cắp ID: 5%

5

Remote access: 5%

6

07-75

Nguồn: CompTIA, Báo Tuổi Trẻ Thứ Hai, 03/12/2007

II. Tội phạm máy tính

1. Các hành vi truy xuất bất hợp pháp

• Tấn công vào hệ thống máy tính  gây sự cố hư hỏng thiết bị và thông tin lưu trữ (e.g đăng nhập trái phép để xóa dữ liệu, DoS attach)

Computer Crime –sử dụng máy tính để thực hiện các hành vi không hợp pháp như:

• Sử dụng máy tính để tấn công đến IS khác (e.g. lấy

• Sử dụng máy tính làm công cụ hỗ trợ các hành vi

cắp số PIN khách hàng của 1 tổ chức)

tội phạm (e.g. sử dụng máy tính để giao dịch bất hợp pháp)

07-76

1. Các hành vi truy xuất bất hợp pháp

Truy xuất trái phép

• Truy cập trái phép -- sử dụng hệ thống máy tính mà họ

không được cấp quyền sử dụng

Trường hợp nào sau đây là truy cập trái phép • Nhân viên sử dụng thời gian làm việc ở công sở để kinh

doanh riêng

• Đột nhập vào Website của đối thủ để sửa thông tin hiển thị

trên đó

• An trộm tài khoản và mật khẩu thẻ tín dụng để mua hàng hóa

07-77

1. Các hành vi truy xuất bất hợp pháp

Unauthorized computer access

07-78

1. Các hành vi truy xuất bất hợp pháp

Phân loại đối tượng Unauthorized Access 2004 Survey by Computer Security Institute

07-79

5. Virus máy tính

Mã phá hoại + nhân bản

Viruses • Khả năng nhân bản • Hành vi: xóa hoặc phá hủy tập tin • Boot Sector viruses – tấn công boot sector • File Infector viruses – tấn công tập tin như .doc, .exe, • Attachment viruses – lây theo tập tin đính kèm

07-82

Worms • Không phá hủy tập tin • Được thiết kế để sao chép và truyền gửi • Làm chậm hệ thống

5. Virus máy tính

Mã phá hoại + nhân bản

07-83

5. Virus máy tính

Mã phá hoại + không có khả năng nhân bản

Trojan Horses Các chương trình này không có khả năng nhân bản nhưng có thể gây nguy hại bằng cách chạy ẩn các chương trình trên máy bị nhiểm (i.e một số game tự tạo account trên máy để truy cập trái phép)

Logic or Time Bombs Biến thể Trojan Horse (không nhân bản và ẩn mình) được thiết kế để chờ sự kiện kích hoạt. (i.e. nhân viên lập trình sẽ phá hoại khi họ nghĩ việc)

• Time Bombs – kích hoạt bởi thời gian (e.g. sinh nhật) • Logic Bombs – kích hoạt bởi tác vụ nào đó (e.g. nhập

mật khẩu nào đó)

07-84

a. Firewall

Kiến trúc Firewall - “gia đình”

Internet Service Provider (ISPs)

always-on connection

broadband modem (DSL/ cable)

07-85

a. Firewall

Kiến trúc Firewall – LAN

Internet Service Provider (ISPs)

07-86

a. Firewall

Kiến trúc Firewall đa lớp – mạng doanh nghiệp

Internet Service Provider (ISPs)

07-87

2. Các hiểm họa về an ninh và Kỹ thuật phòng chống

b. Spyware, Spam, Cookies

nào đó qua kết nối Internet một cách bí mật

Spyware Các phần mềm thu thập thông tin cá nhân về 1 người dùng

khả năng gây làm máy tính hoạt động mất ổn định • Bảo vệ: Firewalls và các phần mềm chống Spyware

• Vấn đề: chiếm dụng tài nguyên bộ nhớ, băng thông, có

Spam Thư điện tử hoặc bản tin với ―khối lượng lớn‖ gửi nhằm

mục đích quảng cáo sản phẩm/ dịch vụ nào đó Vấn đề: phiền hà, mất thời gian xóa bỏ, chiếm đĩa Bảo vệ: phần mềm ―Spam Blocker‖

• •

Cookies Thông điệp web server gửi tới trình duyệt lưu trữ thông tin

07-88

và trạng thái người dùng Vấn đề: có thể lợi dụng để theo dõi hành vi người dùng Bảo vệ: thiết lập trình duyệt, firewall

• •

2. Các hiểm họa về an ninh và Kỹ thuật phòng chống

c. Biometrics

• Sử dụng các đặc tính sinh học khó làm giả để nhận dạng cá nhân như vân tay, võng mạc, …

Sinh trắc học – Biometrics • Kỹ thuật nhận dạng phức tạp dùng để hạn chế truy xuất hệ thống, dữ liệu, hoặc các phương tiện

