230103 CISSP Study Guide

(ISC)2® Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận CISSP Tài liệu Hướng dẫn Nghiên cứu Phiên bản Thứ Chín 2|Page Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mục lục G i ớ i t h i ệ u N h ó m d ị c h A S V ----------------------------------------------------------------------------------------------- 32 T h ô n g t i n X u ấ t b ả n ----------------------------------------------------------------------------------------------------------- 35 L ờ i C ả m ơ n -------------------------------------------------------------------------------------------------------------------------- 38 V ề c á c T á c g i ả -------------------------------------------------------------------------------------------------------------------- 40 V ề c á c B i ê n t ậ p v i ê n K ỹ t h u ậ t --------------------------------------------------------------------------------------- 41 L ờ i t ự a ---------------------------------------------------------------------------------------------------------------------------------- 43 G i ớ i t h i ệ u ----------------------------------------------------------------------------------------------------------------------------- 45 B à i K i ể m t r a Đ á n h g i á ------------------------------------------------------------------------------------------------------ 75 Chương 1 Q u ả n t r ị B ả o m ậ t T h ô n g q u a c á c N g u y ê n t ắ c v à C h í n h s á c h ---------- 99 Bảo mật 101 100 Hiểu và Áp dụng các Khái niệm Bảo mật 102 T í n h B ả o m ậ t -------------------------------------------------------------------------------------------------------------- 103 T í n h T o à n v ẹ n ------------------------------------------------------------------------------------------------------------ 104 T í n h S ẵ n s à n g ------------------------------------------------------------------------------------------------------------ 106 DAD, Bảo vệ quá mức, Tính xác thực, Không khước từ và các Dịch vụ AAA -------------------------------------------------------------------------------------------------------------------------------------- 108 C á c C ơ c h ế B ả o v ệ ---------------------------------------------------------------------------------------------------- 114 Ranh giới Bảo mật 117 Đánh giá và Áp dụng các Nguyên tắc Quản trị Bảo mật 119 Q u ả n t r ị B ê n - t h ứ - b a ------------------------------------------------------------------------------------------------- 120 X e m x é t T à i l i ệ u -------------------------------------------------------------------------------------------------------- 121 Quản lý Chức năng Bảo mật 122 Sự liên kết Chức năng Bảo mật với Chiến lược, Mục đích, Sứ mệnh và Mục t i ê u D o a n h n g h i ệ p ---------------------------------------------------------------------------------------------------- 123 C á c Q u y t r ì n h T ổ c h ứ c --------------------------------------------------------------------------------------------- 127 C á c V a i t r ò v à T r á c h n h i ệ m T ổ c h ứ c ------------------------------------------------------------------- 130 C á c K h u ô n k h ổ K i ể m s o á t B ả o m ậ t ---------------------------------------------------------------------- 132 T h ẩ m đ ị n h v à C h ă m s ó c t h í c h đ á n g --------------------------------------------------------------------- 134 3|Page Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Chính sách, Tiêu chuẩn, Thủ tục và Hướng dẫn Bảo mật 135 C á c C h í n h s á c h B ả o m ậ t ----------------------------------------------------------------------------------------- 135 C á c T i ê u c h u ẩ n , Đ ư ờ n g c ơ s ở v à H ư ớ n g d ẫ n B ả o m ậ t ------------------------------------ 136 C á c T h ủ t ụ c B ả o m ậ t ----------------------------------------------------------------------------------------------- 137 Mô hình hóa Mối đe dọa 138 X á c đ ị n h c á c M ố i đ e d ọ a ----------------------------------------------------------------------------------------- 140 X á c đ ị n h v à L ậ p s ơ đ ồ C á c c u ộ c t ấ n c ô n g T i ề m n ă n g ------------------------------------- 143 T h ự c h i ệ n P h â n t í c h S ự b i ế n đ ổ i -------------------------------------------------------------------------- 143 T h i ế t l ậ p đ ộ ư u t i ê n v à B i ệ n p h á p ứ n g p h ó ------------------------------------------------------- 145 Quản lý Rủi ro Chuỗi Cung ứng 147 Tóm tắt 149 Những điều thiết yếu cho Kỳ thi 151 Bài tập Viết 155 Câu hỏi Đánh giá 155 Chương 2 B ả o m ậ t N h â n v i ê n v à c á c K h á i n i ệ m Q u ả n l ý R ủ i r o --------------------- 163 Các Chính sách và Thủ tục Bảo mật Nhân viên 165 M ô t ả C ô n g v i ệ c v à T r á c h n h i ệ m -------------------------------------------------------------------------- 166 S à n g l ọ c Ứ n g v i ê n v à T u y ể n d ụ n g ------------------------------------------------------------------------ 167 O n b o a r d i n g : C á c T h ỏ a t h u ậ n v à C h í n h s á c h C ô n g v i ệ c ---------------------------------- 168 G i á m s á t N h â n v i ê n -------------------------------------------------------------------------------------------------- 170 C á c Q u y t r ì n h K ế t t h ú c , T h u y ê n c h u y ể n v à C h ấ m d ứ t [ c ô n g v i ệ c ] ------------- 172 Các Thỏa thuận và Biện pháp kiểm soát Nhà cung cấp, Nhà tư vấn và Nhà t h ầ u ------------------------------------------------------------------------------------------------------------------------------ 176 T u â n t h ủ C á c Y ê u c ầ u C h í n h s á c h ------------------------------------------------------------------------ 178 C á c Y ê u c ầ u C h í n h s á c h Q u y ề n r i ê n g t ư ------------------------------------------------------------ 179 Hiểu và Áp dụng các Khái niệm Quản lý Rủi ro 181 C á c T h u ậ t n g ữ v à K h á i n i ệ m v ề R ủ i r o --------------------------------------------------------------- 182 Đ ị n h g i á T à i s ả n -------------------------------------------------------------------------------------------------------- 187 X á c đ ị n h c á c M ố i đ e d ọ a v à L ỗ h ổ n g ------------------------------------------------------------------- 188 4|Page Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Đ á n h g i á / P h â n t í c h R ủ i r o -------------------------------------------------------------------------------------- 190 C á c B i ệ n p h á p ứ n g p h ó v ớ i R ủ i r o ----------------------------------------------------------------------- 199 C h i p h í s o v ớ i L ợ i í c h c ủ a c á c B i ệ n p h á p k i ể m s o á t B ả o m ậ t ----------------------- 203 L ự a c h ọ n v à T r i ể n k h a i c á c B i ệ n p h á p đ ố i p h ó ------------------------------------------------- 208 C á c k i ể u B i ệ n p h á p k i ể m s o á t c ó t h ể Á p d ụ n g đ ư ợ c --------------------------------------- 211 Đ á n h g i á B i ệ n p h á p k i ể m s o á t B ả o m ậ t -------------------------------------------------------------- 215 G i á m s á t v à Đ o l ư ờ n g ---------------------------------------------------------------------------------------------- 215 B á o c á o R ủ i r o v à T à i l i ệ u -------------------------------------------------------------------------------------- 216 L i ê n t ụ c C ả i t i ế n ------------------------------------------------------------------------------------------------------- 217 C á c K h u ô n k h ổ R ủ i r o ---------------------------------------------------------------------------------------------- 219 Kỹ thuật Xã hội 223 C á c N g u y ê n t ắ c K ỹ t h u ậ t X ã h ộ i --------------------------------------------------------------------------- 225 K h a i t h á c T h ô n g t i n ------------------------------------------------------------------------------------------------- 228 T h ê m t r ư ớ c ----------------------------------------------------------------------------------------------------------------- 229 P h i s h i n g ----------------------------------------------------------------------------------------------------------------------- 230 S p e a r P h i s h i n g ----------------------------------------------------------------------------------------------------------- 231 W h a l i n g ----------------------------------------------------------------------------------------------------------------------- 233 S m i s h i n g ---------------------------------------------------------------------------------------------------------------------- 233 V i s h i n g ------------------------------------------------------------------------------------------------------------------------- 234 S p a m ---------------------------------------------------------------------------------------------------------------------------- 235 N h ì n l é n q u a v a i ( S h o u l d e r S u r f i n g ) -------------------------------------------------------------------- 236 L ừ a đ ả o H ó a đ ơ n ( I n v o i c e S c a m s ) ----------------------------------------------------------------------- 236 L ừ a b ị p ( H o a x ) ---------------------------------------------------------------------------------------------------------- 237 M ạ o d a n h v à G i ả m ạ o ---------------------------------------------------------------------------------------------- 238 T h e o đ u ô i v à H ậ u t h u ẫ n ( T a i l g a t i n g v à P i g g y b a c k i n g ) ----------------------------------- 239 L ụ c l ọ i Đ ồ p h ế t h ả i --------------------------------------------------------------------------------------------------- 240 G i a n l ậ n D a n h t í n h --------------------------------------------------------------------------------------------------- 241 T y p o S q u a t t i n g ---------------------------------------------------------------------------------------------------------- 243 C h i ế n d ị c h g â y Ả n h h ư ở n g ------------------------------------------------------------------------------------- 244 5|Page Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C u ộ c c h i ế n H ỗ n h ợ p ------------------------------------------------------------------------------------------------- 245 P h ư ơ n g t i ệ n t r u y ề n t h ô n g X ã h ộ i ------------------------------------------------------------------------- 246 Xác lập và Duy trì một Chương trình Nâng cao nhận thức, Giáo dục và Đào tạo về Bảo mật 247 N â n g c a o n h ậ n t h ứ c ------------------------------------------------------------------------------------------------- 247 Đ à o t ạ o ------------------------------------------------------------------------------------------------------------------------ 248 G i á o d ụ c ---------------------------------------------------------------------------------------------------------------------- 249 C ả i t h i ệ n ---------------------------------------------------------------------------------------------------------------------- 249 Đ á n h g i á H i ệ u q u ả ---------------------------------------------------------------------------------------------------- 251 Tóm tắt 253 Những điều thiết yếu cho Kỳ thi 255 Bài tập Viết 264 Câu hỏi Đánh giá 264 Chương 3 H o ạ c h đ ị n h L i ê n t ụ c K i n h d o a n h ---------------------------------------------------------- 272 Hoạch định Liên tục Kinh doanh 273 Xác định Phạm vi và Hoạch định Dự án 275 Đánh giá Tổ chức 276 L ự a c h ọ n N h ó m B C P ------------------------------------------------------------------------------------------------- 277 C á c Y ê u c ầ u v ề T à i n g u y ê n ------------------------------------------------------------------------------------ 280 C á c Y ê u c ầ u Q u y đ ị n h v à P h á p l ý ------------------------------------------------------------------------- 283 Phân tích Tác động Kinh doanh 284 X á c đ ị n h c á c Ư u t i ê n ----------------------------------------------------------------------------------------------- 286 X á c đ ị n h R ủ i r o --------------------------------------------------------------------------------------------------------- 288 Đ á n h g i á K h ả n ă n g x ả y r a -------------------------------------------------------------------------------------- 290 P h â n t í c h t á c đ ộ n g --------------------------------------------------------------------------------------------------- 292 Ư u t i ê n N g u ồ n l ự c ---------------------------------------------------------------------------------------------------- 294 Hoạch định Liên tục 295 P h á t t r i ể n C h i ế n l ư ợ c ----------------------------------------------------------------------------------------------- 296 Phê duyệt và Triển khai Kế hoạch 6|Page Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 299 P h ê d u y ệ t K ế h o ạ c h ------------------------------------------------------------------------------------------------- 300 T r i ể n k h a i K ế h o ạ c h ------------------------------------------------------------------------------------------------- 300 Đ à o t ạ o v à G i á o d ụ c ------------------------------------------------------------------------------------------------ 300 L ậ p t à i l i ệ u v ề B C P --------------------------------------------------------------------------------------------------- 301 Tóm tắt 307 Những điều thiết yếu cho Kỳ thi 308 Bài tập Viết 309 Câu hỏi Đánh giá 309 Chương 4 L u ậ t l ệ , Q u y đ ị n h v à T u â n t h ủ -------------------------------------------------------------- 316 Các loại Luật 317 L u ậ t H ì n h s ự --------------------------------------------------------------------------------------------------------------- 318 L u ậ t D â n s ự ---------------------------------------------------------------------------------------------------------------- 320 L u ậ t H à n h c h í n h -------------------------------------------------------------------------------------------------------- 321 Các Luật 322 T ộ i p h ạ m M á y t í n h ---------------------------------------------------------------------------------------------------- 323 T à i s ả n S ở h ữ u t r í t u ệ ( I P ) ------------------------------------------------------------------------------------ 329 C ấ p p h é p --------------------------------------------------------------------------------------------------------------------- 339 N h ậ p k h ẩ u / X u ấ t k h ẩ u ---------------------------------------------------------------------------------------------- 340 C á c q u ố c g i a đ á n g l o n g ạ i -------------------------------------------------------------------------------------- 341 K i ể m s o á t X u ấ t k h ẩ u M ã h ó a --------------------------------------------------------------------------------- 342 Q u y ề n r i ê n g t ư ---------------------------------------------------------------------------------------------------------- 342 L u ậ t v ề Q u y ề n r i ê n g t ư c ủ a L i ê n m i n h C h â u Â u ----------------------------------------------- 352 Các Luật lệ về Quyền riêng tư của Tiểu bang 356 Tuân thủ 357 Ký hợp đồng và Mua sắm 360 Tóm tắt 362 Những điều thiết yếu cho Kỳ thi 363 Bài tập Viết 365 Câu hỏi Đánh giá 366 7|Page Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Chương 5 B ả o v ệ S ự b ả o m ậ t c ủ a T à i s ả n ------------------------------------------------------------ 372 Xác định và Phân loại Thông tin và Tài sản 373 X á c đ ị n h D ữ l i ệ u N h ạ y c ả m ------------------------------------------------------------------------------------ 373 X á c đ ị n h P h â n l o ạ i D ữ l i ệ u ------------------------------------------------------------------------------------- 376 X á c đ ị n h P h â n l o ạ i T à i s ả n ------------------------------------------------------------------------------------- 381 H i ể u T r ạ n g t h á i D ữ l i ệ u ------------------------------------------------------------------------------------------ 381 X á c đ ị n h c á c Y ê u c ầ u T u â n t h ủ ---------------------------------------------------------------------------- 383 X á c đ ị n h c á c B i ệ n p h á p k i ể m s o á t B ả o m ậ t D ữ l i ệ u ---------------------------------------- 384 Xác lập Các Yêu cầu Xử lý Thông tin và Tài sản 387 B ả o t r ì D ữ l i ệ u ----------------------------------------------------------------------------------------------------------- 387 N g ă n n g ừ a M ấ t m á t D ữ l i ệ u ----------------------------------------------------------------------------------- 388 Đ á n h d ấ u D ữ l i ệ u v à T à i s ả n N h ạ y c ả m -------------------------------------------------------------- 390 X ử l ý T h ô n g t i n v à T à i s ả n N h ạ y c ả m ----------------------------------------------------------------- 392 G i ớ i h ạ n T h u t h ậ p D ữ l i ệ u -------------------------------------------------------------------------------------- 393 V ị t r í D ữ l i ệ u -------------------------------------------------------------------------------------------------------------- 394 L ư u t r ữ D ữ l i ệ u N h ạ y c ả m -------------------------------------------------------------------------------------- 394 P h á h ủ y D ữ l i ệ u --------------------------------------------------------------------------------------------------------- 395 Đ ả m b ả o L ư u g i ữ D ữ l i ệ u v à T à i s ả n T h í c h h ợ p ----------------------------------------------- 401 Các Phương pháp Bảo vệ Dữ liệu 403 Q u ả n l ý Q u y ề n K ỹ t h u ậ t s ố ( D i g i t a l R i g h t s M a n a g e m e n t ) ----------------------------- 403 T r u n g g i a n b ả o m ậ t T r u y c ậ p Đ á m m â y -------------------------------------------------------------- 405 S ử d ụ n g b i ệ t d a n h ( P s e u d o n y m i z a t i o n ) -------------------------------------------------------------- 406 S ử d ụ n g m ã t h ô n g b á o ( T o k e n i z a t i o n ) ---------------------------------------------------------------- 408 S ử d ụ n g ẩ n d a n h ( A n o n y m i z a t i o n ) ----------------------------------------------------------------------- 409 Hiểu về các Vai trò (đối với) Dữ liệu 411 C h ủ s ở h ữ u D ữ l i ệ u ( D a t a O w n e r ) ------------------------------------------------------------------------ 412 C h ủ s ở h ữ u T à i s ả n -------------------------------------------------------------------------------------------------- 413 C h ủ s ở h ữ u D o a n h n g h i ệ p / N h i ệ m v ụ ------------------------------------------------------------------- 414 B ộ X ử l ý D ữ l i ệ u v à N g ư ờ i K i ể m s o á t D ữ l i ệ u --------------------------------------------------- 415 8|Page Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống N g ư ờ i B ả o q u ả n D ữ l i ệ u ------------------------------------------------------------------------------------------ 417 Q u ả n t r ị v i ê n -------------------------------------------------------------------------------------------------------------- 417 N g ư ờ i d ù n g v à Đ ố i t ư ợ n g --------------------------------------------------------------------------------------- 417 Sử dụng các Đường cơ sở Bảo mật 418 S o s á n h V i ệ c Đ i ề u c h ỉ n h v à X á c l ậ p p h ạ m v i ---------------------------------------------------- 420 L ự a c h ọ n c á c T i ê u c h u ẩ n ---------------------------------------------------------------------------------------- 421 Tóm tắt 422 Những điều thiết yếu cho Kỳ thi 423 Bài tập Viết 427 Câu hỏi Đánh giá 427 Chương 6 M ậ t m ã h ọ c v à c á c T h u ậ t t o á n K h ó a Đ ố i x ứ n g --------------------------------- 433 Nền móng của Mật mã 434 M ụ c đ í c h c ủ a M ậ t m ã ----------------------------------------------------------------------------------------------- 435 C á c k h á i n i ệ m v ề M ậ t m ã ---------------------------------------------------------------------------------------- 438 T o á n h ọ c M ậ t m ã ------------------------------------------------------------------------------------------------------ 440 M ậ t m ã ------------------------------------------------------------------------------------------------------------------------- 448 Mật mã Hiện đại 459 K h ó a M ậ t m ã -------------------------------------------------------------------------------------------------------------- 459 C á c T h u ậ t t o á n K h ó a Đ ố i x ứ n g ----------------------------------------------------------------------------- 462 C á c T h u ậ t t o á n K h ó a B ấ t đ ố i x ứ n g ---------------------------------------------------------------------- 464 C á c T h u ậ t t o á n B ă m ------------------------------------------------------------------------------------------------- 468 Mật mã Đối xứng 469 C á c C h ế đ ộ H o ạ t đ ộ n g c ủ a M ậ t m ã ---------------------------------------------------------------------- 469 T i ê u c h u ẩ n M ã h ó a D ữ l i ệ u ------------------------------------------------------------------------------------ 472 B a l ầ n D E S ------------------------------------------------------------------------------------------------------------------ 473 T h u ậ t t o á n M ã h ó a D ữ l i ệ u Q u ố c t ế -------------------------------------------------------------------- 474 B l o w f i s h ----------------------------------------------------------------------------------------------------------------------- 475 S k i p j a c k ----------------------------------------------------------------------------------------------------------------------- 475 M ậ t m ã R i v e s t ------------------------------------------------------------------------------------------------------------ 476 9|Page Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống T i ê u c h u ẩ n M ã h ó a N â n g c a o ( A E S ) --------------------------------------------------------------------- 477 C A S T ----------------------------------------------------------------------------------------------------------------------------- 477 S o s á n h c á c T h u ậ t t o á n M ã h ó a Đ ố i x ứ n g --------------------------------------------------------- 478 Q u ả n l ý K h ó a Đ ố i x ứ n g ------------------------------------------------------------------------------------------- 479 Vòng đời Mật mã 482 Tóm tắt 483 Những điều thiết yếu cho Kỳ thi 484 Bài tập Viết 487 Câu hỏi Đánh giá 487 Chương 7 P K I v à C á c Ứ n g d ụ n g M ã h ó a ---------------------------------------------------------------- 493 Mã hóa Bất đối xứng 494 C á c K h ó a C ô n g k h a i v à R i ê n g t ư -------------------------------------------------------------------------- 495 R S A ------------------------------------------------------------------------------------------------------------------------------- 