07-89

• Có khả năng an ninh cao

2. Các hiểm họa về an ninh và Kỹ thuật phòng chống

d. Wireless LAN

Truy xuất mạng không dây trái phép Vấn đề: khả năng xâm nhập mạng, lấy dữ liệu, hoặc dùng các dịch vụ mạng để tấn công mà không cần phải vào trong khu vực Bảo vệ: Mã hóa

07-90

2. Các hiểm họa về an ninh và Kỹ thuật phòng chống

e. VPN và Mã hóa

VPN (Virtual Private Network) • Còn gọi là secure tunnel • Tạo kết nối động cho các người dùng và các nodes • Sử dụng 2 kỹ thuật xác thực (authentication) và mã hóa

encryption

• Sử dụng phổ biến để cho truy cập từ xa (remote access)

mã ở bên nhận

• Public Key – biết trước và dùng để gửi thông điệp • Private Key – không biết và dùng để mở thông điệp • Certificate Authority – tổ chức trung gian phát hành khóa

07-91

Mã hóa – Encryption • Quá trình mã hóa dữ liệu trước khi truyền lên mạng và giãi

2. Các hiểm họa về an ninh và kỹ thuật phòng chống

Cơ chế hoạt động của mã khóa công khai

07-92

2. Các hiểm họa về an ninh và Kỹ thuật phòng chống

f. Virus

Virus Các chương trình tấn công máy tính hoặc mạng và hủy bỏ thông tin, làm hư phần mềm, sử dụng cạn kiệt các nguồn lực ,,, ,,,

tức các email ―có khả năng chứa virus‖

Phòng chống 1. Sử dụng các phần mềm Antivirus 2. Cấm disk sharing 3. Xóa các email ―nghi ngờ‖  Đừng mở mà xóa ngay lập

4. Thông báo sự xuất hiện của virus mới  cho quản trị hệ

07-93

thống mạng

1. Các biện pháp quản trị an toàn

Xử lý khi bị sự cố (% đvị khảo sát)

07-94

III. An ninh Hệ thống Thông tin

2. Các hiểm họa về an ninh và Kỹ thuật phòng chống

• Khác: Spyware, Spam, Wireless Access, Viruses

Hiểm họa an ninh • Mạo danh (Identity Theft) • Từ chối phục vụ (Denial of Service) – tấn công các websites qua các máy ―zombie‖ làm tràn site  shuts down không hoạt động

07-95

Kỹ thuật phòng chống Phổ biến gồm: • Bức tường lửa – Firewalls • Sinh trắc học (Biometrics) • Mạng riêng ảo và mã hóa

2. Các hiểm họa về an ninh và Kỹ thuật phòng chống

a. Firewall

Firewalls Một hệ thống phần mềm, cứng hoặc cả hai được thiết kế để phát hiện các xâm nhập và ngăn chận các truy xuất trái phép đến một hệ thống mạng riêng

Kỹ thuật được dùng • Lọc gói tin (Packet Filter) – kiểm tra từng gói tin vào và ra mạng và xử lý nhận hoặc từ chối theo các luật đã xác định

• Kiểm soát mức ứng dụng – Thực hiện các biện pháp an

ninh theo ứng dụng cụ thể (e.g. file transfer)

phép dấu địa chỉ mạng thực sự

07-96

• Kiểm soát mức mạch nối (Circuit Level Control) – phát hiện các kết nối cụ thể hoặc mạch nối ở 2 phía firewall • Proxy Server – hoạt động như là máy chủ đại diện cho

• Non-technical safeguards – Management of

people’s use of IS

• Acceptable use policies – Trustworthy employees – Well-treated employees

7-97

Managing Information Systems Security

• 1988—Computer Emergency Response Team (CERT)

– Started after Morris worm disabled 10% of all computers connected

to the Internet

Responding to a Security Breach

implementation, management, and operation

7-98

• Computer Security Division (CSD) – Raising of awareness of IT risks – Research and advising about IT vulnerabilities – Development of standards – Development of guidelines to increase secure IT planning,

Learning Objectives

Ethics (Chapter 11 + 4)

IS Hôm nay 1. Mô tả tác động và ảnh hưởng của kỷ nguyên thông tin đến vấn đề đạo đức trong hệ thống thông tin.

2. Thảo luận về vấn đề về quyền riêng tư, tính chính xác, quyền sở hữu, và quyền tiếp cận thông tin

3. Định nghĩa và liệt kê một số loại tội

phạm máy tính.

4. Mô tả và giải thích sự khác biệt giữa chiến tranh mạng và chủ nghĩa khủng bố trên mạng

07-99

Learning Objectives

Security (Chapter 7 + 8)

1. Giải thích được ý nghĩa của từ ―an

1. Giải thích tại sao hệ thống thông tin dễ bị phá hủy, mắc lỗi, và lạm dụng.

2. Mô tả các giá trị kinh doanh của an

ninh hệ thống thông tin" và mô tả các mối đe dọa chính và làm tổn hại đến hệ thống thông tin.

ninh và kiểm soát.