496 E l G a m a l ----------------------------------------------------------------------------------------------------------------------- 499 Đ ư ờ n g c o n g E l l i p t i c -------------------------------------------------------------------------------------------------- 499 T r a o đ ổ i K h ó a D i f f i e - H e l l m a n -------------------------------------------------------------------------------- 500 M ậ t m ã L ư ợ n g t ử ------------------------------------------------------------------------------------------------------ 502 Các Hàm Băm 503 S H A ------------------------------------------------------------------------------------------------------------------------------- 505 M D 5 ------------------------------------------------------------------------------------------------------------------------------ 507 R I P E M D ------------------------------------------------------------------------------------------------------------------------ 507 S o s á n h Đ ộ d à i G i á t r ị T h u ậ t t o á n B ă m -------------------------------------------------------------- 508 Các Chữ ký Kỹ thuật số 509 H M A C ---------------------------------------------------------------------------------------------------------------------------- 511 T i ê u c h u ẩ n C h ữ k ý K ỹ t h u ậ t s ố ----------------------------------------------------------------------------- 512 Cơ sở hạ tầng Khóa Công khai 513 C á c C h ứ n g n h ậ n -------------------------------------------------------------------------------------------------------- 513 C á c C ơ q u a n c ấ p C h ứ n g n h ậ n -------------------------------------------------------------------------------- 514 V ò n g đ ờ i C h ứ n g n h ậ n ---------------------------------------------------------------------------------------------- 516 10 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Đ ị n h d ạ n g C h ứ n g n h ậ n -------------------------------------------------------------------------------------------- 521 Quản lý Khóa Bất đối xứng 522 Mã hóa Hỗn hợp 523 Mã hóa Được áp dụng 524 C á c T h i ế t b ị D i đ ộ n g ------------------------------------------------------------------------------------------------ 524 E m a i l ---------------------------------------------------------------------------------------------------------------------------- 525 C á c Ứ n g d ụ n g W e b --------------------------------------------------------------------------------------------------- 530 L ớ p C ổ n g B ả o m ậ t ( S S L ) ----------------------------------------------------------------------------------------- 530 B ả o m ậ t L ớ p T r u y ề n t ả i ( T L S ) ------------------------------------------------------------------------------- 531 T o r v à D a r k W e b ------------------------------------------------------------------------------------------------------- 533 S t e g a n o g r a p h y v à W a t e r m a r k i n g -------------------------------------------------------------------------- 533 K ế t n ố i m ạ n g -------------------------------------------------------------------------------------------------------------- 536 C á c Ứ n g d ụ n g M ớ i n ổ i --------------------------------------------------------------------------------------------- 538 Các cuộc tấn công Mã hóa 541 Tóm tắt 547 Những điều thiết yếu cho Kỳ thi 548 Bài tập Viết 551 Câu hỏi Đánh giá 551 Chương 8 C á c N g u y ê n t ắ c c ủ a c á c M ô h ì n h , T h i ế t k ế v à N ă n g l ự c B ả o m ậ t 557 Các Nguyên tắc Thiết kế Bảo mật 558 C á c Đ ố i t ư ợ n g v à C h ủ t h ể -------------------------------------------------------------------------------------- 559 C á c H ệ t h ố n g Đ ó n g v à H ệ t h ố n g M ở -------------------------------------------------------------------- 560 B ả o m ậ t M ặ c đ ị n h ( h o ặ c L o ạ i b ỏ l ỗ i B ả o m ậ t ) -------------------------------------------------- 563 T h ấ t b ạ i M ộ t c á c h a n t o à n ------------------------------------------------------------------------------------- 565 G i ữ c h o N ó Đ ơ n g i ả n ------------------------------------------------------------------------------------------------ 568 Z e r o T r u s t ------------------------------------------------------------------------------------------------------------------- 569 Q u y ề n r i ê n g t ư t h e o T h i ế t k ế -------------------------------------------------------------------------------- 571 T i n t ư ở n g n h ư n g p h ả i X á c m i n h --------------------------------------------------------------------------- 573 Các Kỹ thuật để Đảm bảo CIA 11 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 573 R à n g b u ộ c ------------------------------------------------------------------------------------------------------------------- 574 G i ớ i h ạ n ----------------------------------------------------------------------------------------------------------------------- 574 C ô l ậ p --------------------------------------------------------------------------------------------------------------------------- 575 K i ể m s o á t T r u y c ậ p -------------------------------------------------------------------------------------------------- 575 T i n c ậ y v à Đ ả m b ả o ------------------------------------------------------------------------------------------------- 576 Hiểu về những Khái niệm Cơ bản về các Mô hình Bảo mật 576 C ơ s ở Đ i ệ n t o á n Đ á n g t i n c ậ y ------------------------------------------------------------------------------- 578 M ô h ì n h M á y T r ạ n g t h á i ------------------------------------------------------------------------------------------ 580 M ô h ì n h L u ồ n g T h ô n g t i n ---------------------------------------------------------------------------------------- 581 M ô h ì n h K h ô n g c a n t h i ệ p ---------------------------------------------------------------------------------------- 581 M ô h ì n h T a k e - G r a n t ------------------------------------------------------------------------------------------------- 582 M a t r ậ n K i ể m s o á t T r u y c ậ p ----------------------------------------------------------------------------------- 584 M ô h ì n h B e l l - L a P a d u l a --------------------------------------------------------------------------------------------- 585 M ô h ì n h B i b a -------------------------------------------------------------------------------------------------------------- 588 M ô h ì n h C l a r k - W i l s o n ----------------------------------------------------------------------------------------------- 591 M ô h ì n h B r e w e r v à N a s h ----------------------------------------------------------------------------------------- 594 M ô h ì n h G o g u e n - M e s e g u e r ------------------------------------------------------------------------------------- 595 M ô h ì n h S u t h e r l a n d -------------------------------------------------------------------------------------------------- 595 M ô h ì n h G r a h a m - D e n n i n g --------------------------------------------------------------------------------------- 595 M ô h ì n h H a r r i s o n - R u z z o - U l l m a n ---------------------------------------------------------------------------- 596 Lựa chọn các Biện pháp Kiểm soát Dựa trên các yêu cầu Bảo mật Hệ thống 597 C á c T i ê u c h í C h u n g -------------------------------------------------------------------------------------------------- 598 C ấ p p h é p V ậ n h à n h -------------------------------------------------------------------------------------------------- 602 Hiểu được Năng lực Bảo mật của Hệ thống Thông tin 604 B ả o v ệ B ộ n h ớ ----------------------------------------------------------------------------------------------------------- 604 Ả o h ó a ------------------------------------------------------------------------------------------------------------------------- 606 M ô - đ u n N ề n t ả n g Đ á n g t i n c ậ y ----------------------------------------------------------------------------- 606 C á c G i a o d i ệ n ------------------------------------------------------------------------------------------------------------- 606 12 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống K h ả n ă n g C h ị u l ỗ i ----------------------------------------------------------------------------------------------------- 607 M ã h ó a / G i ả i m ã --------------------------------------------------------------------------------------------------------- 607 Tóm tắt 607 Những điều thiết yếu cho Kỳ thi 609 Bài tập Viết 613 Câu hỏi Đánh giá 613 Chương 9 C á c L ỗ h ổ n g , M ố i đ e d ọ a v à B i ệ n p h á p đ ố i p h ó B ả o m ậ t -------------- 620 Trách nhiệm được Chia sẻ 621 Đánh giá và Giảm nhẹ các Lỗ hổng Bảo mật của Kiến trúc, Thiết kế, và các Thành phần Giải pháp Bảo mật 623 Các Hệ thống Dựa trên-Máy khách 649 M ã D i đ ộ n g ----------------------------------------------------------------------------------------------------------------- 650 B ộ đ ệ m C ụ c b ộ ---------------------------------------------------------------------------------------------------------- 653 Các Hệ thống Dựa-trên-Máy-chủ 654 C á c H ệ t h ố n g D ữ l i ệ u S o n g s o n g Q u y m ô - L ớ n -------------------------------------------------- 656 Đ i ệ n t o á n L ư ớ i ----------------------------------------------------------------------------------------------------------- 657 N g a n g - h à n g ---------------------------------------------------------------------------------------------------------------- 659 Các Hệ thống Kiểm soát Công nghiệp 659 Các Hệ thống Phân tán 662 Các Hệ thống Điện toán Hiệu suất Cao (HPC) 665 Internet Vạn vật 667 Điện toán Biên và Điện toán Sương mù 670 Các Thiết bị Nhúng và Mạng-Vật lý 672 Các Thiết bị Chuyên dụng 683 Vi dịch vụ 685 Cơ sở hạ tầng như Mã phần mềm 687 Các Hệ thống Ảo hóa 689 P h ầ n m ề m Ả o ------------------------------------------------------------------------------------------------------------- 693 M ạ n g đ ư ợ c Ả o h ó a ---------------------------------------------------------------------------------------------------- 694 13 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống M ọ i t h ứ Đ ư ợ c P h ầ n m ề m - X á c đ ị n h ----------------------------------------------------------------------- 695 Q u ả n l ý B ả o m ậ t Ả o h ó a ----------------------------------------------------------------------------------------- 699 Containerization 701 Kiến trúc Không máy chủ (Serverless) 703 Các thiết bị Di động 704 C á c T í n h n ă n g B ả o m ậ t T h i ế t b ị D i đ ộ n g ----------------------------------------------------------- 707 C á c C h í n h s á c h T r i ể n k h a i T h i ế t b ị D i đ ộ n g ------------------------------------------------------ 726 Các Cơ chế Bảo vệ Bảo mật Thiết yếu 735 C ô l ậ p T i ế n t r ì n h ------------------------------------------------------------------------------------------------------- 736 P h â n đ o ạ n P h ầ n c ứ n g ---------------------------------------------------------------------------------------------- 737 C h í n h s á c h B ả o m ậ t H ệ t h ố n g ------------------------------------------------------------------------------- 737 Các Khiếm khuyết và Vấn đề Kiến trúc Bảo mật Phổ biến 738 C á c K ê n h Ẩ n g i ấ u ------------------------------------------------------------------------------------------------------ 739 C á c c u ộ c t ấ n c ô n g d ự a t r ê n K h i ế m k h u y ế t T h i ế t k ế h o ặ c L ậ p t r ì n h ----------- 740 R o o t k i t s ----------------------------------------------------------------------------------------------------------------------- 742 C á c c u ộ c t ấ n c ô n g G i a t ă n g ----------------------------------------------------------------------------------- 743 Tóm tắt 745 Những điều thiết yếu cho Kỳ thi 746 Bài tập Viết 757 Câu hỏi Đánh giá 757 Chương 10 C á c Y ê u c ầ u B ả o m ậ t V ậ t l ý --------------------------------------------------------------- 765 Áp dụng các Nguyên tắc Bảo mật trong Thiết kế Địa điểm và Cơ sở vật chất 766 K ế h o ạ c h B ả o m ậ t C ơ s ở v ậ t c h ấ t ------------------------------------------------------------------------ 767 L ự a c h ọ n Đ ị a đ i ể m --------------------------------------------------------------------------------------------------- 768 T h i ế t k ế C ơ s ở v ậ t c h ấ t ------------------------------------------------------------------------------------------ 769 Triển khai các Biện pháp kiểm soát Bảo mật Địa điểm và Cơ sở vật chất 772 L ỗ i T h i ế t b ị ----------------------------------------------------------------------------------------------------------------- 774 T ủ N ố i c á p ------------------------------------------------------------------------------------------------------------------ 775 14 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống P h ò n g M á y c h ủ / T r u n g t â m D ữ l i ệ u ----------------------------------------------------------------------- 777 C á c H ệ t h ố n g P h á t h i ệ n X â m n h ậ p ----------------------------------------------------------------------- 781 C a m e r a ------------------------------------------------------------------------------------------------------------------------ 786 L ạ m d ụ n g T r u y c ậ p --------------------------------------------------------------------------------------------------- 788 C ơ s ở v ậ t c h ấ t L ư u t r ữ P h ư ơ n g t i ệ n -------------------------------------------------------------------- 788 L ư u t r ữ B ằ n g c h ứ n g ------------------------------------------------------------------------------------------------- 790 B ả o m ậ t K h u v ự c L à m v i ệ c v à K h u v ự c H ạ n c h ế ----------------------------------------------- 791 N h ữ n g C â n n h ắ c v ề T i ệ n í c h ---------------------------------------------------------------------------------- 793 N g ă n n g ừ a , P h á t h i ệ n v à C h ữ a C h á y ------------------------------------------------------------------- 801 Triển khai và Quản lý Bảo mật Vật lý 809 C á c B i ệ n p h á p k i ể m s o á t B ả o m ậ t V à n h đ a i ------------------------------------------------------ 810 C á c B i ệ n p h á p k i ể m s o á t B ả o m ậ t N ộ i b ộ ---------------------------------------------------------- 816 C á c C h ỉ s ố H i ệ u s u ấ t T h e n c h ố t v ề B ả o m ậ t V ậ t l ý ----------------------------------------- 819 Tóm tắt 821 Những điều thiết yếu cho Kỳ thi 822 Bài tập Viết 828 Câu hỏi Đánh giá 829 Chương 11 B ả o m ậ t K i ế n t r ú c v à c á c T h à n h p h ầ n M ạ n g --------------------------------- 836 Mô hình OSI 838 L ị c h s ử c ủ a M ô h ì n h O S I ----------------------------------------------------------------------------------------- 838 C h ứ c n ă n g O S I ----------------------------------------------------------------------------------------------------------- 839 Đ ó n g g ó i / M ở g ó i ( E n c a p s u l a t i o n / D e e n c a p s u l a t i o n ) ----------------------------------------- 840 C á c l ớ p O S I ---------------------------------------------------------------------------------------------------------------- 842 Mô hình TCP/IP 848 Phân tích Lưu lượng Mạng 849 Các Giao thức Lớp Ứng dụng Phổ biến 851 Các Giao thức Lớp Truyền tải 853 Hệ thống Tên Miền 855 N h i ễ m đ ộ c D N S ---------------------------------------------------------------------------------------------------------- 859 15 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống M á y c h ủ D N S G i ả m ạ o --------------------------------------------------------------------------------------------- 859 Đ o ạ t q u y ề n đ i ề u k h i ể n M i ề n ---------------------------------------------------------------------------------- 864 Kết nối mạng Giao thức Internet (IP) 866 I P v 4 s o v ớ i I P v 6 -------------------------------------------------------------------------------------------------------- 866 C á c l ớ p I P ------------------------------------------------------------------------------------------------------------------- 869 I C M P ----------------------------------------------------------------------------------------------------------------------------- 870 I G M P ----------------------------------------------------------------------------------------------------------------------------- 871 Những mối quan tâm về ARP 871 Bảo mật các Giao thức Truyền thông 873 Tác động của các Giao thức Đa lớp 875 C á c G i a o t h ứ c H ộ i t ụ ----------------------------------------------------------------------------------------------- 877 G i a o t h ứ c Â m t h a n h t h o ạ i q u a I n t e r n t ( V o I P ) -------------------------------------------------- 878 K ế t n ố i m ạ n g d o P h ầ n - m ề m - X á c - đ ị n h ----------------------------------------------------------------- 880 Vi phân đoạn 882 Mạng không dây 883 B ả o m ậ t S S I D ------------------------------------------------------------------------------------------------------------- 885 C á c K ê n h K h ô n g d â y ------------------------------------------------------------------------------------------------ 886 T i ế n h à n h K h ả o s á t Đ ị a đ i ể m -------------------------------------------------------------------------------- 887 B ả o m ậ t K h ô n g d â y -------------------------------------------------------------------------------------------------- 888 Q u y ề n r i ê n g t ư T ư ơ n g đ ư ơ n g C ó d â y ( W E P ) ----------------------------------------------------- 889 T r u y c ậ p W i - F i Đ ư ợ c b ả o v ệ ( W P A ) --------------------------------------------------------------------- 889 T r u y c ậ p W i - F i Đ ư ợ c b ả o v ệ 2 ( W P A 2 ) --------------------------------------------------------------- 890 T r u y c ậ p W i - F i Đ ư ợ c b ả o v ệ 3 ( W P A 3 ) --------------------------------------------------------------- 891 8 0 2 . 1 X / E A P ----------------------------------------------------------------------------------------------------------------- 891 L E A P ----------------------------------------------------------------------------------------------------------------------------- 892 P E A P ----------------------------------------------------------------------------------------------------------------------------- 892 T h i ế t l ậ p W i - F i đ ư ợ c B ả o v ệ ( W P S ) --------------------------------------------------------------------- 892 B ộ l ọ c M A C K h ô n g d â y --------------------------------------------------------------------------------------------- 893 Q u ả n l ý Ă n g - t e n K h ô n g d â y ----------------------------------------------------------------------------------- 893 16 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống S ử d ụ n g c á c C a p t i v e P o r t a l ------------------------------------------------------------------------------------ 895 T h ủ t ụ c B ả o m ậ t K h ô n g d â y C h u n g ---------------------------------------------------------------------- 895 G i a o t i ế p K h ô n g d â y ------------------------------------------------------------------------------------------------- 896 C á c c u ộ c t ấ n c ô n g K h ô n g d â y ------------------------------------------------------------------------------- 901 Các Giao thức Giao tiếp khác 906 Mạng Di động 908 Mạng Phân phối Nội dung (CDNs) 909 Bảo mật các Thành phần Mạng 910 B ả o m ậ t H o ạ t đ ộ n g c ủ a P h ầ n c ứ n g ---------------------------------------------------------------------- 911 C á c T h i ế t b ị M ạ n g P h ổ b i ế n ----------------------------------------------------------------------------------- 912 K i ể m s o á t T r u y c ậ p M ạ n g --------------------------------------------------------------------------------------- 916 T ư ờ n g l ử a ------------------------------------------------------------------------------------------------------------------- 918 B ả o m ậ t Đ ầ u c u ố i ----------------------------------------------------------------------------------------------------- 927 K é o c á p , S ơ đ ồ c ấ u t r ú c l i ê n k ế t v à C ô n g n g h ệ P h ư ơ n g t i ệ n T r u y ề n d ẫ n - 932 P h ư ơ n g t i ệ n T r u y ề n t ả i ------------------------------------------------------------------------------------------- 932 C ấ u t r ú c l i ê n k ế t M ạ n g -------------------------------------------------------------------------------------------- 938 E t h e r n e t ---------------------------------------------------------------------------------------------------------------------- 942 N h ữ n g C ô n g n g h ệ - P h ụ --------------------------------------------------------------------------------------------- 942 Tóm tắt 947 Những điều thiết yếu cho Kỳ thi 948 Bài tập Viết 955 Câu hỏi Đánh giá 955 Chương 12 B ả o m ậ t G i a o t i ế p v à c á c c u ộ c T ấ n c ô n g M ạ n g ---------------------------- 962 Các Cơ chế Bảo mật Giao thức 963 C á c G i a o t h ứ c X á c t h ự c ------------------------------------------------------------------------------------------- 964 B ả o m ậ t C ổ n g ------------------------------------------------------------------------------------------------------------ 967 C h ấ t l ư ợ n g D ị c h v ụ ( Q o S ) -------------------------------------------------------------------------------------- 968 Bảo mật Giao tiếp Âm thanh 969 M ạ n g Đ i ệ n t h o ạ i C h u y ể n m ạ c h C ô n g c ộ n g ( P S T N ) ------------------------------------------- 969 17 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Â m t h a n h t h o ạ i q u a G i a o t h ứ c I n t e r n e t ( V o I P ) ------------------------------------------------ 970 V i s h i n g v à P h r e a k i n g ----------------------------------------------------------------------------------------------- 972 G i a n l ậ n v à L ạ m d ụ n g P A B X ----------------------------------------------------------------------------------- 973 Quản lý Bảo mật Truy cập Từ xa 976 K ỹ t h u ậ t T r u y c ậ p T ừ x a v à L à m v i ệ c T ừ x a ----------------------------------------------------- 976 B ả o m ậ t K ế t n ố i T ừ x a -------------------------------------------------------------------------------------------- 978 L ậ p k ế h o ạ c h m ộ t C h í n h s á c h B ả o m ậ t T r u y c ậ p T ừ x a --------------------------------- 979 Cộng tác Đa phương tiện 980 H ộ i h ọ p T ừ x a ------------------------------------------------------------------------------------------------------------ 981 N h ắ n t i n T ứ c t h ờ i v à T r ò c h u y ệ n -------------------------------------------------------------------------- 982 Cân bằng tải 982 I P Ả o v à T ả i B ề n b ỉ -------------------------------------------------------------------------------------------------- 984 A c t i v e - A c t i v e s o v ớ i A c t i v e - P a s s i v e --------------------------------------------------------------------- 984 Quản lý Bảo mật Email 985 M ụ c t i ê u c ủ a B ả o m ậ t E m a i l ---------------------------------------------------------------------------------- 986 T ì m h i ể u v ề c á c V ấ n đ ề B ả o m ậ t E m a i l -------------------------------------------------------------- 988 C á c G i ả i p h á p B ả o m ậ t E m a i l --------------------------------------------------------------------------------- 989 Mạng Riêng Ảo 994 Đ ư ờ n g h ầ m ----------------------------------------------------------------------------------------------------------------- 995 V P N H o ạ t đ ộ n g N h ư t h ế n à o ---------------------------------------------------------------------------------- 996 L u ô n l u ô n - B ậ t ----------------------------------------------------------------------------------------------------------- 1000 Đ ư ờ n g h ầ m P h â n t á c h s o v ớ i T o à n b ộ Đ ư ờ n g h ầ m ----------------------------------------- 1000 C á c G i a o t h ứ c V P N P h ổ b i ế n --------------------------------------------------------------------------------- 1001 Chuyển mạch và các mạng LAN Ảo 1004 Dịch Địa chỉ Mạng 1011 C á c Đ ị a c h ỉ I P R i ê n g t ư ------------------------------------------------------------------------------------------ 1014 N A T T r ạ n g t h á i ( ------------------------------------------------------------------------------------------------------ 1016 S t a t e f u l N A T ) ------------------------------------------------------------------------------------------------------------ 1016 Đ á n h Đ ị a c h ỉ I P R i ê n g t ư T ự đ ộ n g ---------------------------------------------------------------------- 1016 18 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Kết nối với Bên-thứ-ba 1017 Các Công nghệ Chuyển mạch 1019 C h u y ể n m ạ c h K ê n h ( C i r c u i t S w i t c h i n g ) -------------------------------------------------------------- 1020 C h u y ể n m ạ c h G ó i ( P a c k e t S w i t c h i n g ) ----------------------------------------------------------------- 1021 M ạ c h Ả o ---------------------------------------------------------------------------------------------------------------------- 1022 Các Công nghệ WAN 1022 Những Đặc tính Kiểm soát Truy cập 1026 T í n h m i n h b ạ c h --------------------------------------------------------------------------------------------------------- 1026 C á c C ơ c h ế Q u ả n l ý T r u y ề n t ả i ---------------------------------------------------------------------------- 1027 Ngăn chặn hoặc Giảm thiểu các cuộc Tấn công Mạng 1027 N g h e l é n --------------------------------------------------------------------------------------------------------------------- 1028 C á c c u ộ c T ấ n c ô n g S ử a đ ổ i ----------------------------------------------------------------------------------- 1028 Tóm tắt 1029 Những điều thiết yếu cho Kỳ thi 1031 Bài tập Viết 1035 Câu hỏi Đánh giá 1036 Chương 13 Q u ả n l ý D a n h t í n h v à X á c t h ự c -------------------------------------------------------- 1042 Kiểm soát Truy cập vào Tài sản 1044 K i ể m s o á t T r u y c ậ p V ậ t l ý v à L u ậ n l ý ---------------------------------------------------------------- 1046 B ộ b a C I A v à c á c B i ệ n p h á p k i ể m s o á t T r u y c ậ p --------------------------------------------- 1047 Quản lý Danh tính và Xác thực 1047 S o s á n h C h ủ t h ể v à Đ ố i t ư ợ n g ----------------------------------------------------------------------------- 1049 Đ ă n g k ý , C h ứ n g m i n h v à X á c l ậ p D a n h t í n h ----------------------------------------------------- 1050 C ấ p p h é p v à T r á c h n h i ệ m G i ả i t r ì n h ------------------------------------------------------------------- 1052 T ổ n g q u a n v ề C á c y ế u t ố X á c t h ự c --------------------------------------------------------------------- 1055 Đ i ề u g ì đ ó m à B ạ n B i ế t ------------------------------------------------------------------------------------------ 1057 N h ữ n g g ì B ạ n đ a n g C ó -------------------------------------------------------------------------------------------- 1062 N h ữ n g g ì B ạ n đ a n g L à -------------------------------------------------------------------------------------------- 1064 X á c t h ự c Đ a y ế u t ố ( M F A ) ------------------------------------------------------------------------------------- 1069 19 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống X á c t h ự c H a i - Y ế u t ố v ớ i c á c Ứ n g d ụ n g X á c t h ự c -------------------------------------------- 1070 X á c t h ự c K h ô n g M ậ t k h ẩ u -------------------------------------------------------------------------------------- 1072 X á c t h ự c T h i ế t b ị ----------------------------------------------------------------------------------------------------- 1073 X á c t h ự c D ị c h v ụ ------------------------------------------------------------------------------------------------------ 1074 X á c t h ự c L ẫ n n h a u --------------------------------------------------------------------------------------------------- 1076 Triển khai Quản lý Danh tính 1076 Đ ă n g n h ậ p M ộ t l ầ n ( S S O ) -------------------------------------------------------------------------------------- 1077 S S O v à D a n h t í n h Đ ư ợ c l i ê n k ế t -------------------------------------------------------------------------- 1078 L i ê n t ổ c h ứ c D ự a - t r ê n - Đ á m - m â y ( C l o u d - B a s e d F e d e r a t i o n ) ------------------------ 1079 L i ê n t ổ c h ứ c T ạ i - C h ỗ ---------------------------------------------------------------------------------------------- 1080 L i ê n t ổ c h ứ c L a i ------------------------------------------------------------------------------------------------------- 1080 J u s t - i n - T i m e ( K ị p - t h ờ i ) ------------------------------------------------------------------------------------------ 1080 C á c H ệ t h ố n g Q u ả n l ý T h ô n g t i n đ ă n g n h ậ p ---------------------------------------------------- 1081 C á c Ứ n g d ụ n g Q u ả n l ý T h ô n g t i n đ ă n g n h ậ p --------------------------------------------------- 1083 T r u y c ậ p t h e o T ậ p l ệ n h ------------------------------------------------------------------------------------------ 1083 Q u ả n l ý P h i ê n ( t r u y c ậ p ) --------------------------------------------------------------------------------------- 1083 Quản lý Vòng đời Cung cấp Danh tính và Quyền truy cập 1085 C ấ p p h é p v à O n b o a r d i n g ---------------------------------------------------------------------------------------- 1085 H ủ y c ấ p p h é p v à K ế t t h ú c ( O f f b o a r d i n g ) ---------------------------------------------------------- 1088 X á c đ ị n h V a i t r ò M ớ i ----------------------------------------------------------------------------------------------- 1089 D u y t r ì T à i k h o ả n ----------------------------------------------------------------------------------------------------- 1089 X e m x é t Q u y ề n t r u y c ậ p T à i k h o ả n --------------------------------------------------------------------- 1090 Tóm tắt 1092 Những điều thiết yếu cho Kỳ thi 1093 Bài tập Viết 1096 Câu hỏi Đánh giá 1096 Chương 14 K i ể m s o á t v à G i á m s á t T r u y c ậ p ------------------------------------------------------ 1101 So sánh các Mô hình Kiểm soát Truy cập 1102 S o s á n h P e r m i s s i o n , R i g h t s v à P r i v i l e g e s --------------------------------------------------------- 1102 20 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống H i ể u v ề c á c C ơ c h ế C ấ p p h é p ------------------------------------------------------------------------------- 1103 X á c đ ị n h C á c y ê u c ầ u đ ố i v ớ i C h í n h s á c h B ả o m ậ t ----------------------------------------- 1106 G i ớ i t h i ệ u c á c M ô h ì n h K i ể m s o á t T r u y c ậ p ------------------------------------------------------ 1107 K i ể m s o á t T r u y c ậ p T ù y ý -------------------------------------------------------------------------------------- 1109 K i ể m s o á t T r u y c ậ p K h ô n g t ù y ý -------------------------------------------------------------------------- 1110 Triển khai các Hệ thống Xác thực 1122 T r i ể n k h a i S S O t r ê n I n t e r n e t -------------------------------------------------------------------------------- 1122 T r i ể n k h a i S S O t r ê n M ạ n g N ộ i b ộ ------------------------------------------------------------------------ 1129 Hiểu về Các cuộc tấn công Kiểm soát Truy cập 1136 C á c T h à n h p h ầ n R ủ i r o ------------------------------------------------------------------------------------------- 1137 C á c C u ộ c t ấ n c ô n g K i ể m s o á t T r u y c ậ p P h ổ b i ế n -------------------------------------------- 1137 N h ữ n g P h ư ơ n g p h á p B ả o v ệ C ố t l õ i -------------------------------------------------------------------- 1159 Tóm tắt 1162 Những điều thiết yếu cho Kỳ thi 1163 Bài tập Viết 1167 Câu hỏi Đánh giá 1168 Chương 15 Đ á n h g i á v à K i ể m n g h i ệ m B ả o m ậ t -------------------------------------------------- 1173 Xây dựng một Chương trình Đánh giá và Ki ểm tra Bảo mật 1175 K i ể m t r a B ả o m ậ t ----------------------------------------------------------------------------------------------------- 1176 Đ á n h g i á B ả o m ậ t ---------------------------------------------------------------------------------------------------- 1177 K i ể m t o á n B ả o m ậ t -------------------------------------------------------------------------------------------------- 1179 Thực hiện Đánh giá Lỗ hổng 1185 M ô t ả c á c L ỗ h ổ n g --------------------------------------------------------------------------------------------------- 1185 Q u é t c á c L ỗ h ổ n g ----------------------------------------------------------------------------------------------------- 1186 K i ể m t r a X â m n h ậ p -------------------------------------------------------------------------------------------------- 1201 K i ể m t r a T u â n t h ủ --------------------------------------------------------------------------------------------------- 1205 Kiểm nghiệm Phần mềm Của bạn 1205 Đ á n h g i á v à K i ể m n g h i ệ m M ã p h ầ n m ề m ----------------------------------------------------------- 1206 K i ể m t r a G i a o d i ệ n -------------------------------------------------------------------------------------------------- 1213 21 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống K i ể m n g h i ệ m T r ư ờ n g h ợ p S ử d ụ n g s a i --------------------------------------------------------------- 1214 P h â n t í c h P h ạ m v i K i ể m n g h i ệ m --------------------------------------------------------------------------- 1214 G i á m s á t T r a n g W e b ------------------------------------------------------------------------------------------------ 1215 Triển khai các Quy trình Quản lý Bảo mật 1216 X e m x é t N h ậ t k ý ------------------------------------------------------------------------------------------------------- 1216 Q u ả n l ý T à i k h o ả n --------------------------------------------------------------------------------------------------- 1217 K h ô i p h ụ c s a u T h ả m h ọ a v à L i ê n t ụ c K i n h d o a n h ------------------------------------------- 1219 Đ à o t ạ o v à N â n g c a o n h ậ n t h ứ c -------------------------------------------------------------------------- 1219 C á c C h ỉ s ố H i ệ u s u ấ t v à R ủ i r o T h e n c h ố t -------------------------------------------------------- 1220 Tóm tắt 1221 Những điều thiết yếu cho Kỳ thi 1222 Bài tập Viết 1224 Câu hỏi Đánh giá 1224 Chương 16 Q u ả n l ý V ậ n h à n h B ả o m ậ t ---------------------------------------------------------------- 1229 Áp dụng các Khái niệm Vận hành Bảo mật Cơ bản 1231 C ầ n đ ư ợ c B i ế t v à Đ ặ c q u y ề n T ố i t h i ể u -------------------------------------------------------------- 1232 P h â n t á c h N h i ệ m v ụ ( S o D ) v à T r á c h n h i ệ m ------------------------------------------------------ 1234 K i ể m s o á t H a i - N g ư ờ i ----------------------------------------------------------------------------------------------- 1235 L u â n c h u y ể n C ô n g v i ệ c ------------------------------------------------------------------------------------------ 1236 K ỳ n g h ỉ B ắ t b u ộ c ------------------------------------------------------------------------------------------------------ 1236 Q u ả n l ý T à i k h o ả n Đ ặ c q u y ề n ------------------------------------------------------------------------------- 1237 T h ỏ a t h u ậ n M ứ c D ị c h v ụ ( S L A s ) -------------------------------------------------------------------------- 1240 Giải quyết vấn đề An toàn và Bảo mật Nhân sự 1240 C ư ỡ n g é p -------------------------------------------------------------------------------------------------------------------- 1241 Đ i d u l ị c h ------------------------------------------------------------------------------------------------------------------- 1242 Q u ả n l ý T ì n h h u ố n g k h ẩ n c ấ p ------------------------------------------------------------------------------- 1243 Đ à o t ạ o v à N â n g c a o n h ậ n t h ứ c -------------------------------------------------------------------------- 1244 Cung cấp Tài nguyên một cách An toàn 1244 Q u y ề n s ở h ữ u T h ô n g t i n v à T à i s ả n -------------------------------------------------------------------- 1244 22 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Q u ả n l ý T à i s ả n -------------------------------------------------------------------------------------------------------- 1245 Áp dụng Bảo vệ Tài nguyên 1247 Q u ả n l ý P h ư ơ n g t i ệ n ----------------------------------------------------------------------------------------------- 1248 C á c K ỹ t h u ậ t B ả o v ệ P h ư ơ n g t i ệ n ------------------------------------------------------------------------ 1248 Các dịch vụ được Quản lý trên Đám mây 1252 T r á c h n h i ệ m đ ư ợ c C h i a s ẻ v ớ i c á c M ô h ì n h D ị c h v ụ Đ á m m â y -------------------- 1253 K h ả n ă n g m ở r ộ n g v à T í n h l i n h h o ạ t ------------------------------------------------------------------ 1256 Thực hiện Quản lý Cấu hình (CM) 1257 C u n g c ấ p -------------------------------------------------------------------------------------------------------------------- 1257 L ậ p đ ư ờ n g c ơ s ở ------------------------------------------------------------------------------------------------------ 1258 S ử d ụ n g c á c H ì n h ả n h đ ể L ậ p đ ư ờ n g c ơ s ở ------------------------------------------------------ 1258 T ự đ ộ n g h ó a -------------------------------------------------------------------------------------------------------------- 1260 Vệc Quản lý Thay đổi 1261 Q u ả n l ý T h a y đ ổ i ----------------------------------------------------------------------------------------------------- 1263 Đ á n h p h i ê n b ả n -------------------------------------------------------------------------------------------------------- 1265 T à i l i ệ u C ấ u h ì n h ----------------------------------------------------------------------------------------------------- 1266 Quản lý Vá lỗi và Giảm thiểu Lỗ hổng 1266 C á c H ệ t h ố n g c ầ n Q u ả n l ý ------------------------------------------------------------------------------------- 1266 Q u ả n l ý B ả n v á --------------------------------------------------------------------------------------------------------- 1267 Q u ả n l ý L ỗ h ổ n g ------------------------------------------------------------------------------------------------------- 1270 Q u é t L ỗ h ổ n g ------------------------------------------------------------------------------------------------------------ 1270 C á c L ỗ h ổ n g v à B i ể u l ộ P h ổ b i ế n ------------------------------------------------------------------------- 1272 Tóm tắt 1272 Những điều thiết yếu cho Kỳ thi 1273 Bài tập Viết 1276 Câu hỏi Đánh giá 1277 Chương 17 N g ă n c h ặ n v à Ứ n g p h ó v ớ i c á c S ự c ố --------------------------------------------- 1282 Tiến hành Quản lý Sự cố 1283 X á c đ ị n h m ộ t S ự c ố ------------------------------------------------------------------------------------------------- 1283 23 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C á c b ư ớ c Q u ả n l ý S ự c ố ----------------------------------------------------------------------------------------- 1285 Triển khai các Biện pháp Phát hiện và Ngăn ngừa 1293 C á c B i ệ n p h á p N g ă n n g ừ a C ơ b ả n ----------------------------------------------------------------------- 1294 H i ể u v ề c á c c u ộ c T ấ n c ô n g ----------------------------------------------------------------------------------- 1296 C á c H ệ t h ố n g P h á t h i ệ n v à N g ă n c h ặ n X â m n h ậ p ------------------------------------------- 1309 C á c B i ệ n p h á p N g ă n n g ừ a C ụ t h ể ------------------------------------------------------------------------ 1321 Ghi nhật ký và Giám sát 1331 C á c K ỹ t h u ậ t G h i n h ậ t k ý --------------------------------------------------------------------------------------- 1331 V a i t r ò c ủ a G i á m s á t ----------------------------------------------------------------------------------------------- 1336 C á c K ỹ t h u ậ t G i á m s á t -------------------------------------------------------------------------------------------- 1340 Q u ả n l ý N h ậ t k ý ------------------------------------------------------------------------------------------------------- 1346 G i á m s á t L ố i r a --------------------------------------------------------------------------------------------------------- 1347 Ứng phó Sự cố Tự động 1349 H i ể u v ề S O A R ------------------------------------------------------------------------------------------------------------ 1349 M á y h ọ c v à c á c C ô n g c ụ A I ----------------------------------------------------------------------------------- 1351 T h ô n g t i n t ì n h b á o v ề M ố i đ e d ọ a ----------------------------------------------------------------------- 1352 G i a o đ i ể m c ủ a S O A R , M á y h ọ c , A I v à N g u ồ n c u n g c ấ p M ố i đ e d ọ a ------------ 1357 Tóm tắt 1358 Những điều thiết yếu cho Kỳ thi 1359 Bài tập Viết 1364 Câu hỏi Đánh giá 1364 Chương 18 H o ạ c h đ ị n h K h ô i p h ụ c s a u T h ả m h ọ a ---------------------------------------------- 1370 Bản chất của Thảm họa 1372 T h ả m h ọ a T ự n h i ê n ------------------------------------------------------------------------------------------------- 1372 T h ả m h ọ a d o C o n n g ư ờ i - G â y r a --------------------------------------------------------------------------- 1380 Hiểu về Khả năng phục hồi, Tính sẵn sàng Cao, và Khả năng chịu Lỗi của Hệ thống 1389 B ả o v ệ Ổ đ ĩ a c ứ n g --------------------------------------------------------------------------------------------------- 1391 B ả o v ệ M á y c h ủ -------------------------------------------------------------------------------------------------------- 1393 24 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống B ả o v ệ N g u ồ n C ấ p đ i ệ n ------------------------------------------------------------------------------------------ 1395 K h ô i p h ụ c Đ á n g t i n c ậ y ------------------------------------------------------------------------------------------ 1396 C h ấ t l ư ợ n g D ị c h v ụ -------------------------------------------------------------------------------------------------- 1398 Chiến lược Khôi phục 1398 C á c Ư u t i ê n Đ ơ n v ị K i n h d o a n h v à C h ứ c n ă n g ------------------------------------------------- 1399 Q u ả n l ý K h ủ n g h o ả n g --------------------------------------------------------------------------------------------- 1401 T r u y ề n t h ô n g t r o n g T ì n h h u ố n g k h ẩ n c ấ p --------------------------------------------------------- 1402 K h ô i p h ụ c N h ó m l à m v i ệ c -------------------------------------------------------------------------------------- 1403 C á c Đ ị a đ i ể m X ử l ý T h a y t h ế -------------------------------------------------------------------------------- 1403 K h ô i p h ụ c C ơ s ở d ữ l i ệ u ----------------------------------------------------------------------------------------- 1410 Phát triển Kế hoạch Khôi phục 1413 Ứ n g p h ó v ớ i T ì n h h u ố n g k h ẩ n c ấ p ---------------------------------------------------------------------- 1414 C o n n g ư ờ i v à T r u y ề n t h ô n g ---------------------------------------------------------------------------------- 1415 Đ á n h g i á --------------------------------------------------------------------------------------------------------------------- 1417 S a o l ư u v à L ư u t r ữ N g o ạ i b i ê n ----------------------------------------------------------------------------- 1417 T h ỏ a t h u ậ n K ý q u ỹ P h ầ n m ề m ------------------------------------------------------------------------------ 1423 T i ệ n í c h ---------------------------------------------------------------------------------------------------------------------- 1424 H ậ u c ầ n v à C u n g ứ n g --------------------------------------------------------------------------------------------- 1424 K h ô i p h ụ c v à P h ụ c h ồ i -------------------------------------------------------------------------------------------- 1424 Đ à o t ạ o , N â n g c a o n h ậ n t h ứ c v à L ậ p t h à n h t à i l i ệ u -------------------------------------- 1426 Kiểm nghiệm và Duy trì 1427 K i ể m n g h i ệ m Đ ọ c q u a [ k ế h o ạ c h ] ----------------------------------------------------------------------- 1427 D i ễ n - t ậ p C ó c ấ u t r ú c ----------------------------------------------------------------------------------------------- 1428 K i ể m n g h i ệ m M ô p h ỏ n g ------------------------------------------------------------------------------------------ 1428 K i ể m n g h i ệ m S o n g s o n g ----------------------------------------------------------------------------------------- 1429 K i ể m n g h i ệ m G i á n - đ o ạ n - T o à n - b ộ ------------------------------------------------------------------------ 