3. Mô tả các thành phần khung của cơ

cấu an ninh và kiểm soát của tổ chức

2. Mô tả cả hai biện pháp bảo vệ dựa trên công nghệ và dựa trên con người đối với hệ thống thông tin.

4. Mô tả các công cụ và công nghệ

3. Thảo luận làm thế nào để quản lý an

được sử dụng để bảo vệ nguồn tài nguyên thông tin.

ninh hệ thống thông tin tốt hơn và giải thích quá trình hoạch định an ninh hệ thống thông tin.

4. Mô tả cách thức các tổ chức có thể thiết lập việc kiểm soát IS để đảm bảo an ninh tốt hơn.

07-100

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

Mô hình PAPA – Richard O. Mason (1986)

Đâu là đáp án của vấn đề NÊN hay KHÔNG NÊN  PAPA

uld

o h S

IS không nên quá mức xâm nhập sự riêng tư của một người để tránh tình huống xấu mà các sinh viên ở Tallahassee gặp phải

Privacy

Accuracy

Property

Accessibility

• Tại Tallahassee Community College, màn hình đã được đóng

T O

ít nhất một ngày mỗi tuần trong mỗi bathoom

uld N

o h S

07-101

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

Mô hình PAPA – Richard O. Mason (1986)

Đâu là đáp án của vấn đề NÊN hay KHÔNG NÊN  PAPA

uld

o h S

IS phải chính xác để tránh những tình huống xấu như Marches&Browns

Privacy

Accuracy

Property

Accessibility

T O

uld N

o h S

07-102

• Các khoản vay của Louis Marches từ Crocker National. Tất cả những gì các quan chức ngân hàng khai là "Máy tính tạo ra những sai lầm. Các ngân hàng cũng phạm sai lầm theo. " • Dự báo của Peter Brown đã dựa vào khi ông quyết định tiến vào North Atlantic đã bị lỗi bởi chỉ vì một sự kiện – trạm 44.003 của Geoges Bank – không hoạt động. Trong sự hỗn loạn đó Gary Brown, một thành viên phi hành đoàn, đã bị cuốn trôi.

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

Mô hình PAPA – Richard O. Mason (1986)

• Quá trình "disemmiding" kiến thức từ một cá nhân, và sau đó

uld

o h S

"emmiding" nó vào máy tranfers quản lý tài sản cho những người sở hữu các phần cứng và phần mềm. Được trao đổi này của tài sản đảm bảo? Nếu kiểm tra xã hội về việc sử dụng mở rộng băng thông là không đủ, và một mức độ nhất định chế là không theo sau, chúng ta có thể thấy rằng gây nhiễu và tiếng ồn sẽ phá hủy các dòng chảy của thông tin rõ ràng trong không khí. Làm thế nào phân bổ nguồn tài nguyên băng thông hạn chế này?

Privacy

Accuracy

Property

Accessibility

T O

uld N

o h S

• Quá trình “phổ biến" kiến thức cá nhân, và sau đó "emmiding" nó vào máy đã chuyển giao việc kiểm soát tài sản cho những người sở hữu các phần cứng và phần mềm. Liệu việc trao đổi tài sản có được đảm bảo? Nếu xã hội kiểm tra việc mở rộng sử dụng băng thông là không thích hợp, và trong một chứng mực nào đó là không thể thực hiện, người ta có thấy rằng gây nhiễu và tiếng ồn sẽ phá hủy các dòng thông tin trong không khí. Làm thế nào sẽ nguồn tài nguyên hạn chế về băng thông được phân bổ?

07-103

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

Mô hình PAPA – Richard O. Mason (1986)

Đâu là đáp án của vấn đề NÊN hay KHÔNG NÊN  PAPA

uld

o h S

IS nên có thể truy cập để tránh các tình huống xấu do trình độ và mất quyền về thông tin

Privacy

Accuracy

Property

Accessibility

• Để gọi là có văn hóa, một công dân trong kỹ nguyên TT phải có tối thiểu 3

T O

nội dung sau:

• Phải có kỹ năng trí tuệ để làm việc thông tin. Reading, Writing, aRithmeting

và Reasoning

uld N

o h S

07-104

• Phải có quyền khai thác tài nguyên ITs, được dùng lưu trữ, truyền tải và xử lý thông tin (thư viện, radio, TV, điện thoại và máy tính hoặc thiết bị đầu cuối liên kết thông qua mạng máy tính lớn Sau cùng, phải có quyền truy cập vào bản thân thông tin. Yêu cầu này quay trở lại với vấn đề tài sản và nó cũng là một vấn đề kinh tế xã hội