1429 B à i h ọ c K i n h n g h i ệ m ----------------------------------------------------------------------------------------------- 1429 D u y t r ì ------------------------------------------------------------------------------------------------------------------------ 1431 Tóm tắt 1431 25 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Những điều thiết yếu cho Kỳ thi 1432 Bài tập Viết 1434 Câu hỏi Đánh giá 1434 Chương 19 Đ i ề u t r a v à Đ ạ o đ ứ c ---------------------------------------------------------------------------- 1440 Điều tra 1441 C á c L o ạ i Đ i ề u t r a ----------------------------------------------------------------------------------------------------- 1441 B ằ n g c h ứ n g ---------------------------------------------------------------------------------------------------------------- 1445 Q u y t r ì n h Đ i ề u t r a --------------------------------------------------------------------------------------------------- 1455 Các Loại Tội phạm Máy tính Chủ yếu 1462 C á c c u ộ c T ấ n c ô n g Q u â n s ự v à T ì n h b á o ---------------------------------------------------------- 1464 C á c c u ộ c T ấ n c ô n g D o a n h n g h i ệ p ----------------------------------------------------------------------- 1465 C á c c u ộ c T ấ n c ô n g T à i c h í n h -------------------------------------------------------------------------------- 1466 C á c c u ộ c T ấ n c ô n g K h ủ n g b ố -------------------------------------------------------------------------------- 1467 C á c c u ộ c T ấ n c ô n g T r ả t h ù ----------------------------------------------------------------------------------- 1467 C á c c u ộ c T ấ n c ô n g G i ậ t g â n --------------------------------------------------------------------------------- 1470 H a c k t i v i s t s ----------------------------------------------------------------------------------------------------------------- 1470 Đạo đức 1471 Q u y t ắ c Đ ạ o đ ứ c c ủ a T ổ c h ứ c ------------------------------------------------------------------------------ 1471 Q u y t ắ c Đ ạ o đ ứ c ( I S C ) 2 ----------------------------------------------------------------------------------------- 1473 Đ ạ o đ ứ c v à I n t e r n e t ----------------------------------------------------------------------------------------------- 1475 Tóm tắt 1477 Những điều thiết yếu cho Kỳ thi 1478 Bài tập Viết 1480 Câu hỏi Đánh giá 1480 Chương 20 B ả o m ậ t P h á t t r i ể n P h ầ n m ề m ---------------------------------------------------------- 1485 Giới thiệu về Kiểm soát Phát triển Hệ thống 1487 P h á t t r i ể n P h ầ n m ề m ---------------------------------------------------------------------------------------------- 1487 V ò n g đ ờ i P h á t t r i ể n H ệ t h ố n g ------------------------------------------------------------------------------- 1500 C á c M ô h ì n h V ò n g đ ờ i --------------------------------------------------------------------------------------------- 1505 26 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống B i ể u đ ồ G a n t t v à P E R T ------------------------------------------------------------------------------------------- 1518 Q u ả n l ý T h a y đ ổ i v à Q u ả n l ý C ấ u h ì n h -------------------------------------------------------------- 1519 P h ư ơ n g p h á p t i ế p c ậ n D e v O p s ----------------------------------------------------------------------------- 1522 C á c G i a o d i ệ n L ậ p t r ì n h Ứ n g d ụ n g ( A p p l i c a t i o n P r o g r a m m i n g I n t e r f a c e ) 1524 K i ể m t r a P h ầ n m ề m ------------------------------------------------------------------------------------------------- 1525 K h o l ư u t r ữ M ã n g u ồ n --------------------------------------------------------------------------------------------- 1528 C á c T h ỏ a t h u ậ n M ứ c - D ị c h - v ụ -------------------------------------------------------------------------------- 1530 M u a l ạ i P h ầ n m ề m B ê n - t h ứ - b a ----------------------------------------------------------------------------- 1530 Xác lập Cơ sở dữ liệu và Kho Dữ liệu 1532 K i ế n t r ú c H ệ t h ố n g Q u ả n l ý C ơ s ở d ữ l i ệ u -------------------------------------------------------- 1532 G i a o d ị c h C ơ s ở d ữ l i ệ u ------------------------------------------------------------------------------------------ 1538 B ả o m ậ t đ ố i v ớ i C ơ s ở d ữ l i ệ u Đ a c ấ p --------------------------------------------------------------- 1540 K ế t n ố i C ơ s ở d ữ l i ệ u M ở ( O p e n D a t a b a s e C o n n e c t i v i t y ) ------------------------------ 1546 N o S Q L ------------------------------------------------------------------------------------------------------------------------- 1547 Các mối đe dọa với Lưu trữ 1548 Hiểu về các Hệ thống Dựa trên-Kiến thức 1549 C á c H ệ t h ố n g C h u y ê n g i a -------------------------------------------------------------------------------------- 1550 M á y H ọ c ---------------------------------------------------------------------------------------------------------------------- 1551 M ạ n g T h ầ n k i n h ( N e u r a l ) --------------------------------------------------------------------------------------- 1552 Tóm tắt 1553 Những điều thiết yếu cho Kỳ thi 1554 Bài tập Viết 1556 Câu hỏi Đánh giá 1556 Chương 21 M ã p h ầ n m ề m Đ ộ c h ạ i v à c á c c u ộ c T ấ n c ô n g Ứ n g d ụ n g ------------ 1561 Phần mềm độc hại (Malware) 1562 N g u ồ n c ủ a M ã p h ầ n m ề m Đ ộ c h ạ i ----------------------------------------------------------------------- 1563 V i - r ú t --------------------------------------------------------------------------------------------------------------------------- 1564 B o m L o g i c ------------------------------------------------------------------------------------------------------------------ 1571 N g ự a T r o j a n -------------------------------------------------------------------------------------------------------------- 1571 27 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống S â u m á y t í n h ( W o r m ) ---------------------------------------------------------------------------------------------- 1573 R a n s o m w a r e -------------------------------------------------------------------------------------------------------------- 1578 T ậ p l ệ n h Đ ộ c h ạ i ------------------------------------------------------------------------------------------------------ 1580 T ấ n c ô n g Z e r o - D a y -------------------------------------------------------------------------------------------------- 1581 Ngăn chặn Malware 1581 N h ữ n g N ề n t ả n g D ễ b ị t ổ n t h ư ơ n g v ớ i M a l w a r e ---------------------------------------------- 1582 P h ầ n m ề m C h ố n g P h ầ n m ề m đ ộ c h ạ i ------------------------------------------------------------------ 1582 G i á m s á t T í n h t o à n v ẹ n ------------------------------------------------------------------------------------------ 1584 B ả o v ệ t r ư ớ c M ố i đ e d ọ a đ ư ợ c T ă n g c ư ờ n g ------------------------------------------------------ 1585 Các cuộc Tấn công Ứng dụng 1586 T r à n B ộ n h ớ đ ệ m ----------------------------------------------------------------------------------------------------- 1586 T h ờ i g i a n K i ể m t r a đ ế n T h ờ i g i a n S ử d ụ n g ------------------------------------------------------- 1587 C ổ n g h ậ u -------------------------------------------------------------------------------------------------------------------- 1588 L e o t h a n g Đ ặ c q u y ề n v à R o o t k i t s ------------------------------------------------------------------------ 1589 Các Lỗ hổng Chèn lệnh (Injection) 1590 T ấ n c ô n g C h è n S Q L ( S Q L I n j e c t i o n ) ------------------------------------------------------------------- 1590 T ấ n c ô n g C h è n M ã ( C o d e I n j e c t i o n ) ------------------------------------------------------------------- 1596 T ấ n c ô n g C h è n L ệ n h ( C o m m a n d I n j e c t i o n ) ------------------------------------------------------- 1596 Khai thác Các Lỗ hổng Cấp phép 1598 T h a m c h i ế u Đ ố i t ư ợ n g T r ự c t i ế p K h ô n g b ả o m ậ t -------------------------------------------- 1598 D u y ệ t q u a T h ư m ụ c ------------------------------------------------------------------------------------------------- 1599 B a o g ồ m T ậ p t i n ( F i l e I n c l u s i o n ) ------------------------------------------------------------------------- 1601 Khai thác Các Lỗ hổng Ứng dụng Web 1602 T ậ p l ệ n h k ị c h b ả n c h é o - t r a n g ( C r o s s - S i t e S c r i p t i n g - X S S ) ------------------------- 1603 G i ả m ạ o Y ê u c ầ u ------------------------------------------------------------------------------------------------------ 1607 C h i ế m đ o ạ t P h i ê n ----------------------------------------------------------------------------------------------------- 1609 Các Biện pháp kiểm soát Bảo mật Ứng dụng 1609 X á c t h ự c Đ ầ u v à o ----------------------------------------------------------------------------------------------------- 1609 T ư ờ n g l ử a Ứ n g d ụ n g W e b -------------------------------------------------------------------------------------- 1612 28 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống B ả o m ậ t C ơ s ở d ữ l i ệ u -------------------------------------------------------------------------------------------- 1614 B ả o m ậ t M ã n g u ồ n --------------------------------------------------------------------------------------------------- 1615 Thực tế Viết mã phần mềm An toàn 1619 C á c B ì n h l u ậ n v ề M ã N g u ồ n ---------------------------------------------------------------------------------- 1619 X ử l ý L ỗ i --------------------------------------------------------------------------------------------------------------------- 1620 T h ô n g t i n đ ă n g n h ậ p đ ư ợ c M ã - h ó a - C ứ n g ( H a r d - C o d e d ) -------------------------------- 1622 Q u ả n l ý B ộ n h ớ --------------------------------------------------------------------------------------------------------- 1623 Tóm tắt 1624 Những điều thiết yếu cho Kỳ thi 1625 Bài tập Viết 1626 Câu hỏi Đánh giá 1626 Phụ lục A Đ á p á n c ủ a C â u h ỏ i Đ á n h g i á -------------------------------------------------------------- 1632 Chương 1 Quản trị Bảo mật Thông qua các Nguyên tắc và Chính sách 1632 Chương 2 Bảo mật Nhân viên và các Khái ni ệm Quản lý Rủi ro 1637 Chương 3 Hoạch định Liên tục Kinh doanh 1645 Chương 4 Luật lệ, Quy định và Tuân thủ 1649 Chương 5 Bảo vệ Sự bảo mật của Tài sản 1652 Chương 6 Các Thuật toán Mã hóa và Khóa Đối xứng 1657 Chương 7 PKI và Ứng dụng Mã hóa 1660 Chương 8 mật Các Nguyên tắc đối với các Mô hình, Thiết kế và Năng lực Bảo 1663 Chương 9 Các Lỗ hổng, Mối đe dọa và Biện pháp đối phó Bảo mật 1668 Chương 10 Các Yêu cầu Bảo mật Vật lý 1678 Chương 11 Bảo mật Kiến trúc và các Thành phần Mạng 1683 Chương 12 Bảo mật Truyền thông và các cuộc Tấn công Mạng 1691 Chương 13 Quản lý Danh tính và Xác thực 1696 Chương 14 Kiểm soát và Giám sát Truy cập 1700 Chương 15 Đánh giá và Kiểm nghiệm Bảo mật 1705 Chương 16 Quản lý Vận hành Bảo mật 1707 29 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Chương 17 Ngăn chặn và Ứng phó với các Sự cố 1712 Chương 18 Hoạch định Khôi phục sau Thảm họa 1716 Chương 19 Điều tra và Đạo đức 1720 Chương 20 Bảo mật Phát triển Phần mềm 1723 Chương 21 Mã phần mềm Độc hại và các cuộc Tấn công Ứng dụng 1727 Phụ lục B Đ á p á n c h o B à i t ậ p V i ế t ------------------------------------------------------------------------ 1731 Chương 1 Quản trị Bảo mật Thông qua các Nguyên tắc và Chính sách 1731 Chương 2 Bảo mật Nhân viên và các Khái ni ệm Quản lý Rủi ro 1732 Chương 3 Hoạch định Liên tục Kinh doanh 1733 Chương 4 Luật lệ, Quy định và Tuân thủ 1734 Chương 5 Bảo vệ Sự bảo mật của Tài sản 1735 Chương 6 Các Thuật toán Mã hóa và Khóa Đối xứng 1736 Chương 7 PKI và Ứng dụng Mã hóa 1737 Chương 8 mật Các Nguyên tắc đối với các Mô hình, Thiết kế và Năng lực Bảo 1737 Chương 9 Các Lỗ hổng, Mối đe dọa và Biện pháp đối phó Bảo mật 1738 Chương 10 Các Yêu cầu Bảo mật Vật lý 1741 Chương 11 Bảo mật Kiến trúc và các Thành phần Mạng 1743 Chương 12 Bảo mật Truyền thông và các cuộc Tấn công Mạng 1744 Chương 13 Quản lý Danh tính và Xác thực 1746 Chương 14 Kiểm soát và Giám sát Truy cập 1747 Chương 15 Đánh giá và Kiểm nghiệm Bảo mật 1748 Chương 16 Quản lý Vận hành Bảo mật 1749 Chương 17 Ngăn chặn và Ứng phó với các Sự cố 1750 Chương 18 Hoạch định Khôi phục sau Thảm họa 1751 Chương 19 Điều tra và Đạo đức 1752 Chương 20 Bảo mật Phát triển Phần mềm 1753 Chương 21 Mã phần mềm Độc hại và các cuộc Tấn công Ứng dụng 1753 C h ú g i ả i t h u ậ t n g ữ C I S S P --------------------------------------------------------------------------------------------- 1758 30 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C I S S P 8 D o m a i n s C h e a t S h e e t ------------------------------------------------------------------------------------ 1833 Lĩnh vực 1: Bảo mật và Quản lý Rủi ro 1833 Lĩnh vực 2: Bảo mật Tài sản 1834 Lĩnh vực 3: Công nghệ và Kiến trúc Bảo mật 1835 Lĩnh vực 4: Bảo mật Mạng và Truyền thông 1836 Lĩnh vực 5: Quản lý Danh tính và Truy cập (IAM) 1837 Lĩnh vực 6: Đánh giá và Kiểm tra Bảo mật 1838 Lĩnh vực 7: Vận hành Bảo mật 1839 Lĩnh vực 8: Bảo mật Phát triển Phần mềm 1840 31 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống G i ớ i t h i ệ u Nh óm d ịc h A S V Nhóm dịch Bảo mật và Quản trị Mạng hiện tại đang bao gồm một số thành viên hiện đang công tác trong lĩnh vực CNTT như sau: Đỗ Thượng Điền (Hà Nội) ✓ Công việc hiện tại: Quản trị Hệ thống, ✓ Đơn vị: Công ty CP CNTT New Vision, ✓ Điểm mạnh: o Quản lý hệ thống máy chủ Linux, Windows, o Triển khai và quản lý hệ thống SQLServer, MariaDB, Postgres, Haproxy, Nginx và Elasticsearc h, o Giám sát các hệ thống Zabbix, Prometheus, ELK. Nguyễn Văn Thắng (Hà Nội) ✓ Công việc hiện tại: Kỹ sư hệ thống, ✓ Đơn vị: Công ty 3C JSC, ✓ Điểm mạnh: o Triển khai các Dự án Tích hợp hệ thống, o Triển khai các hệ thống máy chủ Linux, lưu trữ, sao lưu và ảo hóa VMWare. Mai Thanh Việt (Hà Nội) ✓ Công việc hiện tại: Cán bộ kỹ thuật Phòng Dự án, ✓ Đơn vị: Công ty TNHH Điện tử Tin học EI, ✓ Điểm mạnh: o Cẩn thận và chu đáo trong công việc. o Các dự án lưu trữ lớn trên nền tảng IBM. Phan Văn Sáng (Hà Nội) ✓ Công việc hiện tại: Tổng Giám đốc, ✓ Đơn vị: Công ty ITSUPRO, ✓ Điểm mạnh: o Tư vấn triển khai hệ thống mạng, o Dịch vụ IT Outsourcing cho doanh nghi ệp, 32 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống o Hỗ trợ sự cố người dùng đầu cuối. Hoàng Thành Đạt ✓ Công việc hiện tại: ✓ Đơn vị: Công ty Cổ phần Công nghệ cao LiOA, Nguyễn Sơn Tùng (Tp. Hồ Chí Minh) ✓ Công việc hiện tại: Quản lý Phòng Tư vấn giải pháp, ✓ Đơn vị: Digital Work Network, ✓ Điểm mạnh: o Thiết kế và tư vấn các giải pháp Cisco Meraki và SD-WAN. Nguyễn Thành Đông (Tp. Hồ Chí Minh) ✓ Công việc hiện tại: Team Leader, ✓ Đơn vị: Công ty TNHH Chứng khoán Yuanta Việt Nam, ✓ Điểm mạnh: o Chuyên môn chính về phần mềm (có thể lập trình, thiết kế DB); o Khả năng nắm bắt nhanh về nghiệp vụ hệ thống (như : core chứng khoán (BOSC, AFE, TTL, FW), core finance); o Chịu khó học hỏi, có kiến thức cơ bản về hệ thống (Network, Firewall, AD, SAN, VMWare, v.v…). Phạm Hoàng Minh (Tp. Hồ Chí Minh) ✓ Công việc hiện tại: IT Manager, ✓ Đơn vị: Công ty SOFACOMPANY VIETNAM, ✓ Điểm mạnh: o Triển khai, vận hành, quản lý hạ tầng CNTT o Quản lý các nhà cung cấp dịch vụ CNTT o Biên soạn và xuất bản các chính sách CNTT o Quản lý nguồn ngân sách CNTT, Trần Sơn Hải (Tp. Hồ Chí Minh) ✓ Công việc hiện tại: IT Manager, ✓ Đơn vị: Công ty Discovery Loft, ✓ Điểm mạnh: 33 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống o Quản lý Dự án CNTT, o IT Help Desk. Nguyễn Thế Hùng (Tp. Hồ Chí Minh) ✓ Công việc hiện tại: Giám đốc CNTT, ✓ Đơn vị: Công ty Luật Frasers, ✓ Điểm mạnh: o Quản trị doanh nghiệp; o Định hướng và Đào tạo; o Quản trị và thiết lập định hướng chiến lược kinh doanh với BSC, OKRs và KPI; o Quản lý Dự án với OKRs. 34 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống T h ôn g t in X u ấ t b ả n Bản quyền 2021© của John Wiley & Son, Inc. Tất cả các quyền được bảo lưu. Được xuất bản bởi John Wiley & Son, Inc., Hoboken, New Jersey. Được xuất bản đồng thời tại Canada và Vương quốc Anh. ISBN: 978-1-119-78623-8 ISBN: 978-1-119-78633-7 (ebook) ISBN: 978-1-119-78624-5 (ebook). Không một phần nào của ấn phẩm này có thể được sao chép, lưu trữ trong hệ thống truy xuất hoặc được truyền tải dưới bất kỳ hình thức nào hoặc bằng bất kỳ phương tiện nào, dù là điện tử, cơ khí, photocopy, ghi âm, quét hoặc bằng cách khác, trừ khi được cho phép theo Mục 107 hoặc 108 của Đạo luật Bản quyền Hoa Kỳ năm 1976 mà không được sự cho phép trước bằng văn bản của Nhà xuất bản hoặc ủy quyền thông qua việc thanh toán phí cho mỗi-bản-sao thích hợp cho Trung tâm Cấp phép Bản quyền, 222 Rosewood Drive, Danvers, MA 01923, (978) 750-8400, fax (978) 646 -8600. Các yêu cầu cấp phép đối với Nhà xuất bản phải được gửi tới Phòng Cấp phép, John Wiley & Sons, Inc., 111 River Street, Hoboken, NJ 07030, (201) 7 48-6011, fax (201) 748-6008 hoặc trực tuyến tại trang web http://www.wiley.com/go/permissions . Giới hạn về Trách nhiệm pháp lý/Tuyên bố từ chối Bảo hành: Trong khi nhà xuất bản và tác giả đã cố gắng hết sức để chuẩn bị cuốn sách này, họ không tuyên bố hoặc bảo đảm về tính chính xác hoặc đầy đủ của nội dung của ấn phẩm này và đặc biệt từ chối bất kỳ lời bảo đảm ngụ ý nào về khả năng bán được hoặc phù hợp cho một mục đích cụ thể. Không có sự bảo đảm nào có thể được tạo ra hoặc mở rộng bởi các đại diện bán hàng hoặc các tài liệu bán hàng bằng văn bản. Lời khuyên và những chiến lược trong tài liệu này có thể không phù hợp với tình huống của bạn. Bạn nên tham khảo ý kiến của một chuyên gia nếu thích hợp. Nhà xuất bản và tác giả đều không chịu trách nhiệm về bất kỳ tổn thất lợi 35 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống nhuận hoặc bất kỳ thiệt hại thương mại nào khác, bao gồm nhưng không giới hạn ở các thiệt hại đặc biệt, ngẫu nhiên, do hậu quả hoặc các thiệt hại khác. Để biết thêm thông tin chung về các sản phẩm và dịch vụ khác của chúng tôi hoặc để được hỗ trợ kỹ thuật, vui lòng liên hệ với Bộ phận Chăm sóc Khách hàng của chúng tôi tại Hoa Kỳ theo số điện thoại (877) 762-2974, hoặc từ bên ngoài Hoa Kỳ theo số (317) 572-3993 hoặc fax (317) 572-4002. Wiley cũng xuất bản sách của mình dưới nhiều định dạng điện tử. Một số nội dung xuất hiện trong bản in có thể không có sẵn ở định dạng điện tử. Để biết thêm thông tin về các sản phẩm của Wiley, vui lòng truy cập trang web của chúng tôi tại địa chỉ www.wiley.com. Số Kiểm soát của Thư viện Quốc hội: 2021935479 NHÃN HIỆU: WILEY và biểu tượng Wiley là nhãn hiệu hoặc nhãn hiệu đã được đăng ký của John Wiley & Sons, Inc., và/hoặc các chi nhánh của nó, ở Hoa Kỳ và các quốc gia khác, và không được sử dụng nếu không có sự cho phép bằng văn bản. (ISC)2 và CISSP là nhãn hiệu hoặc nhãn hiệu đã được đăng ký của (ISC)2, Inc. Tất cả các nhãn hiệu khác là tài sản của chủ sở hữu tương ứng. John Wiley & Sons, Inc. không liên kết với bất kỳ sản phẩm hoặc nhà cung cấp nào được đề cập trong cuốn sách này. (Các) Ảnh bìa: © Jeremy Woodhouse/G etty Images, Inc. Thiết kế bìa: Wiley. 36 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Gửi tới Dewitt Latimer, người cố vấn, người bạn và đồng nghiệp của tôi. Tôi thực sự rất nhớ bạn. — Mike Chapple Gửi đến Cathy, cách nhìn của bạn về thế giới và cuộc sống thường làm tôi ngạc nhiên, thách thức tôi và khiến tôi càng yêu bạn nhiều hơn. — James Michael Stewart Gửi đến Nimfa, cảm ơn vì đã chia sẻ cuộc sống của bạn với tôi trong 29 năm qua và vì đã để tôi chia sẻ cuộc sống của tôi với bạn. — Darril Gibson 37 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống L ờ i C ả m ơn Chúng tôi muốn bày tỏ lòng biết ơn đến Wiley vì đã tiếp tục hỗ trợ cho dự án này. Đặc biệt xin cảm ơn biên tập viên phát triển, Kelly Talbot, và các biên tập viên kỹ thuật, Jerry Rayome, Chri Crayton, và Aaron Kraus, những người đã thực hiện những kỳ công đáng kinh ngạc trong việc hướng dẫn chúng tôi cải thiện ấn phẩm này. Đồng thời, xin trân trọng cảm ơn đại lý của chúng tôi, Carole Jelen, vì đã tiếp tục hỗ trợ để hoàn thành dự án này. Mike, James và Darril. Xin gửi lời cảm ơn đặc biệt đến rất nhiều những bạn bè và đồng nghiệp của tôi trong cộng đồng an ninh mạng, những người đã cung cấp cho tôi nhiều giờ trò chuyện và tranh luận thú vị về các vấn đề bảo mật đã truyền cảm hứng và cung cấp rất nhiều thông tin cho nội dung trong ấn phẩm này. Tôi muốn cảm ơn nhóm tại Wiley, những người đã cung cấp sự hỗ trợ vô giá trong suốt quá trình phát triển quyển sách. Tôi cũng rất biết ơn người đại diện văn học của tôi, Carole Jelen của Waterside Productions. Đ ồng tác giả của tôi, James Michael Stewart và Darril Gibson, là nh ững cộng tác viên tuyệt vời và tôi muốn cảm ơn cả hai vì những đóng góp chu đáo của họ cho các chương của tôi. Tôi cũng muốn cảm ơn rất nhiều người đã tham gia vào quá trình s ản xuất quyển sách này mà tôi chưa bao giờ có cơ hội gặp gỡ: đội đồ họa, nhân viên sản xuất và tất cả những người đã tham gia đưa quyển sách này vào xuất bản. Mike Chapple Xin trân trọng cảm ơn Mike Chapple và Darril Gibson vì nh ững đóng góp liên tục cho dự án này. Đồng thời xin cảm ơn những sinh viên khóa CISSP của tôi, những người đã bổ sung những hiểu biết sâu sắc và ý kiến đóng góp để cải thiện bộ tài liệu đào tạo của tôi và cuối cùng là ấn phẩm này. Dành cho người vợ yêu quý của tôi, Cathy: Việc cùng nhau xây dựng cuộc sống và gia định còn tuyệt vời hơn những gì tôi đã có thể tưởng tượng. Gửi đến Slayde và Remi: Các con đang lớn rất nhanh và học tập với một tốc độ vượt trội, và các con tiếp tục làm bố thích thú và ấn tượng mỗi ngày. Cả hai con đều đang phát triển thành những cá nhân tuyệt vời. Gửi đến mẹ tôi, Johnnie: Thật tuyệt vời khi có mẹ ở gần. Dành cho Mark: Dù thời gian đã trôi qua hay chúng ta ít khi gặp nhau, tôi vẫn luôn là 38 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống bạn của bạn. Và cuối cùng, như mọi khi, với Elvis: Bạn đã đi trước nỗi ám ảnh thịt xông khói hiện tại với món bánh mì kẹp bơ đậu phộng/chuối/thịt xông khói, tôi nghĩ đó là bằng chứng bạn đã du hành xuyên thời gian! James Michael Steward Thật tuyệt vời khi được làm việc với những người tài năng như James Michael Stewart và Mike Chapple. Xin cảm ơn cả hai bạn vì tất cả những công việc và nỗ lực hợp tác của các bạn trong dự án này. Các biên tập viên kỹ thuật, Jerry Rayome, Chris Crayton và Aaron Kraus, đã cung cấp cho chúng tôi một số phản hồi nổi bật, và quyển sách này trở nên ấn tượng hơn nhờ những nỗ lực của họ. Cảm ơn nhóm tại Wiley (bao gồm quản lý dự án, biên tập viên và nghệ sĩ đồ họa) vì tất cả công việc mà các bạn đã thực hiện đã giúp chúng tôi xuất bản được ấn phẩm này. Cuối cùng, xin cảm ơn vợ tôi, Nimfa, vì đã chịu đựng sự kỳ quặc của tôi khi tôi thực hiện quyển sách này. Darril Gibson 39 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Về các Tác giả Mike Chapple, Tiến sĩ, CISSP, Security+, CySA, PenTest+, CISA, CISM, CCSP , CIPP/US, là một giáo sư giảng dạy về CNTT tại Đại học Notre Dame. Trước đây, ông là giám đốc thông tin của Brand Institute và là nhà nghiên c ứu bảo mật thông tin của Cơ quan An ninh Quốc gia và Không quân Hoa K ỳ. Các lĩnh vực chuyên môn chính của ông bao gồm phát hiện xâm nhập mạng và kiểm soát truy cập. Mike là cộng tác viên thường xuyên cho trang SearchSecurity c ủa TechTarget và là tác giả của hơn 25 cuốn sách, bao gồm cuốn sách đồng hành với hướng dẫn ôn tập này: CISSP Official (ISC)2 Practice Test (tạm dịch: Bài kiểm tra thực hành CISSP Official (ISC)2), CompTIA CySA+ Study Guide: Exam SY0-601 (tạm dịch CompTIA CySA+ Hướng dẫn nghiên cứu: Kỳ thi SY0-601), CompTIA Security+ Study Guide: Exam SY0-601 (tạm dịch CompTIA Security+ Hướng dẫn nghiên cứu: Kỳ thi SY0-601) và Cyberwarfare: Information Operation in a Connected World (tạm dịch Chiến tranh mạng: Hoạt động thông tin trong một thế giới được kết nối). Mike cung cấp các nhóm nghiên cứu cho các chứng nhận CISSP, SSCP, Security+ và CSA+ trên trang web c ủa anh ấy tại địa chỉ www.certmike.com. James Michael Stewart, CISSP, CEH, CHFI, ECSA, CND, ECIH, CySA+, PenTest+, CASP+, Security+, Network+, A+, CISM và CFR, đã vi ết và đào tạo hơn 25 năm, với trọng tâm hiện tại là bảo mật. Ông đã giảng dạy các khóa đào tạo về CISSP từ năm 2002, chưa kể các khóa học khác về bảo mật Internet và kiểm tra đạo đức tin tặc (ethical hacking)/xâm nhập. Ông là tác giả và là người đóng góp cho hơn 75 cuốn sách về chứng nhận bảo mật, các chủ đề của Microsoft và quản trị mạng, bao gồm CompTIA Security+ Review Guide: Exam SY0-601 (tạm dịch CompTIA Security+ Hướng dẫn Đánh giá: Kỳ thi SY0-601). Thông tin thêm về Michael có thể được tìm thấy tại trang web của ông tại địa chỉ www.impactonline.com. Darril Gibson, CISSP, Security+, CASP, là Giám đ ốc điều hành của YCDA (viết tắt của You Can Do Anything), và ông đã là tác giả hoặc đồng tác giả của hơn 40 cuốn sách. Darril thường xuyên viết, tư vấn và giảng dạy về nhiều chủ đề kỹ thuật và bảo mật và có một số chứng nhận. Ông thường xuyên đăng các bài viết trên blog tại blog.getcertifiedgetahead.com về các chủ đề chứng nhận và sử 40 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống dụng trang web đó để giúp mọi người nắm bắt được những thay đổi trong các kỳ thi chứng nhận. Ông thích lắng nghe từ độc giả, đặc biệt là khi họ đã vượt qua kỳ thi sau khi sử dụng một trong những cuốn sách của ông ấy, và bạn có thể liên hệ với ông qua trang blog. V ề c á c B iê n t ậ p v iê n K ỹ t h u ậ t Jerry Rayome, BS/MS Computer Science, CISSP, đã đư ợc tuyển dụng làm thành viên của Chương trình An ninh Mạng (Cyber Security Program) tại Phòng thí nghiệm Quốc gia Lawrence Livermore trong hơn 20 năm, cung c ấp các dịch vụ an ninh mạng bao gồm phát triển phần mềm, kiểm tra xâm nhập, ứng phó sự cố, triển khai tường lửa/quản trị, kiểm toán tường lửa, triển khai/giám sát honeynet, điều tra pháp y mạng, triển khai/đánh giá kiểm soát NIST 800-53, đánh giá rủi ro đám mây và kiểm toán bảo mật đám mây. Chris Crayton là nhà tư vấn kỹ thuật, nhà đào tạo, tác giả và biên tập viên kỹ thuật hàng đầu trong ngành. Ông đã t ừng làm việc với tư cách là giảng viên công nghệ máy tính và mạng, giám đốc bảo mật thông tin, quản trị viên mạng, kỹ sư mạng và chuyên gia về máy tính cá nhân (PC). Chris là tác giả của một số sách in và sách trực tuyến về sửa chữa máy tính cá nhân, CompTIA A+, CompTIA Security+ và Microsoft Windows. Ông cũng đã t ừng là biên tập viên kỹ thuật và người đóng góp nội dung cho rất nhiều đầu sách kỹ thuật cho một số công ty xuất bản hàng đầu. Ông có nhiều chứng nhận trong ngành, bao gồm CISSP, MCSE, CompTIA S+, N+, A+, và nhi ều chứng nhận khác. Ông cũng đã được công nhận với nhiều giải thưởng về chuyên môn và giảng dạy, và đã từng là giám khảo chung kết cuộc thi SkillsUSA ở cấp tiểu bang (Hoa Kỳ). Aaron Kraus, CISSP, CCSP, là một chuyên gia bảo mật thông tin, người hướng dẫn và tác giả đã làm việc trong rất nhiều ngành và trên phạm vi toàn cầu. Ông đã dành hơn 15 năm với tư cách là nhà tư vấn hoặc nhà quản lý rủi ro bảo mật trong các vai trò cùng với chính phủ, dịch vụ tài chính và các công ty khởi nghiệp công nghệ, bao gồm gần đây nhất là trong lĩnh vực bảo hiểm rủi ro mạng và đã dành 13 năm giảng dạy, viết tài liệu và phát triển các khóa học bảo mật tại Learning Tree International, nơi ông cũng là ch ủ nhiệm chương trình giảng dạy 41 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống về an ninh mạng. Kinh nghiệm viết lách và biên tập của ông bao gồm sách tham khảo chính thức (ISC)2, các kỳ thi thực hành và hướng dẫn học tập cho cả CISSP lẫn CCSP. 42 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Lời tựa Chào mừng bạn đến với tác phẩm (ISC)2® CISSP® Certified Information Systems Security Professional Official Study Guide, 9 th Edition (tạm dịch (ISC)2® CISSP® Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – Hướng dẫn Nghiên cứu, Phiên bản thứ 9). Dữ liệu từ Nghiên cứu Lực lượng lao động An ninh mạng 2020 (Cybersecurity Workforce Study) cho thấy rằng có 47% nhà tuyển dụng yêu cầu nhân viên bảo mật của họ phải có chứng nhận an ninh mạng trung lập của nhà cung cấp và chứng nhận Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận (CISSP) chính là chứng nhận phổ biến nhất. Theo nghiên cứu, các nhà tuyển dụng đánh giá rất cao các chuyên gia an ninh mạng được chứng nhận về một số phẩm chất, từ việc tăng cường sự tự tin trong các chiến lược và thực tiễn đến việc giao tiếp và thể hiện sự tự tin và năng lực đó với khách hàng. Những lợi ích khác của chứng nhận được người sử dụng lao động trích dẫn bao gồm việc làm giảm tác động của vi phạm bảo mật, biết rằng công nghệ và các thực tiễn tốt nhất được cập nhật và nâng cao danh tiếng của tổ chức trong phạm vi ngành cụ thể. Ngoài việc tạo ra niềm tin từ phía người sử dụng lao động và tổ chức của họ, các chuyên gia bảo mật có chứng nhận về an ninh mạng có thể tăng mức lương trung bình của họ lên 27%. Chưa bao giờ có thời điểm nào tốt hơn bây giờ để sử dụng những kỹ năng công nghệ thông tin của bạn để giúp bảo vệ cơ sở hạ tầng, thông tin, hệ thống và quy trình của tổ chức bạn cũng như để cải thiện và phát triển trong hành trình chuyên nghi ệp của bạn. Chứng nhận CISSP là tiêu chuẩn vàng cho sự thành thạo trong lĩnh vực an ninh mạng, chứng minh cho nhà tuyển dụng thấy rằng bạn có những kiến thức và kỹ năng vững vàng trong nhiều lĩnh vực an ninh mạng và khả năng xây dựng và quản lý gần như tất cả các khía cạnh của hoạt động bảo mật của một tổ chức. Nó cũng báo hiệu những cam kết của bạn đối với sự phát triển nghề nghiệp liên tục khi bạn tiếp tục theo sát những thay đổi của ngành và luôn trau dồi những kỹ năng của mình. 43 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Hướng dẫn nghiên cứu này sẽ hướng dẫn bạn lần lượt đi qua 8 lĩnh vực chủ đề mà kỳ thi CISSP sẽ kiểm tra kiến thức của bạn. Từng bước một, nó sẽ bao gồm các nguyên tắc cơ bản liên quan đến mỗi chủ đề và dần dần xây dựng theo hướng tập trung hơn vào các lĩnh vực học tập để chuẩn bị cho bạn, dựa trên nội dung đã được đề cập trong (ISC)2 CISSP Common Body of Knowledge ( tạm dịch Khối Cơ sở Kiến thức Chung CISSP (ISC)2 - CBK). Khi bạn chuẩn bị tham gia kỳ thi CISSP, hướng dẫn này sẽ giúp bạn xây dựng một hiểu biết vững chắc về những khái niệm thiết kế, triển khai và quản lý các chương trình an ninh mạng tốt nhất trong ngành, cũng như tính trung thực về đạo đức cần có của những người nắm giữ chứng nhận CISSP. Tôi hy vọng rằng bạn sẽ thấy Hướng dẫn Nghiên cứu Chính thức về Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận (ISC)2® CISSP® Phiên bản thứ 9 sẽ hữu ích trong hành trình bảo mật không gian mạng, chuẩn bị cho kỳ thi và tiếp tục phát triển nghề nghiệp của bạn. Trân trọng, Clar Rosso CEO, (ISC)2 44 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Giới thiệu Hướng dẫn Nghiên cứu Chính thức về Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận (ISC)2® CISSP® Phiên bản thứ 9 cung cấp cho bạn một nền tảng vững chắc cho kỳ thi Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận (CISSP). Bằng cách đặt mua quyển sách này, bạn đã chứng minh sự sẵn sàng để học tập và một mong muốn để phát triển các kỹ năng mà bạn cần để đạt được chứng nhận này. Phần giới thiệu này cung cấp cho bạn một cái nhìn tổng quan cơ bản về ấn phẩm này cũng như về kỳ thi CISSP. Quyển sách này được thiết kế dành cho những độc giả và sinh viên, những người muốn nghiên cứu về kỳ thi chứng nhận CISSP. Nếu mục tiêu của bạn là trở thành một chuyên gia bảo mật được chứng nhận thì chứng nhận CISSP và hướng dẫn nghiên cứu này là dành cho bạn. Mục đích của quyển sách này là để chuẩn bị một cách đầy đủ cho ban để vượt qua kỳ thi CISSP. Trước khi bạn đào sâu thêm vào những kiến thức trong quyển sách này, bạn cần phải tự mình hoàn thành m ột số nhiệm vụ. Bạn phải có một hiểu biết chung về CNTT và bảo mật. Bạn nên có 5 năm kinh nghiệm công việc được trả lương toànthời-gian cần thiết (hoặc 4 năm, nếu bạn có bằng cấp đại học) trong hai hoặc nhiều hơn trong số tám lĩnh vực được đề cập bởi kỳ thi CISSP. Nếu bạn được công nhận đủ điều kiện để tham gia kỳ thi CISSP theo (ISC)2 thì điều đó có nghĩa bạn đã được chuẩn bị đầy đủ để sử dụng quyển sách này để nghiên cứu cho kỳ thi. Để biết thêm thông tin về (ISC)2, hãy đọc phần tiếp theo. (ISC)² cũng cho phép giảm bớt 1 năm từ yêu cầu kinh nghiệm 5 năm nếu bạn đã đạt được một trong các chứng nhận được phê duyệt từ lộ trình tiên quyết (ISC)². Chúng bao gồm các chứng nhận như Chuyên gia Ủy quyền được Chứng nhận (Certified Authorization Professional - CAP), Nhà quản lý Bảo mật Thông tin được Chứng nhận (Certified Information Security Manager - CISM), Kiểm toán viên Hệ thống Thông tin được Chứng nhận (CISA), Chuyên gia về Liên mạng được Chứng nhận của Cisco (Cisco Certified Internetwork Expert - CCIE), Bảo mật Liên kết Mạng được Chứng nhận của Cisco (Cisco Certified Network Associate Security CCNA Security), Người thực hành Bảo mật Nâng cao CompTIA (CompTIA Advanced Security Practitionier - CASP), CompTIA Security+, Chuyên gia phân tích An ninh 45 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống mạng CompTIA (CompTIA Cybersecurity Analyst - CySA+) và nhiều chứng nhận Chứng nhận Bảo đảm Thông tin Toàn cầu (Global Information Assurance Certification - GIAC). Để có được mọt danh sách đầy đủ các chứng nhận đủ điều kiện, vui lòng truy cập trang www.isc2.org/Certifications/CISSP/Prequisite - Pathway. Bạn chỉ có thể sử dụng một trong số biện pháp giảm bớt yêu cầu về kinh nghiệm, hoặc là bằng cấp đại học hoặc một chứng nhận, không phải là cả hai. Nếu bạn chỉ mới bắt đầu hành trình để đạt được chứng nhận CISSP và chưa có kinh nghiệm làm việc thì ấn phẩm của chúng tôi vẫn có thể là một công cụ hữu ích trong việc chuẩn bị cho kỳ thi của bạn. Tuy nhiên, bạn có thể thấy rằng một số chủ đề đã đề cập đến những giả định kiến thức mà bạn không có. Đối với những chủ đề đó, bạn có thể cần thực hiện một số nghiên cứu bổ sung bằng cách sử dụng các tài liệu khác, sau đó quay lại quyển sách này để tiếp tục tìm hiểu về các chủ đề CISSP. (ISC)2 Kỳ thi CISSP được kiểm soát bởi Hiệp hội Chứng nhận Bảo mật Hệ thống Thông tin Quốc tế (International Information Systems Security Certification Consortium – (ISC)2). (ISC)2 là một tổ chức phi lợi nhuận toàn cầu. Tổ chức này có 4 sứ mệnh lớn: ▪ Duy trì Khối Cơ sở Kiến thức Chung (Common Body of Knowledge – CBK) cho lĩnh vực bảo mật hệ thống thông tin. ▪ Cung cấp chứng nhận cho các chuyên gia và người hành nghề bảo mật hệ thống thông tin. ▪ Tiến hành đào tạo chứng nhận và tổ chức các kỳ thi cấp chứng nhận. ▪ Giám sát việc công nhận liên tục các ứng viên chứng nhận đủ điều kiện thông qua các khóa giáo d ục liên tục. (ISC)2 được điều hành bởi một hội đồng quản trị được bầu chọn từ đội ngữ những người hành nghề đã được chứng nhận của mình. 46 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống (ISC)2 hỗ trợ và cung cấp một loạt các chứng nhận, bao gồm CISSP, CISSPISSAP, CISSP-ISSMP, CISSP-ISSEP, SSCP, CAP, CSSLP, HCISPP và CCSP. Các chứng nhận này được thiết kế để xác thực kiến thức và kỹ năng của các chuyên gia bảo mật CNTT trong tất cả các ngành nghề. Bạn có thể biết thêm thông tin về (ISC)2 và các chứng nhận của tổ chức này từ trang web của họ tại địa chỉ https://www.isc2.org. Chứng nhận CISSP dành cho các chuyên gia bảo mật chịu trách nhiệm cho việc thiết kế và duy trì cơ sở hạ tầng bảo mật trong phạm vi một tổ chức. Các Lĩnh vực Chủ đề Chứng nhận CISSP bao hàm những nội dung từ 8 lĩnh vực chủ đề. Những lĩnh vực này bao gồm dưới đây: ▪ Lĩnh vực 1: Quản lý Rủi ro và Bảo mật ▪ Lĩnh vực 2: Bảo mật Tài sản ▪ Lĩnh vực 3: Công nghệ và Kiến trúc Bảo mật ▪ Lĩnh vực 4: Bảo mật Mạng và Truyền thông ▪ Lĩnh vực 5: Kiểm soát truy cập và Danh tính (IAM) ▪ Lĩnh vực 6: Đánh giá và Kiểm tra Bảo mật ▪ Lĩnh vực 7: Vận hành Bảo mật ▪ Lĩnh vực 8: Bảo mật việc Phát triển Phần mềm. Tám lĩnh vực này cung cấp một cái nhìn tổng quan độc-lập-với-nhà-cung-cấp về một khuôn khổ bảo mật phổ quát. Khuôn khổ này là cơ sở cho một cuộc thảo luận về thực tiễn bảo mật có thể được hỗ trợ bởi tất cả các kiểu tổ chức trên toàn cầu. Trước khi chứng nhận (ISC)2 đã xác định các yêu cầu chứng nhận mà bạn phải đáp ứng để trở thành một CISSP. Đầu tiên, bạn phải là một chuyên gia bảo mật đang hành nghề với ít nhất 5 năm kinh nghiệm công việc được trả lương toàn thời gian hoặc 4 năm kinh nghiệm và bằng cấp về CNTT (IT) hoặc HTTT (IS) gần đây hoặc một chứng nhận bảo mật được chấp thuận (hãy tham khảo trang web https://www.isc2.org để biết thêm chi tiết). Kinh nghiệm chuyên môn được định nghĩa là công việc 47 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống bảo mật được thực hiện để được hưởng lương hoặc hoa hồng trong phạm vi hai hoặc nhiều hơn trong 8 lĩnh vực của CBK. Thứ hai, bạn phải đồng ý tuân thủ một quy tắc đạo đức nghề nghiệp chính thức. Quy tắc Đạo đức Nghề nghiệp CISSP là một bộ các chỉ thị mà (ISC)2 muốn tất cả các ứng viên CISSP phải tuân thủ để duy trì tính chuyên nghiệp trong lĩnh vực bảo mật hệ thống thông tin. Bạn có thể tìm thấy quy tắc đạo đức nghề nghiệp này trong phần Thông tin trên trang web của (ISC)2 tại địa chỉ https://www.isc2.org. (ISC)2 cũng cung cấp một chương trình đầu vào được gọi là Liên kết của (ISC)² (Associate of (ISC)2). Chương trình này cho phép một ai đó không có hoặc không đủ kinh nghiệm để đạt điều kiện là CISSP vẫn được tham gia kỳ thi CISSP và bổ sung kinh nghiệm sau đó. Các cộng sự được cấp thêm 6 năm để bổ sung được 5 năm kinh nghiệm bảo mật. Chỉ sau khi cung cấp được bằng chứng về kinh nghiệm đó, thường là bằng xác thực và bản tóm tắt, cá nhân đó mới có thể được cấp chứng nhận CISSP. Tổng quan về Kỳ thi CISSP Kỳ thi CISSP tập trung vào bảo mật từ góc nhìn ở độ cao 30.000 foot, nó đề cập nhiều đến lý thuyết và khái niệm hơn là triển khai và thủ tục. Nó rất rộng nhưng không quá sâu. Để hoàn thành thành công kỳ thi này, bạn cần phải quen thuộc với mọi lĩnh vực nhưng không nhất thiết phải là một chuyên gia của từng lĩnh vực. Kỳ thi CISSP có dạng thích ứng mà (ISC)2 gọi là CISSP-CAT (Kiểm tra Thích ứng trên Máy tính – Computerized Adaptive Testing). Để biết thêm chi tiết đầy đủ về phiên bản trình bày kỳ thi mới này, vui lòng xem tham khảo tại https://www.isc2.org/certifications/CISSP/CISSP -CAT. Kỳ thi CISSP-CAT sẽ có tối thiểu 100 câu hỏi và tối đa là 150. Không phải tất cả các mục bạn được trình bày đều được tính vào điểm số hoặc trạng thái đạt kỳ thi của bạn. Các mục không được chấm điểm này được gọi là những câu hỏi kiểm tra trước (pretest questions), theo (ISC)², trong khi các m ục được chấm điểm được gọi là các mục hoạt động (operational items). Những câu hỏi sẽ không được 48 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống dán nhãn trong kỳ thi về việc chúng có được cho điểm (nghĩa là các mục hoạt động) hay không được chấm điểm (tức là những câu hỏi kiểm tra trước). Các thí sinh tham dự kỳ thi sẽ nhận được 25 mục không được chấm điểm trong bài kiểm tra của họ, bất kể họ đạt được thứ hạng vượt qua ở câu hỏi 100 hay xem toàn bộ 150 câu hỏi. CISSP-CAT sẽ cấp cho bạn tối đa 3 giờ để làm bài kiểm tra. Nếu bạn hết thời gian trước khi đạt được đủ điểm số để vượt qua kỳ thi, bạn sẽ tự động bị trượt. CISSP-CAT không cho phép bạn quay lại câu hỏi trước đó để thay đổi câu trả lời của mình. Lựa chọn câu trả lời của bạn là cuối cùng khi bạn để lại câu hỏi bằng cách gửi lựa chọn đáp án của bạn. CISSP-CAT không có một số điểm đã được công bố hoặc ấn định để đạt được kết quả vượt qua kỳ thi. Thay vào đó, bạn phải chứng minh khả năng trả lời vượt trên thanh (ISC)2 để vượt qua, còn được gọi là tiêu chuẩn vượt qua (vốn không được tiết lộ), trong 75 mục hoạt động cuối cùng (tức là câu hỏi 100). Nếu máy tính xác đ ịnh rằng bạn có ít hơn 5% cơ hội đạt được tiêu chuẩn vượt qua và bạn đã nhìn thấy 75 hạng mục hoạt động (sẽ ở câu hỏi 100), bài kiểm tra của bạn sẽ tự động kết thúc với kết quả thất bại. Nếu máy tính xác định rằng bạn có hơn 95% cơ hội đạt được hoặc duy trì tiêu chuẩn vượt qua khi bạn đã nhìn thấy 75 hạng mục hoạt động (sẽ ở câu hỏi 100), bài kiểm tra của bạn sẽ tự động kết thúc với điểm đạt. Nếu cả hai cực này đều không được đáp ứng thì bạn sẽ nhìn thấy một câu hỏi khác và trạng thái của bạn sẽ được đánh giá lại sau khi câu hỏi này được trả lời. Bạn không được đảm bảo sẽ thấy bất kỳ câu hỏi nào nhiều hơn mức cần thiết để hệ thống chấm điểm máy tính xác định với độ tin cậy 95% khả năng đạt hay không đạt tiêu chuẩn vượt qua. Nếu bạn không đạt được tiêu chuẩn vượt qua sau khi đã gửi đáp án cho câu hỏi thứ 150 thì bạn đã trượt. Nếu bạn hết thời gian, bạn đã trượt. Nếu bạn không vượt qua kỳ thi CISSP trong nỗ lực đầu tiên, bạn sẽ được phép làm lại kỳ thi CISSP với các điều kiện sau: ▪ Bạn có thể tham dự kỳ thi CISSP tối đa bốn lần cho mỗi kỳ 12 tháng. ▪ Bạn phải đợi 30 ngày sau lần thi đầu tiên trước khi cố gắng lần thứ hai. 49 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Bạn phải đợi thêm 60 ngày sau lần thi thứ hai trước khi cố gắng lần thứ ba. ▪ Bạn phải đợi thêm 90 ngày nữa sau lần thi thứ ba hoặc những cố gắng tiếp theo trước khi thử lại. Chính sách thi lại được cập nhật vào tháng 10 năm 2020, và bạn có thể đọc chính sách chính thức tại đây: www.isc2.org/Exams/After -Your-Exam. Bạn sẽ cần phải thanh toán đầy đủ cho mỗi lần kiểm tra bổ sung. Không thể làm bài kiểm tra bằng tiếng Anh trên-giấy hoặc CBT (kiểm-tra-trênmáy-tính) phiên bản 250 câu hỏi phẳng trước đây của kỳ thi. CISSP hiện chỉ có ở định dạng CBT CISSP-CAT bằng tiếng Anh thông qua trung tâm khảo thí Pearson VUE được ủy quyền của (ISC)2 tại các thị trường được ủy quyền. Vào đầu năm 2021, (ISC)2, thông qua Pearson Vue, đã th ực hiện thí điểm kiểm tra trình độ tiến sĩ trực tuyến cho CISSP. Kết quả của thí điểm này sẽ được đánh giá vào Quý 3 năm 2021 và quy ết định về cách thức tiến hành sẽ được (ISC)2 đưa ra, dựa trên những kết quả đó vào thời điểm đó. Hãy theo dõi blog (ISC)2 để biết thông tin cập nhật về các dịch vụ thi CISSP từ xa được giám sát trực tuyến. Bài thi CISSP sẵn có cho các ngôn ngữ tiếng Anh, Pháp, Đức, Bồ Đào Nha (Brazil), Tây Ban Nha (Hiện đại), Nhật, tiếng Trung Giản thể và tiếng Hàn. Các phiên bản không-phải-tiếng-Anh của CISSP vẫn được thực hiện bằng cách sử dụng kỳ thi 205 câu hỏi tuyến tính, dạng-cố-định và phẳng (có lẽ là dạng bài thi trên giấy?). Để biết thêm chi tiết và những thông tin cập nhật nhất về kỳ thi CISSP trực tiếp từ (ISC)2, vui lòng truy cập trang web của (ISC)2 tại địa chỉ https://www.isc2.org/Certification/CISSP và tải về Hướng dẫn Sau cùng và Đề cương về Kỳ thi CISSP (hiện đang được định vị tại phần “2: Đăng ký và Chuẩn bị cho kỳ thi). Bạn cũng có thể tìm thấy những thông tin hữu ích trên blog của (ISC)2 tại blog.isc2.org/isc2_blog. Ví dụ, có một bài báo rất hay đã được đăng 50 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống vào Tháng Mười năm 2020 có tiêu đề “Tại sao Kỳ thi CISSP Thay đổi?” (blog.isc2.org/isc2_blog/2020/10/why-does-cissp-exam-change.html). Kiểu Câu hỏi của Kỳ thi CISSP Hầu hết các câu hỏi trong kỳ thi CISSPlà những câu hỏi có 4-đáp-án, những câu hỏi trắc nghiệm với một đáp án đúng duy nhất. Một số câu hỏi khá dễ hiểu, chẳng hạn như yêu cầu bạn lựa chọn một định nghĩa. Một số câu hỏi khác thì lại rắc rối hơn một chút, yêu cầu bạn chọn khái niệm hoặc thực tiễn tốt nhất thích hợp. Và một số câu hỏi đặt ra cho bạn một kịch bản hay tình huống và yêu cầu bạn lựa chọn đáp án tốt nhất. Bạn phải lựa chọn một đáp án chính xác hoặc tốt nhất và đánh dấu nó. Trong một số trường hợp, đáp án chính xác sẽ hiển nhiên đối với bạn. Trong những trường hợp khác, một số đáp án sẽ trông có vẻ như là đáp án chính xác. Hãy xem xét các lựa chọn đáp án chung, cụ thể, phổ quát, tập hợp cha và tập hợp con. Trong những trường hợp khác nữa, không có đáp án nào trông có vẻ là chính xác. Khi đó, bạn sẽ cần chọn được đáp án ít sai nhất. Một số câu hỏi trắc nghiệm có thể yêu cầu bạn chọn nhiều hơn một câu trả lời, nếu vậy, những điều này sẽ nêu rõ những gì cần thiết để đưa ra một đáp án đầy đủ. Ngoài định dạng câu hỏi trắc nghiệm tiêu chuẩn, kỳ thi có thể bao gồm một số định dạng câu hỏi nâng cao mà (ISC)2 gọi là câu hỏi đổi mới nâng cao (advanced innovation questions). Chúng bao gồm câu hỏi kéo-và-thả và câu hỏi dạng hotspot. Những kiểu câu hỏi này yêu cầu bạn đặt các chủ đề hoặc khái niệm theo thứ tự hoạt động, theo thứ tự ưu tiên hoặc liên quan đến việc định vị phù hợp cho giải pháp cần thiết. Cụ thể, câu hỏi kéo-và-thả yêu cầu người dự thi di chuyển nhãn hoặc biểu tượng để đánh dấu các mục trên một hình ảnh. Các câu hỏi hotspot yêu cầu người dự thi xác định vị trí trên hình ảnh bằng một điểm đánh dấu hình chữ thập. Những khái niệm về câu hỏi này rất dễ thực hiện và dễ hiểu, nhưng hãy cẩn thận về độ chính xác của bạn khi thả hoặc đánh dấu. 51 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Lời khuyên về việc Thực hiện Kỳ thi Kỳ thi CISSP cấu thành từ hai yếu tố then chốt. Trước tiên, bạn cần phải nắm được nội dung từ 8 lĩnh vực. Sau đó, bạn phải có các kỹ năng làm-bài-thi tốt. Bạn có tối đa 3 giờ để đạt được tiêu chuẩn vượt qua với khả năng phải đọc đến 150 câu hỏi. Do đó, bạn sẽ có trung bình chỉ hơn 1 phút cho mỗi câu hỏi, vì vậy điều quan trọng là bạn phải làm bài một cách nhanh chóng, không vội vàng nhưng cũng không lãng phí thời gian. Việc bỏ qua câu hỏi không còn được cho phép trong kỳ thi CISSP, và bạn cũng không được phép nhảy lung tung (hàm ý di chuyển một cách mất trật tự giữa các câu hỏi), vì vậy dù bằng cách này hay cách khác, bạn bắt buộc phải đưa ra đáp án tốt nhất cho từng câu hỏi. Chúng tôi khuyên bạn nên cố gắng loại bỏ càng nhiều tùy chọn đáp án càng tốt trước khi đưa ra phỏng đoán. Sau đó, bạn có thể đưa ra các phỏng đoán đã được học từ một nhóm các tùy chọn đã được giảm bớt để gia tăng cơ hội trả lời đúng một câu hỏi. Hãy lưu ý rằng (ISC)2 không tiết lộ liệu có tín dụng một phần có được cấp cho các câu hỏi có nhiều phần hay không nếu bạn chỉ nhận được một số yếu tố chính xác (hàm ý là (ISC)2 liệu có tính điểm cho các tùy chọn đúng trong một câu hỏi có nhiều đáp án đúng hay không, trong trường hợp bạn đã không lựa chọn đủ hết các đáp án đúng). Vì vậy, hãy chú ý đến các câu hỏi có các hộp kiểm và hãy nhớ chọn nhiều mục cần thiết để giải quyết câu hỏi một cách chính xác. Bạn sẽ được cung cấp một giẻ khô để lau bảng và một bút dạ để ghi lại những suy nghĩ và ghi chú. Nhưng không có gì đư ợc viết trên bảng đó sẽ được sử dụng để làm thay đổi điểm số của bạn. Bảng đó phải được trả lại cho giám thị phòng thi trước khi bạn rời khỏi địa điểm thi. Để tối đa hóa việc thực hiện bài thi của bạn, dưới đây là một số hướng dẫn chung: ▪ Đọc từng câu hỏi, sau đó đọc các tùy chọn trả lời, và tiếp theo là đọc lại câu hỏi. ▪ Loại bỏ các đáp án sai trước khi lựa chọn được đáp án đúng. ▪ Xem xét để tìm kiếm phủ định kép. ▪ Hãy chắc chắn bạn hiểu được câu hỏi đang hỏi về điều gì. 52 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Hãy quản lý thời gian của bạn. Bạn có thể giải lao giữa bài thi của bạn nhưng việc này sẽ làm tiêu tốn thời gian làm bài của bạn. Bạn có thể cân nhắc việc mang theo đồ ăn nhẹ và nước uống, tuy nhiên những thứ này sẽ được cất giữ ở khu vực cách xa nơi làm bài thi, và vi ệc này cũng sẽ làm bạn lãng phí thời gian làm bài vốn đã bị giới hạn. Hãy nhớ mang theo bất kỳ loại thuốc men nào hoặc vật dụng cần thiết khác, nhưng hãy để tất cả những thứ điện tử lại ở nhà hoặc trong xe hơi của bạn. Bạn nên tránh đeo bất cứ thứ gì trên cổ tay, bao gồm đồng hồ, máy theo dõi thể dục và đồ trang sức. Bạn không được phép mang theo bất kỳ hình thức tai nghe hoặc nút tai chống ồn nào, mặc dù bạn có thể sử dụng nút tai bằng xốp. Chúng tôi cũng khuyên bạn nên mặc quần áo thoải mái và mang theo áo khoác nhẹ (một số địa điểm thi sẽ hơi lạnh). Bạn có thể sẽ muốn xem lại các tài liệu Từ viết tắt Chứng nhận (ISC)2 và Chú giải thuật ngữ tại đây: ▪ www.isc2.org/-/media/Files/Certification-Acronym-Glossary.ashx ▪ www.isc2.org/Certification/CISSP/CISSP -Student-Glossary. Cuối cùng, các chính sách thi cử của (ISC)2 có thể sẽ thay đổi. Hãy chắc chắn bạn đã kiểm tra isc2.org để biết các chính sách hiện hành trước khi bạn đăng ký và tham gia kỳ thi. Mách nước Chuẩn bị cho Nghiên cứu và cho Kỳ thi Chúng tôi khuyên bạn nên lập kế hoạch trước 1 tháng hoặc hơn để học tập hàng đêm cho kỳ thi CISSP. Dưới đây là một số đề xuất để tối đa thời gian học tập của bạn, bạn có thể điều chỉnh chúng nếu cần thiết, dựa trên thói quen học tập của bạn: ▪ Dành ra 1 hoặc 2 buổi tối để đọc từng chương của quyển sách này, và xem qua tài liệu ôn tập của nó. ▪ Trả lời tất cả những câu hỏi đánh giá và làm bài thi thực hành được cung cấp trong quyển sách này và/hoặc trên công cụ kiểm tra trực tuyến. Hãy đảm bảo bạn đã nghiên cứu từng câu hỏi mà bạn đã trả lời sai để tìm hiểu về những gì mà bạn chưa biết. ▪ Hoàn thành bài thực hành viết từ mỗi chương. ▪ Đọc và tìm hiểu Kiến thức thiết yếu về Kỳ thi. 53 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Xem lại Đề cương của Kỳ thi (ISC)2 tại trang web isc2.org. ▪ Sử dụng các flashcard đi kèm theo các công cụ học tập để củng cố sự hiểu biết của bạn về các khái niệm. Chúng tôi khuyên bạn nên dành ½ thời gian học tập của bạn để đọc và xem xét các khái niệm và ½ còn lại để thực hành kỳ thi. Các sinh viên đã báo cáo rằng khi họ càng dành nhiều thời gian cho các kỳ thi thực hành, họ càng lưu giữ lại các chủ đề kiểm tra tốt hơn. Ngoài các bài kiểm tra thực hành cùng với Hướng dẫn Nghiên cứu này, Sybex cũng xuất bản (ISC)² Các Bài kiểm tra Thực hành Chính thức về Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận CISSP, Phiên bản thứ 3 (ISBN: 978-1-119-47592-7). Nó chứa 100 câu hỏi thực hành trở lên cho mỗi miền và bốn bài kiểm tra thực hành có quy mô đầy đủ bổ sung. Cũng giống như Hướng dẫn Nghiên cứu này, nó cũng đi kèm với một phiên bản trực tuyến của các câu hỏi. Hoàn thành Quá trình Chứng nhận Khi bạn được thông báo rằng bạn đã vượt qua kỳ thi chứng nhận CISSP thành công, sẽ chỉ còn một bước sau cùng trước khi bạn thực sự nhận được chứng nhận CISSP. Bước sau cùng này còn được gọi là xác thực (endorsement). Về cơ bản, việc này liên quan đến việc có một ai đó đang là CISSP hoặc đang giữ chứng nhận nào đó khác của (ISC)2, đang ở trạng thái tốt và quen thuộc vói lịch sử công việc của bạn để thay mặt bạn đệ trình một biểu mẫu xác thực. Khi bạn đã vượt qua kỳ thi CISSP, bạn sẽ nhận được một email cùng với các hướng dẫn. Tuy nhiên, bạn có thể xem lại quá trình đăng ký xác thực tại www.isc2.org/Endorsement. Nếu bạn đã đăng ký thi CISSP thì bạn phải hoàn thành quá trình xác thực trong vòng chín tháng sau kỳ thi của mình. Nếu bạn đã đăng ký chương trình Cộng sự của (ISC)2 (Associate of (ISC)2), thì bạn sẽ có sáu năm tính từ dữ liệu kỳ thi của mình để hoàn thành quá trình xác thực. Sau khi (ISC)2 chấp nhận sự xác 54 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thực của bạn, quá trình chứng nhận sẽ hoàn tất và bạn sẽ được gửi một gói thông tin chào mừng. Khi bạn đã đạt được chứng nhận CISSP của mình, giờ đây bạn phải cố gắng để duy trì chứng nhận. Bạn sẽ cần kiếm được 120 tín chỉ Giáo dục Nghề nghiệp Thường xuyên (Continuing Professional Education - CPE) trước ngày kỷ niệm năm thứ ba kể từ khi đạt được chứng nhận CISSP của mình. Để biết chi tiết về việc thu nhập và báo cáo CPE, hãy vui lòng tham khảo Sổ tay Giáo dục Nghề nghiệp Thường xuyên (CPE) (ISC)2 (tại địa /media/ISC2/Certifications/CPE/CPE ---Handbook.ashx) chỉ và www.isc2.org/- trang Cơ hội CPE (www.isc2.org/Membership/CPE-Opportunities). Bạn cũng sẽ phải thanh toán khoản phí duy trì hàng năm (annual membership fee - AMF) sau khi đạt được chứng nhận của mình và vào mỗi dịp kỷ niệm hàng năm. Để biết chi tiết về AMF, vui lòng xem Sổ tay CPE (ISC)2 và www.isc2.org/Policies-Procedures/MemberPolicies. Các Thành phần của Sổ tay hướng dẫn Nghiên cứu này Mỗi chương trong ấn phẩm này đều bao gồm các thành phần chung để giúp bạn hướng trọng tâm quá trình nghiên cứu của mình và để kiểm tra kiến thúc của bạn. Dưới đây là những mô tả về các thành phần này: Kịch bản trong Thế-giới-Thực Khi bạn đi qua từng chương, bạn sẽ tìm thấy những mô tả về các tình huống điển hình và hợp lý tại nơi làm việc, trong đó, một sự hiểu biết về các chiến lược và phương pháp tiếp cận bảo mật liên quan đến nội dung của chương có thể đóng một vai trò trong việc khắc phục các vấn đề hoặc trong việc chống chọi những khó khăn tiềm ẩn. Điều này giúp độc giả có cơ hội để xem xét cách thức mà các chính sách, hướng dẫn hoặc thực tiễn bảo mật cụ thể nên hoặc có thể được áp dụng vào nơi làm việc như thế nào. 55 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mẹo và Lưu ý Trong toàn bộ từng chương, bạn sẽ tìm thấy các mệnh đề đã được chèn vào mà bạn nên chú ý đến. Các mục này thường được tập trung vào các chi tiết liên quan đến phần của chương hoặc tài liệu quan trọng có liên quan. Tóm tắt Phần tóm tắt là một đánh giá ngắn gọn về chương để tóm tắt lại những gì đã được đề cập. Yếu tố thiết yếu cho Kỳ thi Các Yếu tố thiết cho kỳ thi nêu bật các chủ đề có thể xuất hiện trong kỳ thi dưới một số hình thức. Mặc dù rõ ràng là chúng ta không biết một cách chính xác rằng nội dung nào sẽ được đưa vào một bài thi cụ thể nhưng phần này củng cố những khái niệm quan trọng đóng vai trò là chìa khóa để hiểu các khái niệm và chủ đề của chương. Kiến thức Thiết yếu cho Kỳ thi là kiến thức tối thiểu bạn muốn giữ lại từ một chương. Bài viết Thực hành Mỗi chương bao gồm các bài thực hành viết tổng hợp các khái niệm và chủ đề khác nhau xuất hiện trong chương. Những bài thực hành này nêu lên những câu hỏi được thiết kế để giúp bạn tập hợp các phần khác nhau mà bạn đã gặp riêng trong chương và tổng hợp chúng lại để đề xuất hoặc mô tả các chiến lược hoặc giải pháp bảo mật tiềm năng. Chúng tôi đặc biệt khuyến khích bạn viết ra đáp án của mình trước khi xem các giải pháp được đề xuất của chúng tôi trong Phụ lục B. 56 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Câu hỏi Ôn tập Chương Mỗi chương sẽ bao gồm các câu hỏi thực hành đã được thiết kế để đo lường kiến thức của bạn về các ý tưởng then chốt đã được thảo luận trong chương. Sau khi bạn hoàn thành mỗi chương, hãy trả lời các câu hỏi, nếu một số câu trả lời của bạn không chính xác thì đó là dấu hiệu cho thấy bạn cần dành thêm thời gian để nghiên cứu các chủ đề tương ứng. Đáp án cho các câu hỏi thực hành có thể được tìm thấy trong Phụ lục A. Môi trường Học tập Tương tác Trực tuyến và Ngân hàng Kiểm tra Việc nghiên cứu nội dung trong (ISC) 2 CISSP: Hướng dẫn Nghiên cứu Chính thức về Chuyên gia Bảo mật Hệ thống Thông tin Được chứng nhận, Phiên bản thứ 9, là một phần quan trọng để chuẩn bị cho kỳ thi lấy chứng nhận Chuyên gia Bảo mật Hệ thống Thông tin đư ợc Chứng nhận (CISSP), tuy nhiên, chúng tôi cung cấp thêm các công cụ bổ sung để giúp bạn chuẩn bị. Ngân hàng Kiểm tra trực tuyến sẽ giúp bạn tìm hiểu các dạng câu hỏi sẽ xuất hiện trong kỳ thi lấy chứng nhận. Các bài kiểm tra mẫu trong Ngân hàng Kiểm tra bao gồm tất cả các câu hỏi trong từng chương cũng như các câu h ỏi từ bài kiểm tra Đánh giá trong phần Giới thiệu này. Ngoài ra, có bốn kỳ thi thực hành bổ sung mà bạn có thể sử dụng để đánh giá sự hiểu biết của mình và xác định các lĩnh vực có thể cần nghiên cứu thêm. Bốn bài thi thực hành bổ sung này bao gồm 125 câu hỏi cho mỗi bài, và mỗi đề bao phủ một phạm vi rộng của các chủ đề trong lĩnh vực theo một tỷ lệ phần trăm tương tự như kỳ thi thật. Chúng có thể được sử dụng như mô phỏng kỳ thi thực tế để đánh giá sự chuẩn bị của bạn. Flashcards trong Ngân hàng Kiểm tra sẽ nâng cao giới hạn của những gì bạn nên biết cho kỳ thi lấy chứng nhận. Các câu hỏi được cung cấp dưới định dạng kỹ thuật số. Mỗi flashcard có một câu hỏi và một đáp án đúng. 57 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bảng chú giải thuật ngữ trực tuyến là một danh sách có thể tìm kiếm được bao gồm những thuật ngữ chính đã được giới thiệu trong hướng dẫn kỳ thi này mà bạn nên biết đối với kỳ thi chứng nhận CISSP. Điều mới cho phiên bản thứ 9: Đánh giá (bằng) Âm thanh (Audio Review). Tác giả Mike Chapple đọc Điều thiết yếu của Kỳ thi cho từng chương, cung cấp cho bạn 2 giờ 50 phút ôn tập bằng âm thanh mới để có thêm một cách để củng cố kiến thức của bạn trong quá trình chuẩn bị của bạn. Chúng tôi khuyên bạn nên sử dụng các bài đánh giá bằng âm thanh này sau khi bạn đã đọc từng chương. Bạn có thể nghe chúng trên đường đi làm, tại phòng tập thể dục hoặc bất cứ nơi nào bạn đọc sách nói! Để bắt đầu sử dụng những điều này để ôn tập cho kỳ thi, hãy truy cập www.wiley.com/go/sybextestprep, đăng ký sách của bạn để được nhận mã PIN duy nhất của bạn, sau đó, khi bạn đã có mã PIN, hãy quay lại www.wiley.com/go/sybextestprep và đăng ký một tài khoản mới hoặc bổ sung thêm cuốn sách này vào tài khoản hiện có. Các Mục tiêu của Hướng dẫn Nghiên cứu Kỳ thi Bảng dưới đây cung cấp mức độ theo tỷ lệ phần trăm mà theo đó, từng phần được trình bày trong bài kiểm tra thực tế. Lĩnh vực % trong kỳ thi Lĩnh vực 1: Bảo mật và Quản lý Rủi ro 15% Lĩnh vực 2: Bảo mật Tài sản 10% Lĩnh vực 3: Công nghệ và Kiến trúc Bảo mật 13% Lĩnh vực 4: Bảo mật Mạng và Truyền thông 13% Lĩnh vực 5: Quản lý Danh tính và Truy cập (IAM) 13% Lĩnh vực 6: Đánh giá và Kiểm nghiệm Bảo mật 12% Lĩnh vực 7: Vận hành Bảo mật 13% Lĩnh vực 8: Bảo mật việc Phát triển Phần mềm 11% Tổng 100% 58 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bản sửa đổi gần đây nhất của các lĩnh vực chủ đề sẽ được phản ánh trong các kỳ thi bắt đầu kể từ ngày 1 tháng 5 năm 2021. Đ ể có được cái nhìn đầy đủ về phạm vi chủ đề được đề cập trong kỳ thi CISSP từ tám nhóm lĩnh vực, hãy truy cập trang web (ISC)2 tại isc2.org để tải xuống bản sao Đề cương Kỳ thi Chứng nhận. Tài liệu này bao gồm một đề cương đầy đủ về kỳ thi cũng như các thông tin liên quan khác về chứng nhận. Bản đồ Mục tiêu Ấn phẩm này được thiết kế để đề cập đến mỗi một trong số 8 lĩnh vực Cơ sở Kiến thức Chung CISSP với mức độ chuyên sâu đủ để cung cấp cho bạn một hiểu biết rõ ràng về tài liệu. Phần chính của quyển sách này bao gồm 21 chương. Dưới đây là một Đề cương Kỳ thi CISSP hoàn chỉnh ánh xạ từng mực tiêu với vị trí của nó trong các chương của quyển sách này. Chúng tôi đã bổ sung thêm việc đánh số các mục chủ đề cấp-độgạch-đầu-dòng (nghĩa là các mục tiêu phụ hoặc các ví dụ mục tiêu phụ) từ Đề cương của Kỳ thi. Lĩnh vực Mục tiêu Chương Lĩnh vực 1: Bảo mật và Quản lý Rủi ro 1.1 Hiểu, tuân thủ và khuyến khích đạo đức nghề nghiệp 19 1.1.1 Quy tắc Đạo đức Nghề nghiệp (ISC)2 19 1.1.2 Quy tắc đạo đức nghề nghiệp của tổ chức 19 1.2 Hiểu và áp dụng các khái niệm bảo mật 1 1.2.1 Tính bảo mật, toàn vẹn và sẵn sàng, tính xác thực và không 1 khước từ 1.3 Đánh giá và áp dụng các nguyên tắc quản trị bảo mật 1 1.3.1 Liên kết chức năng bảo mật với các chiến lược, mục đích, sứ 1 mệnh và mục tiêu của doanh nghiệp 59 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 1.3.2 Các quy trình tổ chức (ví dụ, mua lại, thoái vốn, hội đồng 1 quản trị) 1.3.3 Những vai trò và trách nhiệm trong tổ chức 1 1.3.4 Các khuôn khổ kiểm soát bảo mật 1 1.3.5 Chăm sóc cẩn trọng/thẩm định 1 1.4 Xác định các yêu cầu tuân thủ và các yêu cầu khác 4 1.4.1 Các yêu cầu hợp đồng, pháp lý, tiêu chu ẩn ngành và quy 4 định 1.4.2 Các yêu cầu về quyền riêng tư 4 1.5 Hiểu được các vấn đề về pháp lý và quy định có liên quan 4 đến bảo mật thông tin trong một bối cảnh toàn diện 1.5.1 Tội phạm mạng và vi phạm dữ liệu 4 1.5.2 Các yêu cầu cấp phép và tài sản sở hữu trí tuệ (IP) 4 1.5.3 Các biện pháp kiểm soát nhập khẩu/xuất khẩu 4 1.5.4 Luồng dữ liệu xuyên biên giới 4 1.5.5 Quyền riêng tư 4 1.6 Hiểu được các yêu cầu đối với các kiểu điều tra (ví dụ, quản 19 lý hành chính, hình sự, dân sự, quy định, tiêu chuẩn ngành) 1.7 Phát triển, lập thành văn bản và triển khai chính sách, các 1 tiêu chuẩn, thủ tục và hướng dẫn bảo mật 1.8 Xác định, phân tích, và ưu tiên các yêu c ầu Liên tục Kinh 3 doanh (BC) 1.8.1 Phân tích Tác động Kinh doanh (BIA) 3 1.8.2 Phát triển và lập thành văn bản về phạm vi và kế hoạch 3 1.9 Đóng góp và thực thi các chính sách và th ủ tục bảo mật nhân 2 sự 1.9.1 Sàng lọc ứng viên và tuyển dụng 2 1.9.2 Các thỏa thuận và chính sách lao động 2 1.9.3 Các quy trình đón nhân viên mới, chuyển giao và kết thúc 2 1.9.4 Các thỏa thuận và kiểm soát nhà cung c ấp, tư vấn, nhà thầu 2 60 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 1.9.5 Các yêu cầu tuân thủ chính sách 2 1.9.6 Các yêu cầu về chính sách quyền riêng tư 2 1.10 Hiểu và áp dụng các khái niệm bảo mật 2 1.10.1 Xác định các mối đe dọa và lỗ hổng 2 1.10.2 Đánh giá/phân tích rủi ro 2 1.10.3 Ứng phó rủi ro 2 1.10.4 Lựa chọn và triển khai biện pháp ứng phó 2 1.10.5 Các kiểu biện pháp kiểm soát phù hợp (ví dụ, ngăn chặn, 2 phát hiện, khắc phục) 1.10.6 Đánh giá biện pháp kiểm soát (bảo mật và quyền riêng tư) 2 1.10.7 Giám sát và đo lường 2 1.10.8 Báo cáo 2 1.10.9 Tiên tục cải tiến (ví dụ, mô hình hóa độ trưởng thành rủi ro) 2 1.10.10 Các khuôn khổ rủi ro 2 1.11 Hiểu và áp dụng các khái niệm và phương pháp mô hình hóa 1 mối đe dọa 1.12 Áp dụng các khái niệm Quản lý Rủi ro Chuỗi Cung ứng (SCRM) 1 1.12.1 Những rủi ro tương ứng với phần cứng, phần mềm và dịch vụ 1 1.12.2 Đánh giá và giám sát bên-thứ-ba 1 1.12.3 Các yêu cầu bảo mật tối thiểu 1 1.12.4 Các yêu cầu mức dịch vụ 1 1.13 Thiết lập và duy trì một chương trình nhận thức, giáo dục và 2 đào tạo về bảo mật 1.13.1 Các phương pháp và kỹ thuật để trình bày nh ận thức và đào 2 tạo (ví dụ, kỹ thuật xã hội, phishing, ngư ời ủng hộ bảo mật, trò chơi hóa) 1.13.2 Xem xét nội dung định kỳ 2 1.13.3 Đánh giá tính hiệu quả của chương trình 2 Lĩnh vực 2 Bảo mật Tài sản 2.1 Xác định và phân loại thông tin và tài sản 5 61 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 2.1.1 Phân loại dữ liệu 5 2.1.2 Phân loại tài sản 5 2.2 Xác lập các yêu cầu xử lý thông tin và tài sản 5 2.3 Cung cấp tài nguyên một cách bảo mật 16 2.3.1 Quyền sở hữu thông tin và tài s ản 16 2.3.2 Kiểm kê tài sản (ví dụ, hữu hình, vô hình) 16 2.3.3 Quản lý tài sản 16 2.4 Quản lý vòng đời dữ liệu 5 2.4.1 Vai trò dữ liệu (ví dụ, chủ sở hữu, người kiểm soát, người 5 bảo quản, người xử lý, người dùng/chủ thể) 2.4.2 Thu thập dữ liệu 5 2.4.3 Định vị trí dữ liệu 5 2.4.4 Bảo trì dữ liệu 5 2.4.5 Lưu giữ dữ liệu 5 2.4.6 Cảm ứng từ dư dữ liệu 5 2.4.7 Phá hủy dữ liệu 5 2.5 Đảm bảo lưu giữ tài sản thích hợp (ví dụ, Kết-thúc-Vòng-đời 5 (EOL), Kết-thúc-Hỗ-trợ (EOS)) 2.6 Xác định các biện pháp kiểm soát dữ liệu và các yêu cầu tuân 5 thủ 2.6.1 Trạng thái dữ liệu (ví dụ, đang sử dụng, đang truyền tải, 5 đang lưu trữ) 2.6.2 Định phạm vi và điều chỉnh 5 2.6.3 Lựa chọn các tiêu chuẩn 5 2.6.4 Các phương pháp bảo vệ dữ liệu (ví dụ, Quản lý Quyền Kỹ 5 thuật số (Digital Rights Management – DRM), Ngăn ngừa Mất Dữ liệu (Data Lost Prevention – DLP), Trung gian Bảo mật Truy cập Đám mây (Cloud Access Security Broker – CASB)) Lĩnh vực 3: Công nghệ và Kiến trúc Bảo mật 62 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 3.1 Nghiên cứu, triển khai và quản lý các quy trình công nghệ 1, bằng cách sử dụng các nguyên tắc thiết kế bảo mật 16 3.1.1 Mô hình hóa mối đe dọa 1 3.1.2 Đặc quyền Ít nhất 16 3.1.3 Phòng thủ Chiều sâu 1 3.1.4 Bảo mật mặc định 8 3.1.5 Thất bại một cách bảo mật 8 3.1.6 Phân tách nhiệm vụ (Seperation of Duties – SoD) 16 3.1.7 Giữ cho nó đơn giản 8 3.1.9 Zero Trust 8 3.1.9 Quyền riêng tư theo thiết kế 8 3.1.10 Tin tưởng nhưng phải xác minh 8 3.1.11 Trách nhiệm được chia sẻ 9 3.2 Hiểu được những khái niệm nền tảng về các mô hình bảo mật 8 8, 91 (ví dụ, Biba, Star Model, Bell-LaPadula) 3.3 Lựa chọn các biện pháp kiểm soát dựa trên các yêu c ầu bảo 8 mật hệ thống 3.4 Hiểu được năng lực bảo mật của Hệ thống Thông tin (ví dụ 8 bảo vệ bộ nhớ, Mô-đun Nền tảng Đáng tin cậy (Trusted Platform Module – TPM), mã hóa/giải mã) 3.5 Đánh giá và giảm thiểu các lỗ hổng của kiến trúc, thiết kế 7, 9, 16, và các thành phần giải pháp bảo mật 20 3.5.1 Các hệ thống dựa-trên-máy-khách 9 3.5.2 Các hệ thống dựa-trên-máy-chủ 9 3.5.3 Các hệ thống cơ sở dữ liệu 20 3.5.4 Các hệ thống mật mã 7 3.5.5 Các Hệ thống Kiểm soát Công nghiệp (Industrial Control 9 Systems – ICS) 63 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 3.5.6 Các hệ thống dựa-trên-đám-mây (ví dụ, Phần mềm như một 16 Dịch vụ - SaaS, Cơ sở hạ tầng như một Dịch vụ - IaaS, Nền tảng như một Dịch vụ - PaaS) 3.5.7 Các hệ thống phân tán 9 3.5.8 Internet vạn vật (IoT) 9 3.5.9 Vi dịch vụ 9 3.5.10 Đóng gói (Containerization) 9 3.5.11 Không máy chủ (Serverless) 9 3.5.12 Các hệ thống nhúng 9 3.5.13 các hệ thống Tính toán Hiệu-suất-Cao (High-Performance 9 Computing – HPC) 3.5.14 Các hệ thống điện toán biên 9 3.5.15 Các hệ thống được ảo hóa 9 3.6 Lựa chọn và xác định các giải pháp mật mã 6, 7 3.6.1 Vòng đời mật mã (ví dụ, khóa, lựa chọn thuật toán) 6, 7 3.6.2 Các phương pháp m ật mã (ví dụ, đối xứng, bất đối xứng, 6, 7 đường cong elliptic, lư ợng tử) 3.6.3 Cơ sở hạ tầng Khóa Công khai (PKI) 7 3.6.4 Thực tiễn quản lý khóa 7 3.6.5 Chữ ký và chứng thư kỹ thuật số 7 3.6.6 Không-khước-từ 6, 7 3.6.7 Tính toàn vẹn (ví dụ, băm) 6, 7 3.7 Hiểu được các phương pháp tấn công phân tích mật mã 7, 14, 21 3.7.1 Brute force 7 3.7.2 Chỉ văn bản mật mã 7 3.7.3 Văn bản rõ đã biết 7 3.7.4 Phân tích tần suất 7 3.7.5 Văn bản rõ đã chọn 7 3.7.6 Triển khai các cuộc tấn công 7 64 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 3.7.7 Kênh-cạnh-bên (side-channel) 7 3.7.8 Chèn lỗi 7 3.7.9 Thời lượng 7 3.7.10 Người-trung-gian (MITM) 7 3.7.11 Vượt qua băm 14 3.7.12 Khai thác Kerberos 14 3.7.13 Ransomware 21 3.8 Áp dụng các nguyên tắc bảo mật vào thiết kế địa điểm và cơ 10 sở vật chất 3.9 Thiết kế các biện pháp kiểm soát địa điểm và cơ sở vật chất 10 3.9.1 Tủ cáp/cơ sở phân phối trung gian 10 3.9.2 Phòng máy chủ/trung tâm dữ liệu 10 3.9.3 Cơ sở vật chất lưu trữ phương tiện 10 3.9.4 Lưu trữ bằng chứng 10 3.9.5 Bảo mật các khu vực làm việc và khu vực bị hạn chế 10 3.9.6 Tiện ích và Hệ thống Sưởi, Thông gió và Điều hòa không khí 10 (HVAC) 3.9.7 Các vấn đề về môi trường 10 3.9.8 Phát hiện, ngăn chặn và phòng cháy 10 3.9.10 Nguồn điện (ví dụ, dự trữ, dự phòng) 10 Lĩnh vực 4: Bảo mật Mạng và Truyền thông 4.1 Đánh giá và triển khai các nguyên tắc thiết kế bảo mật trong 11, 12 kiến trúc mạng 4.1.1 Các mô hình Interconnection Kết – nối OSI) Hệ và thống Giao thức Mở (Open Kiểm soát System 11 Truyền tài/Giao thức Internet (TCP/IP) 4.1.2 Kết nối mạng Giao thức Internet (IP) (ví dụ, Giao thức 11, 12 Internet Bảo mật – IPSec, Giao thức Internet (IP) v4/6) 4.1.3 Các giao thức bảo mật 11 4.1.4 Ảnh hưởng của các giao thức đa lớp 11 65 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 4.1.5 Các giao thức hội tụ (ví dụ, Kênh Quang Qua Ethernet – FcoE, 11 Giao diện Hệ thống Máy tính Nhỏ Internet – Internet Small Computer Systems Interface – iSCSI, Thoại qua Giao thức Internet – VoIP) 4.1.6 Vi-phân-đoạn (micro-segmentation) (ví dụ, Mạng được Phần 11 mềm Định nghĩa – Software Defined Networks/SDN, Mạng Khu vực Cục bộ Ảo có Khả năng mở rộng – Virtual eXtensible Local Area Network/VXLAN, Đóng gói, Mạng Diện Rộng được Phần mềm Định nghĩa – Software-Defined Wide Area Network/SD-WAN) 4.1.7 Mạng không dây (ví dụ, LiFi, Wi-Fi, Zigbee, vệ tinh) 11 4.1.8 Mạng di động (ví dụ, 4G, 5G) 11 4.1.9 Mạng Phân phối Nội dung (Content Distribution Networks – 11 CDN) 4.2 Bảo mật các thành phần của mạng 11 4.2.1 Hoạt động của phần cứng (ví dụ, nguồn dự phòng, bảo hành, 11 hỗ trợ) 4.2.2 Truyền tải phương tiện 4.2.3 Các thiết bị Kiểm soát 11 Truy cập Mạng (Network Access 11 Control – NAC) 4.2.4 Bảo mật điểm đầu cuối 11 4.3 Triển khai các kênh giao tiếp bảo mật theo thiết kế 12 4.3.1 Âm thanh 12 4.3.2 Cộng tác đa phương tiện 12 4.3.3 Truy cập từ xa 12 4.3.4 Giao tiếp dữ liệu 12 4.3.5 Mạng được ảo hóa 12 4.3.6 Kết nối bên-thứ-ba 12 Lĩnh vực 5: Quản lý Danh tính và Truy cập (IAM) 5.1 Kiểm soát quyền truy cập vật lý và luận lý vào tài sản 13 5.1.1 Thông tin 13 66 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 5.1.2 Các hệ thống 13 5.1.3 Các thiết bị 13 5.1.4 Cơ sở vật chất 13 5.1.5 Ứng dụng 13 5.2 Quản lý danh tính và xác thực của con người, thiết bị và dịch 13 vụ 5.2.1 Triển khai Quản lý Danh tính (IM) 13 5.2.2 Xác thực một/đa-yếu-tố (MFA) 13 5.2.3 Trách nhiệm giải trình 13 5.2.4 Quản lý phiên 13 5.2.5 Đăng ký, chứng minh và xác lập danh tính 13 5.2.6 Quản lý Danh tính được Liên kết (Federated Identity 13 Management – FIM) 5.2.7 Hệ thống quản lý thông tin đăng nhập 13 5.2.8 Đăng nhập Một lần (Single Sing On – SSO) 13 5.2.9 Đúng Thời hạn (Just-In-Time – JIT) 13 5.3 Danh tính được liên kết với một dịch vụ bên-thứ-ba 13 5.3.1 Tại chỗ 13 5.3.2 Trên đám mây 13 5.3.3 Lai 13 5.4 Triển khai và quản lý các cơ chế cấp phép 14 5.4.1 Kiểm soát Dựa trên Vai trò (Role Based Access Control - 14 RBAC) 5.4.2 Kiểm soát dựa trên quy tắc (rule-based access control) 14 5.4.3 Kiểm soát Truy cập Bắt buộc (Mandatory Access Control - 14 MAC) 5.4.4 Kiểm soát Truy cập Tùy ý (Discretionary Access Control – 14 DAC) 5.4.5 Kiểm soát Truy cập Dựa trên Thuộc tính (Attribute Based 14 Access Control – ABAC) 67 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 5.4.6 Kiểm soát truy cập dựa trên rủi ro 14 5.5 Quản lý danh tính và vòng đời cung cấp quyền truy cập 13, 14 5.5.1 Xem xét tài khoản truy cập (ví dụ, người dùng, hệ thống, 13 dịch vụ) 5.5.2 Cấp quyền và hủy cấp quyền (ví dụ, chào đón người mới/kết 13 thúc và chuyển công tác) 5.5.3 Định nghĩa vai trò (ví dụ, nhân sự được chỉ định cho vai trò 13 mới) 5.5.4 Leo thang đặc quyền (ví dụ, các tài khoản dịch vụ được quản 14 lý, sử dụng sudo, tối thiểu việc sử dụng của nó) 5.6 Triển khai hệ thống xác thực 14 5.6.1 Kết nối OpenID (OIDC)/Xác thực Mở (Open Authorization – 14 Oauth) 5.6.2 Ngôn ngữ Đánh dấu Chứng nhận Bảo mật (Security Assertion 14 Markup Language – SAML) 5.6.3 Kerberos 5.6.4 Dịch vụ 14 Người Authentication dùng Dial-In Quay-số User Xác Service thực – Từ xa (Remote RADIUS)/Hệ 14 thống Kiểm soát Truy cập Bộ Kiểm soát Truy cập Thiết bị đầu cuối + (Terminal Access Controller Access Control System Plus – TACACS+) Lĩnh vực 6: Đánh giá và Kiểm tra Bảo mật 6.1 Thiết kế và xác minh các chiến lược đánh giá, kiểm nghiệm 15 và kiểm toán 6.1.1 Nội bộ 15 6.1.2 Bên ngoài 15 6.1.3 Bên-thứ-ba 15 6.2 Tiến hành kiểm tra biện pháp kiểm soát bảo mật 15 6.2.1 Đánh giá lỗ hổng 15 6.2.2 Kiểm nghiệm xâm nhập 15 6.2.3 Xem xét nhật ký 15 68 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 6.2.4 Giao dịch nhân tạo 15 6.2.5 Đánh giá và kiểm tra mã phần mềm 15 6.2.6 Kiểm tra các trường hợp sử dụng sai 15 6.2.7 Phân tích phạm vi kiểm tra 15 6.2.8 Kiểm tra giao diện 15 6.2.9 Mô phỏng cuộc tấn công vi phạm 15 6.2.10 Kiểm tra tuân thủ 15 6.3 Thu thập dữ liệu quy trình bảo mật (ví dụ, kỹ thuật và hành 15, 18 chính) 6.3.1 Quản lý tài khoản 15 6.3.2 Xem xét và phê đuyệt của cấp quản lý 15 6.3.3 Các chỉ số rủi ro và hiệu suất then chốt 15 6.3.4 Dữ liệu xác minh quá trình sao lưu 15 6.3.5 Đào tạo và nâng cao nhận thức 15, 18 6.3.6 Khôi phục sau Thảm họa (DR) và Liên tục Kinh doanh (BC) 18, 3 6.4 Phân tích kết quả đầu ra của kiểm nghiệm và tạo ra báo cáo 15 6.4.1 Khắc phục 15 6.4.2 Quản lý ngoại lệ 15 6.4.3 Tiết lộ đạo đức 15 6.5 Tiến hành hoặc tạo điều kiện kiểm toán bảo mật 15 6.5.1 Nội bộ 15 6.5.2 Bên ngoài 15 6.5.3 Bên-thứ-ba 15 Lĩnh vực 7: Vận hành Bảo mật 7.1 Hiểu và tuân thủ các cuộc điều tra 19 7.1.1 Thu thập và xử lý chứng cứ 19 7.1.2 Báo cáo và tài liệu 19 7.1.3 Các kỹ thuật điều tra 19 69 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 7.1.4 Các công cụ, chiến thuật và thủ tục điều tra pháp y kỹ thuật 19 số 7.1.5 Các hiện vật (ví dụ, máy tính, mạng, các thiết bị di động 19 7.2 Tiến hành ghi nhật ký và giám sát các họat động 17, 21 7.2.1 Phát hiện và ngăn chặn xâm nhập 17 7.2.2 Quản lý Sự kiện và Thông tin Bảo mật (SIEM) 17 7.2.3 Liên tục giám sát 17 7.2.4 Giám sát lối ra vào 17 7.2.5 Quản lý nhật ký 17 7.2.6 Thông tin tình báo về môi đe dọa (ví dụ, nguồn của mối đe 17 dọa, săn lùng mối đe dọa) 7.2.7 Phân tích Hành vi Người dùng và Thực thể (User and Entity 21 Behavior Analysis - UEBA) 7.3 Thực hiện Quản lý Cấu hình (CM) (ví dụ, cung cấp, lập đường 16 cơ sở, tự động hóa) 7.4 Áp dụng các khải niệm vận hành bảo mật nền tảng 16 7.4.1 Cần-được-biết/đặc quyền ít nhất 16 7.4.2 Phân tách Nhiệm vụ (SoD) và trách nhiệm 16 7.4.3 Quản lý tài khoản đặc quyền 16 7.4.4 Luân chuyển công việc 16 7.4.5 Các Thỏa thuận Mức Dịch vụ (SLA) 16 7.5 Áp dụng việc bảo vệ nguồn lực 16 7.5.1 Quản lý phương tiện 16 7.5.2 Các kỹ thuật bảo vệ phương tiện 16 7.6 Tiến hành quản lý sự cố 17 7.6.1 Phát hiện 17 7.6.2 Ứng phó 17 7.6.3 Giảm nhẹ 17 7.6.4 Báo cáo 17 70 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 7.6.5 Khôi phục 17 7.6.6 Khắc phục (sửa chữa) 17 7.6.6 Bài học kinh nghiệm 17 7.7 Vận hành và duy trì các biện pháp phát hiện và ngăn chặn 11, 17 7.7.1 Tường lửa 11 7.7.2 Hệ thống Phát hiện Xâm nhập (IDS) và Hệ thống Ngăn ch ặn 17 Xâm nhập (IPS) 7.7.3 Danh sách trắng/danh sách đen 17 7.7.4 Các dịch vụ bảo mật được cung cấp bởi bên-thứ-ba 17 7.7.5 Sandboxing 17 7.7.6 Honeypots/Honeynets 17 7.7.7 Chống-phần-mềm-độc-hại 17 7.7.8 Các công cụ dựa trên máy học và Trí tuệ Nhân tạo (AI) 17 7.8 Triển khai và hỗ trợ việc quản lý vá lỗi và lỗ hổng 16 7.9 Hiểu và tham gia vào các quy trình qu ản lý thay đổi 16 7.10 Triển khai các chiến lược khôi phục 18 7.10.1 Các chiến lược lưu trữ dự phòng 18 7.10.2 Các chiến lược địa điểm khôi phục 18 7.10.3 Các địa điểm đa nhiệm 18 7.10.4 Khả năng phục hồi của hệ thống, Tính sẵn sàng Cao (HA), 18 Chất lượng dịch vụ (QoS) và khả năng chịu lỗi 7.11 Triển khai các quy trình Khôi phục sau Thảm họa (DR) 18 7.11.1 Ứng phó 18 7.11.2 Nhân sự 18 7.11.3 Truyền thông 18 7.11.4 Đánh giá 18 7.11.5 Phục hồi 18 7.11.6 Đào tạo và nâng cao nhận thức 18 7.11.7 Bài học kinh nghiệm 18 71 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 7.12 Kiểm tra các Kế hoạch Khôi phục sau Thảm họa (DRP) 18 7.12.1 Đọc-qua/kiểm nghiệm trên bàn (tabletop) 18 7.12.2 Diễn tập 18 7.12.3 Mô phỏng 18 7.12.4 Song song 18 7.12.5 Gián đoạn hoàn toàn 18 7.13 Tham gia vào hoạch định và kiểm tra Liên tục Kinh doanh 3 (BC) 7.14 Triển khai và quản lý bảo mật vật lý 10 7.14.1 Các biện pháp kiểm soát bảo mật chu vi 10 7.14.2 Các biện pháp kiểm soát bảo mật nội bộ 10 7.15 Giải quyết các mối quan tâm về an toàn và bảo mật nhân sự 16 7.15.1 Di chuyển 16 7.15.2 Đào tạo và nâng cao nhận thức về bảo mật 16 7.15.3 Quản lý tình huống khẩn cấp 16 7.15.4 Ép buộc 16 Lĩnh vực 8: Bảo mật Phát triển Phần mềm 8.1 Hiểu và tích hợp bảo mật vào Vòng Đời Phát triển Phần mềm 20 (SDLC) 8.1.1 Các phương pháp phát triển (ví dụ, Agile, Waterfall, DevOps, 20 DevSecOps) 8.1.2 Các mô hình trưởng thành (ví dụ, Mô hình Trưởng thành Năng 20 lực – CMM), Mô hình Trưởng thành Bảo đảm Phần mềm – Software Assurance Maturity Model/SAMM) 8.1.3 Vận hành và bảo trì 20 8.1.4 Quản lý thay đổi 20 8.1.5 Nhóm Sản phẩm được Tích hợp (Integrated Product Team – 20 IPM) 8.2 Xác định và áp dụng các biện pháp kiểm soát bảo mật trong 15, hệ sinh thái phát triển phần mềm 20, 21 72 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 17, 8.2.1 Các ngôn ngữ lập trình 20 8.2.2 Các thư viện 20 8.2.3 Các bộ công cụ 20 8.2.4 Môi trường Phát triển được Tích hợp (Integrated 20 Development Environment – IDE) 8.2.5 Thời gian chạy (Runtime) 8.2.6 Liên tục Tích hợp và 20 Liên tục Cung cấp (Contiuous 20 mật (Security 17 Integration and Continuous Delivery – CI/CD) 8.2.7 Điều phối, Tự động hóa và Ứng phó Bảo Orchestration, Automation and Response – SOAR) 8.2.8 Quản lý Cấu hình Phần mềm (SCM) 20 8.2.10 Kiểm nghiệm bảo mật phần mềm (ví dụ, Kiểm nghiệm Bảo 15 mật Ứng dụng Testing/SAST, Tĩnh Kiểm – Static nghiệm Bảo Application mật Ứng Security dụng Động (Dynamic Application Security Testing/DAST) 8.3 Đánh giá hiệu quả của bảo mật phần mềm 20 8.3.1 Kiểm toán và ghi lại nhật ký những thay đổi 20 8.3.2 Phân tích và giảm nhẹ rủi ro 20 8.4 Đánh giá tác động rủi ro của phần mềm mua lại 16, 20 8.4.1 Thương mại (Commercial-off-the-shelf – COTS) 20 8.4.2 Mã nguồn mở 20 8.4.3 Bên-thứ-ba 20 8.4.4 Các dịch vụ được quản lý (ví dụ, Phần mềm như một Dịch vụ 16 (SaaS), Cơ sở hạ tầng như một Dịch vụ (IaaS), Nền tảng như một Dịch vụ (PaaS) 8.5 Xác định và áp dụng các hướng dẫn và tiêu chuẩn bảo mật 20, 21 việc lập trình 8.5.1 Các điểm yếu và lỗ hổng bảo mật ở cấp độ mã-nguồn 21 8.5.2 Bảo mật của các Giao diện Lập trình Ứng dụng (Application 20 Programming Interfaces – API) 8.5.3 Thực tiễn bảo mật việc lập trình 20 73 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 8.5.4 Bảo mật được xác-định-bởi-phần-mềm 20 Hỗ trợ Độc giả dành cho Ấn phẩm Này Cách Liên hệ với Nhà xuất bản Nếu bạn tin rằng bạn đã tìm thấy một lỗi trong ấn phẩm này, hãy gửi nó đến cho chúng tôi. Tại John Wiley & Son, chúng tôi hi ểu rằng việc cung cấp nội dung chính xác cho khách hàng của chúng tôi có tầm quan trọng như thế nào, tuy nhiên, dù cho chúng tôi đã nỗ lực hết sức nhưng lỗi vấn có thể xảy ra. Để gửi bản in lỗi mà bạn đã phát hiện ra, vui lòng gửi email cho Nhóm Dịch vụ Khách hàng của chúng tôi tại địa chỉ wileysupport@wiley.com với chủ đề “Possible Book Errata Submission”. 74 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống B à i K i ể m t r a Đ á n h g iá 1. Kiểu kiểm soát truy cập nào dưới đây tìm cách khám phá bằng chứng về hành vi hoặc hoạt động không mong muốn, trái phép hoặc bị cấm? A. Ngăn chặn B. Răn đe C. Phát hiện D. Khắc phục. 2. Hãy xác định và liệt kê chi tiết về các khía cạnh của việc lựa chọn mật khẩu để phân biệt các lựa chọn mật khẩu tốt với các lựa chọn mật khẩu tồi. A. Khó đoán hoặc không thể dự đoán được B. Đáp ứng yêu cầu về độ dài tối thiểu C. Đáp ứng các yêu cầu về độ phức tạp cụ thể D. Tất cả đáp án trên. 3. Một số kẻ thù sử dụng các cuộc tấn công DoS làm vũ khí chính để gây hại cho các mục tiêu, trong khi những kẻ khác có thể sử dụng chúng như vũ khí cuối cùng khi tất cả các nỗ lực khác để xâm nhập vào mục tiêu đều thất bại. Điều nào dưới đây có nhiều khả năng phát hiện các cuộc tấn công DoS nhất? A. IDS Dựa-trên-Máy-vật-chủ B. IDS Dựa-trên-Mạng C. Máy quét lỗ hổng D. Kiểm nghiệm xâm nhập. 4. Thật không may, những kẻ tấn công có rất nhiều lựa chọn tấn công để chống lại các mục tiêu. Điều nào dưới đây được coi là một cuộc tấn công từ-chối-dịch-vụ (DoS)? A. Giả vờ qua điện thoại như là một nhà quản lý kỹ thuật và yêu cầu nhân viên lễ tân thay đổi mật khẩu của họ B. Trong khi đang lướt web, gửi đến một máy chủ web một URL sai định dạng khiến cho hệ thống tiêu tốn 100% CPU (để xử lý) C. Chặn lưu lượng mạng bằng cách sao chép các gói tin khi chúng đi qua một mạng con cụ thể 75 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống D. Gửi các gói tin thông điệp cho một người nhận, người đã không gửi chúng, chỉ đơn giản là gây phiền nhiễu. 5. Các thiết bị kết nối mạng phần cứng hoạt động trong ngăn xếp giao thức giống như chính bản thân các giao thức. Do đó, các thiết bị kết nối mạng phần cứng có thể được liên kết với một lớp mô hình OSI liên quan đến các giao thức mà chúng quản lý hoặc kiểm soát. Một bộ định tuyến hoạt động ở lớp nào của mô hình OSI? A. Lớp Mạng B. Lớp 1 C. Lớp Truyền tải D. Lớp 5. 6. Kiểu tường lửa nào tự động điều chỉnh các quy tắc bộ lọc của nó dựa trên nội dung và bối cảnh của lưu lượng của phiên hiện hành? A. Bộ lọc gói tin tĩnh B. Cửa ngõ cấp-ứng-dụng C. Cửa ngõ cấp-mạch (circuit-level) D. Tường lửa điều tra toàn trạng thái (stateful). 7. Một VPN có thể là một biện pháp cải thiện bảo mật đáng kể đối với rất nhiều kết nối truyền thông. Một VPN có thể được thiết lập qua những liên kết nào dưới đây? A. Kết nối mạng LAN Không dây B. Kết nối quay-số truy cập từ xa C. Liên kết WAN D. Tất cả đáp án trên. 8. Kẻ thù sẽ sử dụng bất kỳ và mọi biện pháp để gây thiệt hại cho mục tiêu của chúng. Điều này bao gồm sự pha trộn các khái niệm tấn công với nhau để tạo ra một chiến dịch hiệu quả hơn. Kiểu phần mềm độc hại nào sử dụng kỹ thuật xã hội để lừa nạn nhân cài đặt nó? A. Vi-rút B. Sâu C. Ngựa Trojan D. Bom logic. 76 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 9. Bảo mật được thiết lập bằng cách tìm hiểu về những tài sản của một tổ chức đang cần được bảo vệ và tìm hiểu về các mối đe dọa có thể gây hại cho những tài sản đó. Sau đó, các biện pháp kiểm soát được lựa chọn để cung cấp sự bảo vệ cho Bộ ba CIA đối với những tài sản đang gặp rủi ro. Bộ ba CIA bao gồm những yếu tố nào? A. Contiguousness, interoperable, arranged (Li ền kề, tương tác lẫn nhau, được sắp xếp) B. Authentication, authorization, accountability (Xác th ực, cấp phép, trách nhiệm giải trình) C. Capable, available, integral (Năng lực, sẵn sàng, tron vẹn) D. Availability, confidentiality, integrity (Tính sẵn sàng, bảo mật, toàn vẹn). 10. Khái niệm bảo mật của các dịch vụ AAA mô tả các yếu tố cần thiết để thiết lập trách nhiệm giải trình của chủ thể. Điều nào sau đây không phải là một thành phần bắt buộc trong việc hỗ trợ cho trách nhiệm giải trình? A. Ghi nhật ký B. Quyền riêng tư C. Xác minh danh tính D. Cấp phép. 11. Cấu kết là khi hai hay nhiều người làm việc cùng nhau để phạm tội hoặc vi phạm một chính sách của công ty. Điều nào dưới đây không phải là một biện pháp phòng thủ chống lại sự cấu kết? A. Phân tách nhiệm vụ B. Trách nhiệm công việc được giới hạn C. Các tài khoản người dùng nhóm D. Luân chuyển công việc. 12. Một người bảo quản dữ liệu chịu trách nhiệm cho việc bảo vệ những tài nguyên sau _________ đã gán một nhãn bảo mật cho tài nguyên. A. Quản lý cấp cao B. Chủ sở hữu dữ liệu C. Một kiểm toán viên D. Nhân viên bảo mật. 77 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 13. Trong giai đoạn nào của Mô hình Trưởng thành Năng lực Phần mềm (SW-CMM), các thước đo định lượng được sử dụng để có được các chi tiết về quy trình phát triển phần mềm? A. Có thể lặp lại được B. Đã được xác đjnh C. Đã được quản lý D. Tối ưu hóa. 14. Lớp nào dưới đây là một lớp của ý tưởng thiết kế lược đồ bảo vệ theo vòng (ring protection) thường không được triển khai? A. Lớp 0 B. Lớp 1 C. Lớp 3 D. Lớp 4. 15. TCP hoạt động tại lớp Truyền tải và là một giao thức hướng-kết-nối. Nó sử dụng một tiến trình đặc biệt để thiết lập một phiên mỗi khi một giao tiếp được thực hiện. Giai đoạn sau cùng của trình tự bắt tay CTP ba-chiều là gì? A. Gói tin được gắn cờ SYN B. Gói tin được gắn cờ ACK C. Gói tin được gắn cờ FIN D. Gói tin được gắn cờ SYN/ACK. 16. Việc thiếu các thực tiễn mã hóa an toàn đã tạo ra một số lượng không thể đếm được các lỗ hổng phần mềm mà tin tặc đã phát hiện ra và khai thác được. Lỗ hổng nào sau đây sẽ được khắc phục tốt nhất bằng cách kiểm tra tham số đầy đủ A. Thời-gian-kiểm-tra đến thời-gian-sử-dụng B. Tràn bộ nhớ đệm C. Ngập lụt SYN D. Từ chối dịch vụ được phân tán (DDoS) 17. Các máy tính đều dựa trên tính toán nhị phân. Mọi chức năng máy tính đều bắt nguồn từ bộ toán tử Boolean cơ bản. Giá trị của toán tử logic được trình bày dưới đây là gì? X: 011010 78 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Y: 001101 _ _ _ _ _ _ X A Y: ? A. 010111 B. 001000 C. 011111 D. 100101 18. Điều nào sau đây được coi là phân loại kiểu dữ liệu tiêu chuẩn được sử dụng trong chính phủ/quân đội hoặc các tổ chức khu vực tư nhân? (Chọn tất cả các đáp án đúng). A. Công khai B. Lành mạnh C. Riêng tư D. Nội bộ E. Nhạy cảm F. Độc quyền G. Thiết yếu H. Được chứng nhận I. Tối quan trọng J. Mật K. Chỉ Dành Riêng Cho Bạn. 19. Quy định Bảo vệ Dữ liệu Chung (General Data Protection Regulation – GDPR) đã xác định một số vai trò liên quan đến sự bảo vệ và quản lý thông tin định danh cá nhân (PII). Những mệnh đề nào dưới đây là đúng? A. Một người xử lý dữ liệu là thực thể được chỉ định trách nhiệm cụ thể đối với một tài sản dữ liệu nhằm đảm bảo việc bảo vệ nó khi sử dụng bởi tổ chức. B. Một người bảo quản dữ liệu là một thực thể thực hiện sự vận hành của dữ liệu. C. Một người kiểm soát dữ liệu là một thực thể đưa ra quyêt định về dũ liệu mà họ đang thu thập. 79 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống D. Một chủ sở hữu dữ liệu là một thực thể được chỉ định hoặc ủy thác chịu trách nhiệm hàng-ngày về việc lưu trữ và truyền tải dữ liệu một cách thích hợp cũng như cho việc bảo vệ dữ liệu, tài sản và các đối tượng tổ chức khác. 20. Nếu Reene nhận được một thông điệp đã được ký kỹ thuật số từ Mike, cô ấy sẽ sử dụng khóa nào để xác minh rằng thông điệp đã thực sự được gửi đi từ Mike? A. Khóa công khai của Reene B. Khóa riêng tư của Reene C. Khóa công khai của Mike D. Khóa riêng tư của Mike. 21. Một quản trị viên hệ thống đang thiết lập một hệ thống quản lý dữ liệu mới. Nó sẽ thu thập dữ liệu từ nhiều vị trí khác nhau trên toàn mạng, thậm chí từ các vị trí từ xa bên ngoài. Dữ liệu sẽ được chuyển đến một cơ sở tập trung, nơi nó sẽ được lưu trữ trên một mảng RAID lớn. Dữ liệu sẽ được mã hóa trên hệ thống lưu trữ bằng cách sử dụng AES-256 và hầu hết các tập tin cũng sẽ được ký. Vị trí của kho dữ liệu này được bảo mật để chỉ những người có thẩm quyền mới có thể vào truy nhập phòng và tất cả các truy cập kỹ thuật số chỉ được giới hạn cho một nhóm quản trị viên bảo mật. Điều nào sau đây mô tả về dữ liệu? A. Dữ liệu được mã hóa khi truyền tải B. Dữ liệu được mã hóa khi đang xử lý C. Dữ liệu được lưu trữ một cách dự phòng D. Dữ liệu được mã hóa trong khi đang lưu trữ. 22. ______ là thực thể đã được chỉ định vai trò cụ thể đối với một tài sản dữ liệu nhằm đảm bảo việc bảo vệ nó khi được sử dụng bởi tổ chức? A. Chủ sở hữu dữ liệu B. Người kiểm soát dữ liệu C. Người xử lý dữ liệu D. Người bảo quản dữ liệu. 23. Một kiểm toán viên bảo mật đang tìm kiếm bằng chứng về cách các tài liệu nhạy cảm được đưa ra khỏi tổ chức và được gửi đến một trang web phân phối tài liệu công khai. Người ta nghi ngờ rằng một người trong 80 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống cuộc đã lấy cắp dữ liệu thông qua kết nối mạng với một máy chủ bên ngoài, nhưng đây chỉ là phỏng đoán. Điều nào sau đây sẽ hữu ích trong việc xác định liệu nghi ngờ này có chính xác không? (Hãy ch ọn hai đáp án). A. NAC B. Các cảnh báo DLP C. Syslog D. Phân tích nhật ký E. Các báo cáo quét phần mềm độc hại F. Giám sát tính toàn vẹn. 24. Một Giao thức Ứng dụng Không dây (Wireless Application Protocol WAP) mới đang được cài đặt để bổ sung thêm kết nối không dây vào mạng của công ty. Chính sách cấu hình chỉ ra rằng WPA3 sẽ được sử dụng và do đó chỉ các thiết bị điểm đầu cuối mới hơn hoặc đã được cập nhật mới có thể kết nối. Chính sách cũng tuyên bố rằng xác thực ENT sẽ không được triển khai. Cơ chế xác thực nào có thể được triển khai trong tình huống này? A. IEEE 802.1X B. IEEE 802.1q C. Xác thực đồng thời bằng nhau (simultaneous authenticati on equals – SAE) D. EAP-FAST. 25. Khi bảo mật một thiết bị di động, kiểu xác thực nào có thể được sử dụng tuỳ thuộc vào thuộc tính vật lý của người dùng (Chọn tất cả các đáp án đúng)? A. Vân tay B. TOTP (mật khẩu một-lần theo-thời-gian – time-based one-time password) C. Giọng nói D. Tin nhắn ngắn (SMS) E. Võng mạc F. Dáng đi G. Cuộc gọi điện thoại 81 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống H. Nhận diện khuôn mặt I. Thẻ thông minh J. Mật khẩu. 26. Một phần thiết bị dã được mua gần đây đang không hoạt động như bình thường. Tổ chức của bạn không có kỹ thuật viên sửa chữa được đào tạo về nhân viên, vì vậy bạn phải đưa một chuyên gia bên ngoài vào. Loại tài khoản nào nên được cấp cho kỹ thuật viên sửa chữa của bênthứ-ba đáng tin cậy? A. Tài khoản khách (guess) B. Tài khoản có đặc quyền (privileged) C. Tài khoản dịch vụ (service) D. Tài khoản người dùng. 27. Bảo mật cần được thiết kế và tích hợp vào tổ chức như một phương tiện để hỗ trợ và duy trì các mục tiêu kinh doanh. Tuy nhiên, cách duy nhất để nhận biết xem liệu bảo mật đã được triển khai có đủ hay không chính là kiểm tra nó. Thủ tục nào dưới đây là thủ tục được thiết kế để kiểm tra và có thể bỏ qua các kiểm soát bảo mật của một hệ thống? A. Ghi lại nhật ký sử dụng dữ liệu B. Chiến tranh quay số C. Kiểm nghiệm xâm nhập D. Triển khai các máy trạm để bàn được bảo mật. 28. Bảo mật cần được thiết kế để hỗ trợ cho các mục tiêu kinh doanh nhưng nó cũng cần được bảo vệ về mặt pháp lý. Để bảo vệ an ninh của một tổ chức, một nhật ký các sự kiện và hoạt động phải được tạo ra. Kiểm toán là một yếu tố cần thiết để duy trì và thực thi những gì? A. Trách nhiệm giải trình B. Tính bảo mật C. Tính có thể truy cập được D. Tính dự phòng. 29. Đánh giá rủi ro là một quá trình mà theo đó, các tài sản, mối đe dọa, xác suất, và khả năng xảy ra được tính toán nhằm xác lập mức độ ưu tiên chủ đạo. Công thức nào được sử dụng để tính toán ALE? A. ALE = AV * EF * ARO 82 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống B. ALE = ARO * EF C. ALE = AV * ARO D. ALE = EF * ARO. 30. Các Kế hoạch ứng phó sự cố, kế hoạch liên tục kinh doanh và kế hoạch khôi phục sau thảm họa được lập khi triển khai dự phòng ở cấp-doanhnghiệp. Những kế hoạch này được rút ra từ thông tin thu được khi thực hiện đánh giá tác động kinh doanh (BIA). Bước đầu tiên của quy trình BIA là gì? A. Xác định các ưu tiên B. Đánh giá khả năng xảy ra C. Xác định rủi ro D. Ưu tiên nguồn lực. 31. Rất nhiều sự kiện có thể đe dọa đến hoạt động, sự tồn tại và ổn định của một tổ chức. Một số mối đe dọa trong số đó là do con người gây ra, trong khi những mối đe dọa khác là do các sự kiện tự nhiên. Điều nào sau đây đại diện cho các sự kiện tự nhiên có thể gây ra mối đe dọa hoặc rủi ro cho tổ chức? A. Động đất B. Lũ lụt C. Bão táp D. Tất cả đáp án trên. 32. Kiểu cơ sở khôi phục nào cho phépp một tổ chức khôi phục lại hoạt động càng nhanh càng tốt, nếu không muốn nói là ngay tức khắc, sau khi cơ sở chính bị lỗi? A. Địa điểm nóng B. Địa điểm ấm C. Địa điểm lạnh D. Tất cả đáp án trên. 33. Trong một lần xem xét tài khoản, một kiểm toán viên được cung cấp báo cáo dưới đây: Người dùng Thời lượng lần Đăng nhập Sau cùng Lần Thay đổi Mật khẩu sau cùng Bob 4 giờ 87 ngày 83 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Sue 3 giờ 38 ngày John 1 giờ 935 ngày Kesha 3 giờ 49 ngày Nhà quản lý bảo mật xem xét các chính sách tài khoản của tổ chức và ghi nhận các yêu cầu dưới đây: ▪ Mật khẩu phải dài ít nhất 12 ký tự. ▪ Mật khẩu phải chứa ít nhất 1 mẫu bao gồm 3 loại ký tự khác nhau. ▪ Mật khẩu phải được thay đổi mỗi 180 ngày. ▪ Mật khẩu không được tái sử dụng. Biện pháp kiểm soát bảo mật nào dưới đây nên được khắc phục để thực thi chính sách mật khẩu? A. Độ dài tối thiểu của mật khẩu B. Khóa (lockout) tài khoản C. Lịch sử và tuổi tối thiểu của mật khẩu D. Tuổi tối đa của mật khẩu. 34. Bất kỳ bằng chứng nào được sử dụng trong quá trình tố tụng tại tòa án đều phải tuân theo Quy tắc về Bằng chứng (Rules of Evidence) để được chấp nhận. Loại bằng chứng nào đề cập đến các tài liệu bằng văn bản được đưa ra tòa để chứng minh một sự việc? A. Bằng chứng tốt nhất B. Bằng chứng bằng miệng C. Bằng chứng tài liệu D. Bằng chứng xác thực. 35. John, người quản lý DevOps, lo ngại về kế hoạch của CEO để giảm thiểu bộ phận của mình và thuê ngoài việc phát triển mã cho một nhóm lập trình nước ngoài. John có một cuộc họp được lên lịch với ban giám đốc để khuyến khích họ duy trì việc phát triển mã trong nội bộ do có một số lo ngại. John nên đưa điều nào sau đây vào bài thuyết trình của mình? (Chọn tất cả các đáp án đúng). A. Mã từ bên-thứ-ba sẽ cần được xem xét một cách thủ công về tính năng và bảo mật. 84 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống B. Nếu bên-thứ-ba ngừng hoạt động, mã hiện hành có thể cần phải được bỏ đi. C. Phát triển mã từ bên-thứ-ba luôn đắt tiền hơn. D. Một thỏa thuận ký quỹ phần mềm nên được xác lập. 36. Khi TLS được sử dụng để bảo mật các giao tiếp web, tiền tố URL nào xuất hiện trong thanh địa chỉ của trình duyệt để chỉ ra yếu tố này? A. SHTTP:// B. TLS:// C. FTPS:// D. HTTPS://. 37. Bản cập nhật mới đã được phát hành bởi nhà cung cấp sản phẩm phần mềm quan trọng, là yếu tố thiết yếu của nhiệm vụ kinh doanh trọng yếu. Giám đốc bộ phận bảo mật (chief security officer - CSO) chỉ ra rằng phiên bản phần mềm mới cần phải được kiểm tra và đánh giá trong một phòng thí nghiệm ảo, nơi có các bản mô phỏng được nhân bản của nhiều hệ thống sản xuất của công ty. Hơn nữa, kết quả đánh giá này phải được xem xét trước khi đưa ra quyết định về việc có nên cài đặt bản cập nhật phần mềm hay không và khi nào thì cài đặt bản cập nhật phần mềm đó. CSO đang chứng minh nguyên tắc bảo mật nào? A. Hoạch định liên tục kinh doanh (BCP) B. Chào đón nhân viên mới C. Quản lý thay đổi D. Phân tích tĩnh. 38. Kiểu thiết bị token nào tạo ra những mật khẩu bắt-nguồn-từ-thời-gian theo một khoảng thời gian cụ thể để có thể được sử dụng chỉ một lần duy nhất khi cố gắng xác thực? A. HOTP B. HMAC C. SAML D. TOTP. 39. Tổ chức của bạn đang chuyển một phần đáng kể việc xử lý dữ liệu của họ từ giải pháp tại chỗ sang đám mây. Khi đánh giá m ột nhà cung cấp 85 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống dịch vụ đám mây (CSP), điều nào sau đây là mối quan tâm bảo mật quan trọng nhất? A. Chính sách lưu giữ dữ liệu B. Số lượng khách hàng C. Phần cứng được sử dụng để hỗ trợ các VM D. Cho dù họ cung cấp MaaS, IDaaS và SaaS. 40. Hầu hết các lỗ hổng phần mềm đang tồn tại là do bị thiếu những thực tiễn bảo mật hoặc phòng thủ mã lập trình được sử dụng bởi các nhà phát triển. Điều gì dưới đây không được xem là một kỹ thuật bảo mật mã lập trình (Chọn tất cả các đáp án đúng)? A. Sử dụng hệ thống bất biến B. Sử dụng các thủ tục lưu trữ C. Sử dụng ký mã lập trình D. Sử dụng xác minh phía-máy-chủ E. Tối ưu hóa kích cỡ tập tin F. Sử dụng các thư viện phần mềm bên-thứ-ba. 86 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Đáp án cho Bài Kiểm tra Đánh giá 1. C. Các biện pháp kiểm soát truy cập nhận dạng được sử dụng để khám phá (và ghi lại) các hoạt động không mong muốn hoặc trái phép. Các biện pháp kiểm soát truy cập ngăn chặn sẽ chặn khả năng thực hiện các hoạt động không mong muốn. Các biện pháp kiểm soát truy cập mang tính răn đe cố gắng thuyết phục thủ phạm không thực hiện hoạt động không mong muốn. Kiểm soát truy cập khắc phục sẽ khôi phục hệ thống về chức năng bình thường trong trường hợp có sự cố hoặc gián đoạn hệ thống. 2. D. Các lựa chọn mật khẩu mạnh thường khó đoán, không thể dự đoán trước và có độ dài tối thiểu được chỉ định để đảm bảo rằng các mục nhập mật khẩu không thể được xác định bằng máy tính. Chúng có thể được tạo ra một cách ngẫu nhiên và sử dụng tất cả các ký tự chữ cái, chữ số và dấu chấm câu chúng không bao giờ nên được viết ra hoặc được chia sẻ, chúng không nên được lưu trữ ở các vị trí có thể truy cập một cách công khai hoặc có thể đọc được, và chúng không nên được truyền một cách rõ ràng. 3. B. IDS dựa-trên-mạng thường có thể phát hiện ra sự khởi đầu của một cuộc tấn công hoặc những nỗ lực đang diễn ra để thực hiện một cuộc tấn công (bao gồm cả từ chối dịch vụ hoặc DoS). Tuy nhiên, chúng không thể cung cấp thông tin về việc liệu một cuộc tấn công có thành công hay không ho ặc hệ thống, tài khoản người dùng, tập tin hoặc ứng dụng cụ thể nào bị ảnh hưởng. IDS dựa-trên-máy-vật-chủ gặp một số khó khăn trong việc phát hiện và theo dõi các cuộc tấn công DoS. Máy quét các lỗ hổng bảo mật không phát hiện ra các cuộc tấn công DoS, chúng chỉ kiểm tra các lỗ hổng khả thi. Kiểm tra xâm nhập có thể gây ra một DoS hoặc kiểm tra các lỗ hổng DoS nhưng nó không phải là một công cụ phát hiện. 4. B. Không phải tất cả các trường hợp DoS đều là kết quả của một cuộc tấn công ác ý. Lỗi trong mã lập trình Hệ điều hành, dịch vụ và ứng dụng đã dẫn đến các điều kiện DoS. Một số ví dụ về điều này bao gồm một quá trình không giải phóng quyền kiểm soát CPU hoặc một dịch vụ tiêu tốn tài nguyên hệ thống một cách không tương xứng với các 87 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống yêu cầu dịch vụ mà nó đang xử lý. Kỹ thuật xã hội (nghĩa là giả danh người quản lý kỹ thuật) và đánh hơi (nghĩa là chặn lưu lượng mạng) thường không được coi là các cuộc tấn công DoS. Việc gửi các gói tin thông điệp đến người nhận đã không yêu cầu chúng chỉ đơn giản là gây phiền nhiễu có thể là một loại kỹ thuật xã hội và nó chắc chắn là thư rác, nhưng trừ khi khối lượng tin nhắn lớn, nó không đảm bảo nhãn dán của cuộc tấn công DoS. 5. A. Các thiết bị phần cứng mạng, bao gồm cả bộ định tuyến, hoạt động ở lớp 3, lớp Mạng. Lớp 1, lớp Vật lý, là nơi các bộ khuếch đại và các hub hoạt động chứ không phải bộ định tuyến. Lớp Truyền tải, lớp 4, là nơi các tường lửa và proxy cấp-mạch (circuit-level) hoạt động, cũng không phải bộ định tuyến. Lớp 5, lớp Phiên, không thực sự tồn tại trong mạng TCP/IP hiện đại và do đó không có phần cứng nào trực tiếp hoạt động ở lớp này, nhưng các chức năng của nó được thực hiện bởi TCP trong lớp Truyền tải, lớp 4, khi các phiên được sử dụng. 6. D. Tường lửa kiểm tra toàn trạng thái (hay còn gọi là tường lửa lọcgói-tin động) cho phép sửa đổi các quy tắc lọc theo-thời-gian-thực dựa trên nội dung và ngữ cảnh lưu lượng. Các tường lửa khác được liệt kê dưới dạng tùy chọn - lọc gói tĩnh, mức ứng dụng và mức mạch - tất cả đều là không trạng thái và do đó không xem xét ng ữ cảnh khi áp dụng các quy tắc lọc. 7. D. Một liên kết mạng riêng ảo (VPN) có thể được thiết lập qua bất kỳ kết nối giao tiếp mạng nào. Đây có thể là kết nối cáp LAN điển hình, kết nối mạng LAN không dây, kết nối quay số truy cập từ xa, liên kết WAN, hoặc thậm chí là kết nối Internet được khách hàng sử dụng để truy cập vào mạng LAN văn phòng. 8. C. Một ngựa Trojan là một hình thức phần mềm độc hại sử dụng các chiến thuật kỹ thuật xã hội để lừa nạn nhân cài đặt nó - mánh khóe ở đây là khiến cho nạn nhân tin rằng thứ duy nhất họ đã tải xuống hoặc lấy được là tập tin của máy chủ, trong khi thực tế nó có một tải trọng ẩn độc hại. Vi-rút và bom logic thường không sử dụng kỹ thuật xã hội như một phần tử trong phương tiện lây nhiễm hệ thống của chúng. Một sâu đôi khi được thiết kế để tận dụng lợi thế của kỹ thuật xã hội, 88 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống chẳng hạn như khi sâu là một tập tin đính kèm email có thể thực thi và thông báo lừa nạn nhân mở nó. Tuy nhiên, không phải tất cả các sâu đều được thiết kế theo cách này - đây là một khái niệm thiết kế cốt lõi của một Trojan. 9. D. Các thành phần của Bộ ba CIA là tính bảo mật, tính sẵn sàng và tính toàn vẹn (Confidentiality, Availability, Integrity). Các tùy chọn khác không phải là các thuật ngữ xác định Bộ ba CIA, mặc dù chúng là các khái niệm bảo mật cần được đánh giá khi thiết lập cơ sở hạ tầng bảo mật. 10. B. Quyền riêng tư là không cần thiết để cung cấp trách nhiệm giải trình. Các yếu tố bắt buộc của trách nhiệm giải trình, như được định nghĩa trong các dịch vụ AAA, bao gồm: nhận dạng (đôi khi được coi là một yếu tố của xác thực, một bước đầu tiên thầm lặng của dịch vụ AAA hoặc được đại diện bởi IAAA), xác thực (tức là xác minh nhận dạng), cấp phép (tức là kiểm soát quyền truy cập), kiểm toán (tức là ghi nhật ký và giám sát) và tính toán. 11. C. Tài khoản người dùng nhóm cho phép nhiều người đăng nhập bằng một tài khoản người dùng duy nhất. Điều này cho phép s ự cấu kết vì nó ngăn cản trách nhiệm giải trình của cá nhân. Việc phân tách nhiệm vụ, hạn chế trách nhiệm công việc và luân chuyển công việc giúp thiết lập trách nhiệm giải trình cá nhân và kiểm soát quyền truy cập (đặc biệt là các khả năng đặc quyền), từ đó hạn chế hoặc hạn chế sự cấu kết. 12. B. Chủ sở hữu dữ liệu trước tiên phải gán nhãn bảo mật cho tài nguyên trước khi người bảo quản dữ liệu có thể bảo mật tài nguyên đó một cách thích hợp. Quản lý cấp cao chịu trách nhiệm cuối cùng về sự thành công hay thất bại của một nỗ lực bảo mật. Một kiểm toán viên có trách nhiệm xem xét và xác minh rằng chính sách bảo mật đã được triển khai một cách đúng đắn, các giải pháp bảo mật có được là phù hợp và các sự kiện người dùng có đang tuân thủ chính sách bảo mật hay không. Nhân viên bảo mật chịu trách nhiệm cho việc thiết kế, triển khai và quản lý cơ sở hạ tầng an ninh sau khi đã được quản lý cấp cao phê duyệt. 89 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 13. C. Giai đoạn Được quản lý (cấp độ 4) của SW-CMM liên quan đến việc sử dụng các chỉ số phát triển định lượng. Viện Kỹ thuật Phần mềm (Software Engineering Institute - SEI) xác định các lĩnh vực quy trình chính cho cấp độ này là Quản lý Quy trình Định lượng và Quản lý Chất lượng Phần mềm. Giai đoạn Có thể lặp lại (cấp độ 2) là nơi các quy trình vòng đời cơ bản được giới thiệu. Giai đoạn Đã được xác định (cấp độ 3) là nơi các nhà phát tri ển hoạt động theo một tập hợp các quy trình phát triển chính thức đã được lập thành văn bản. Giai đoạn Tối ưu hóa (cấp độ 5) là nơi đạt được một quá trình cải tiến liên tục. 14. B. Lớp 1 và 2 chứa các trình điều khiển thiết bị nhưng thường không được triển khai trong thực tế, vì chúng thường được thu gọn thành lớp 0. Lớp 0 luôn chứa nhân (kernel) bảo mật. Lớp 3 chứa các ứng dụng của người dùng. Lớp 4 không tồn tại trong khái niệm thiết kế, nhưng nó có thể tồn tại trong các triển khai được tùy chỉnh. 15. B. Gói tin được gắn cờ SYN lần đầu tiên được gửi từ máy khởi tạo đến máy đích. Máy đích sau đó sẽ trả lời bằng một gói tin được gắn cờ SYN/ACK. Máy khởi tạo gửi một gói tin được gắn cờ ACK, và kết nối sau đó được thiết lập. Gói tin được gắn cờ FIN không được sử dụng trong quá trình bắt tay ba chiều TCP để thiết lập một phiên, nó được sử dụng trong quá trình chia nhỏ phiên. 16. B. Kiểm tra chu vi (nghĩa là xác nhận đầu vào đang nằm trong ranh giới có thể chấp nhận được) được sử dụng để ngăn chặn khả năng xảy ra các cuộc tấn công tràn bộ nhớ đệm. Các cuộc tấn công thời-giankiểm-tra đến thời-gian-sử-dụng (TOCTTOU) không được giải quyết trực tiếp bằng kiểm tra chu vi hay lọc đầu vào, thực tiễn phòng thủ mã lập trình là cần thiết để loại bỏ hoặc giảm thiểu vấn đề này. Các cuộc tấn công gây ngập lụt SYN là một kiểu tấn công DoS, vốn không được bảo vệ hoàn toàn chỉ bằng cách cải thiện thực tiễn mã lập trình. Một DDoS cũng không chỉ được ngăn chặn chỉ bởi việc thực tiễn mã lập trình được cải thiện, chẳng hạn như kiểm tra chu vi. Đối với bất kỳ kiểu DoS nào, khả năng xử lý và lọc đầy đủ là biện pháp ứng phó bảo mật hiệu quả nhất. 90 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 17. A. Ký hiệu  đại diện cho toán tử XOR và trả về một kết quả đúng khi chỉ cần một giá trị đầu vào là đúng. Nếu cả hai giá trị (đầu vào) là sai thì kết quả của toán tử XOR là sai. Tùy ch ọn B là kết quả nếu hai giá trị đầu vào này đã được kết hợp bằng cách sử dụng toán tử AND (ký hiệu ˄), trả về một kết quả dúng nếu cả hai giá trị đều đúng. Tùy chọn C là kết quả nếu hai giá trị đầu vào được kết hợp bằng cách sử dụng toán tử OR (ký hiệu ˅) trả về một kết quả đúng nếu một trong hai giá trị đầu vào là đúng. Tùy chọn D là kết quả chỉ nêu giá trị X chịu sự tác động của toán tử NOR (ký hiệu ~), vốn là đảo ngược giá trị của một đầu vào. 18. A, C, E, F, I, J. Có sáu phân loại kiểu dữ liệu tiêu chuẩn được sử dụng trong chính phủ/quân đội hoặc các tổ chức thuộc khu vực tư nhân trong danh sách các tùy chọn này: công khai, riêng tư, nhạy cảm, độc quyền, tối quan trọng và bí mật. Các tùy chọn khác (lành mạnh, nội bộ, thiết yếu, được chứng nhận và chỉ dành cho bạn) không chính xác vì chúng không phải là phân loại điển hình hoặc tiêu chuẩn. 19. C. Mệnh đề đúgn liên quan đến người kiểm soát dữ liệu. Các mệnh đề không chính xác. Các phiên bản chính xác của các mệnh đề đó như sau. Chủ sở hữu dữ liệu là thực thể được giao trách nhiệm cụ thể đối với tài sản dữ liệu để đảm bảo việc bảo vệ nó khi được sử dụng bởi tổ chức. Người xử lý dữ liệu là thực thể thực hiện các hoạt động trên dữ liệu. Người quản lý dữ liệu là thực thể được chỉ định hoặc ủy thác trách nhi ệm hàng-ngày về việc lưu trữ và truyền tải thích hợp cũng như bảo vệ dữ liệu, tài sản và các đối tượng tổ chức khác. 20. C. Bất kỳ người nhận nào cũng có thể sử dụng khóa công khai c ủa Mike để xác minh tính xác thực của chữ ký điện tử. Khóa công khai của Renee (người nhận) không được sử dụng trong trường hợp này. Tuy nhiên, nó có thể được sử dụng để tạo ra một phong bì kỹ thuật số để bảo vệ khóa mã hóa phiên đối xứng được gửi từ Mike đến Renee. Khóa cá nhân của Renee (người nhận) không được sử dụng trong trường hợp này. Tuy nhiên, nó có thể được sử dụng nếu Renee trở thành người gửi để gửi cho Mike một thông điệp được ký điện tử. Khóa 91 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống cá nhân của Mike (người gửi) được sử dụng để mã hóa băm dữ liệu được gửi đến Renee và đây là thứ tạo ra chữ ký điện tử. 21. D. Trong trường hợp này, dữ liệu được mã hóa toàn bộ bằng AES-256. Không có đề cập đến mã hóa trong quá trình truyền tải hoặc xử lý. Dữ liệu không được lưu trữ một cách dự phòng vì nó đang được di chuyển, không phải đang được sao chép, vào kho dữ liệu trung tâm và không đề cập đến bản một sao lưu. 22. A. Chủ sở hữu dữ liệu là (các) cá nhân (hoặc thực thể) được chỉ định trách nhiệm cụ thể đối với tài sản dữ liệu để đảm bảo sự bảo vệ của tài sản dữ liệu đó khi được sử dụng bởi tổ chức. Người kiểm soát dữ liệu là thực thể đưa ra quyết định về dữ liệu mà họ đang thu thập. Người xử lý dữ liệu là thực thể thực hiện các hoạt động trên dữ liệu thay mặt cho người kiểm soát dữ liệu. Người bảo quản hoặc người quản lý dữ liệu là một thực thể đã được chỉ định hoặc giao trách nhiệm hàng-ngày về việc lưu trữ và truyền tải thích hợp cũng như bảo vệ dữ liệu, tài sản và các đối tượng tổ chức khác. 23. B, D. Trong trường hợp này, các cảnh bảo ngăn ngừa mất mát dữ liệu (DLP) và phân tích nhật ký là các tùy chọn duy nhất có khả năng bao gồm những thông tin hữu ích liên quan đến việc kẻ gian lấy cắp các tài liệu nhạy cảm. Các tùy chọn khác không chính xác vì chúng không cung cấp những thông tin liên quan. Kiểm soát truy cập mạng (NAC) là một cơ chế bảo mật để ngăn chặn các thiết bị giả mạo và đảm bảo các hệ thống đã được cấp phép đáp ứng được các yêu cầu cấu hình bảo mật tối thiểu. Syslog là một dịch vụ ghi nhật ký được sử dụng để duy trì các bản sao theo thời-gian-thực tập trung của các tập tin nhật ký hoạt đ ộng. Các báo cáo của bộ máy quét phần mềm độc hại không có liên quan ở đây vì không có mã độc hại hoặc đáng ngờ nào được sử dụng mà chỉ có hành vi lạm dụng sự truy cập và phân phối các tập tin một cách trái phép. Giám sát tính toàn vẹn cũng không liên quan đến tình huống này, vì không có dấu hiệu cho thấy các tài liệu đã bị thay đổi, chỉ là chúng đã được công bố ra công chúng. 24. C. WPA3 hỗ trợ ENT (xác thực Wi-FI Doanh nghiệp – Enterprise Wi-Fi authentication, còn được gọi là IEEE 802.1X) và xác thực SAE. Xác 92 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thực đồng thời bằng nhau (SAE) vẫn sử dụng mật khẩu, nhưng nó không còn mã hóa và gửi mật khẩu đó qua kết nối để thực hiện xác thực. Thay vào đó, SAE thực hiện một quy trình chứng minh zeroknowledge được gọi là Dragonfly Key Exchange, vốn bản thân nó là một dẫn xuất của Diffie–Hellman. IEEE 802.1X định nghĩa kiểm soát truy cập mạng dựa-trên-cổng để đảm bảo rằng máy khách không thể giao tiếp với tài nguyên cho đến khi xác thực đúng đắn diễn ra. Nó dựa trên Giao thức Xác thực Có thể mở rộng (Extensible Authentication Protocol - EAP) từ Giao thức Điểm-đến-Điểm (Point-to-Point Protocol - PPP). Tuy nhiên, đây là công nghệ đằng sau nhãn của ENT, do đó, nó không phải là một lựa chọn trong trường hợp này. IEEE 802.1q xác định việc sử dụng các thẻ (tag) mạng cục bộ ảo (VLAN) và do đó không liên quan đến xác thực Wi-Fi. Xác thực linh hoạt qua đường hầm bảo mật (EAP-FAST) là một giao thức của Cisco được đề xuất để thay thế Giao thức Xác thực Có thể mở rộng Hạng nhẹ (Lightweight Extensible Authentication Protocol - LEAP), hiện đã lỗi thời do sự phát triển của WPA2 và cũng không được hỗ trợ trong WPA3. 25. A, C, E, H. Sinh trắc học là các yếu tố xác thực dựa trên các thuộc tính vật lý của người dùng, chúng bao gồm dấu vân tay, giọng nói, võng mạc và nhận dạng khuôn mặt. Dáng đi là một dạng sinh trắc học nhưng nó không thích hợp để sử dụng làm yếu tố xác thực trên các thiết bị di động, nó được sử dụng từ một vị trí tĩnh để giám sát những người đi bộ về phía hoặc đi qua một điểm an ninh. Các tùy chọn khác là các yếu tố xác thực hợp lệ, nhưng chúng không phải là sinh trắc học. 26. B. Một kỹ thuật viên sửa chữa thường yêu cầu nhiều hơn mức độ truy cập thông thường để thực hiện các nhiệm vụ của họ, do đó, một tài khoản đặc quyền cho ngay cả một kỹ thuật viên bên-thứ-ba đáng tin cậy là phù hợp. Tài khoản khách hoặc tài khoản người dùng (bình thường, bị giới hạn) là không đủ cho trường hợp này. Tài khoản dịch vụ sẽ được sử dụng bởi một ứng dụng hoặc dịch vụ nền chứ không phải bởi kỹ thuật viên sửa chữa hoặc người dùng khác. 93 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 27. C. Kiểm nghiệm xâm nhập là nỗ lực vượt qua các biện pháp kiểm soát bảo mật để kiểm tra tính bảo mật tổng thể của hệ thống. Ghi nhật ký dữ liệu sử dụng là một loại kiểm toán và rất hữu ích trong quy trình dịch vụ xác thực, cấp phép và giải trình (authentication, authorization, accounting - AAA) để quy trách nhiệm cho các đối tượng về hành động của họ. Tuy nhiên, nó không phải là một phương tiện để kiểm tra tính bảo mật. Chiến tranh quay số là một nỗ lực để xác định vị trí của modem và máy fax bằng cách quay số điện thoại. Quá trình này đôi khi vẫn được sử dụng bởi những người kiểm tra xâm nhập và những đối thủ để tìm kiếm mục tiêu tấn công, nhưng bản thân nó không phải là một cuộc tấn công thực tế hoặc kiểm tra độ căng thẳng. Việc triển khai các máy trạm để bàn được bảo mật là một biện pháp ứng phó bảo mật đối với kết quả của một kiểm nghiệm xâm nhập, không phải là một phương pháp kiểm nghiệm bảo mật. 28. A. Kiểm toán là một yếu tố bắt buộc để duy trì và thực thi trách nhiệm giải trình. Kiểm toán là một trong những yếu tố của khái niệm dịch vụ AAA về nhận diện, xác thực, cấp phép, kiểm toán và tính toán (hoặc trách nhiệm giải trình). Tính bảo mật là yếu tố bảo mật cốt lõi của Bộ ba CIA nhưng nó không phụ thuộc vào kiểm toán. Khả năng tiếp cận là sự đảm bảo rằng các vị trí và hệ thống có thể được sử dụng bởi nhiều người/người dùng nhất có thể. Dự phòng là việc triển khai các giải pháp thay thế, các tùy chọn dự phòng, các biện pháp và phương pháp khôi phục để tránh các điểm đơn lỗi nhằm đảm bảo thời gian ngừng hoạt động được giảm thiểu trong khi duy trì được tính sẵn sàng. 29. A. Tổn thất hàng năm dự kiến (Annualized loss expectancy - ALE) được tính bằng tích của giá trị tài sản (asset value - AV) nhân với hệ số phơi nhiễm (exposure factor - EF) nhân với tỷ lệ xuất hiện hàng năm (annualized rate of occurrence - ARO). Đây là d ạng dài hơn của công thức ALE = SLE * ARO, vì SLE = AV * EF. Các công th ức khác được hiển thị ở đây không phản ánh chính xác tính toán này, vì chúng không phải là các công thức rủi ro hợp lệ hoặc điển hình. 30. A. Xác định các ưu tiên là bước đầu tiên của quá trình đánh giá tác động kinh doanh. Đánh giá khả năng xảy ra là bước hoặc giai đoạn thứ 94 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ba của BIA. Xác định rủi ro là bước thứ hai và ưu tiên nguồn lực là bước cuối cùng của BIA. 31. D. Các sự kiện tự nhiên có thể đe dọa tổ chức bao gồm động đất, lũ lụt, bão, lốc xoáy, cháy rừng và các hoạt động khác của tự nhiên. Do đó, các phương án A, B và C là đúng vì chúng là do tự nhiên chứ không phải do con người gây ra. 32. A. Các địa điểm nóng cung cấp các cơ sở dự phòng được duy trì trong tình trạng hoạt động liên tục và hoàn toàn có khả năng tiếp quản các hoạt động kinh doanh. Các địa điểm ấm bao gồm phần cứng và phần mềm được định cấu hình sẵn để vận hành công việc kinh doanh, cả hai đều không sở hữu thông tin kinh doanh trọng yếu. Các địa điểm lạnh chỉ đơn giản là các cơ sở được thiết kế với hệ thống hỗ trợ nguồn điện và môi trường nhưng không có phần cứng, phần mềm hoặc dịch vụ được định cấu hình. Dịch vụ khôi phục sau thảm họa có thể hỗ trợ và triển khai bất kỳ địa điểm nào trong số này dưới danh nghĩa của một công ty. 33. D. Vấn đề được tiết lộ bởi báo cáo kiểm toán là rằng một tài khoản có mật khẩu cũ hơn yêu cầu cho phép, do đó, việc sửa lại thiết lập bảo mật về độ tuổi tối đa của mật khẩu sẽ giải quyết được vấn đề này. Do không có thông tin liên quan đến độ dài mật khẩu, khóa hoặc tái sử dụng lại mật khẩu trong báo cáo kiểm toán nên các tùy chọn này không đáng quan tâm trong tình huống này. 34. C. Văn bản được đưa ra tòa để chứng minh sự thật của vụ án được gọi là chứng cứ tài liệu. Bằng chứng tốt nhất là một dạng bằng chứng tài liệu, nhưng cụ thể hơn, nó là tài liệu gốc chứ không phải là một bản sao hoặc mô tả. Bằng chứng miệng dựa trên một quy tắc nêu rõ rằng khi một thỏa thuận giữa các bên được đưa ra dưới dạng văn bản, văn bản bằng văn bản được coi là chứa tất cả các điều khoản của thỏa thuận và không có thỏa thuận miệng nào có thể sửa đổi thỏa thuận bằng văn bản. Bằng chứng xác thực bao gồm lời khai về kinh nghiệm của nhân chứng, lời khai bằng lời nói trước tòa hoặc lời khai bằng văn bản đã được ghi lại. 95 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 35. A, B. Nếu tổ chức của bạn phụ thuộc vào phần mềm được-phát-triểntùy-chỉnh hoặc các sản phẩm phần mềm được sản xuất thông qua phát triển mã được thuê ngoài thì rủi ro của thỏa thuận đó cần được đánh giá và giảm thiểu. Đầu tiên, chất lượng và tính bảo mật của mã cần phải được đánh giá. Thứ hai, nếu nhóm phát triển của bên-thứ-ba ngừng hoạt động, bạn có thể tiếp tục hoạt động với mã như hiện tại không? Bạn có thể cần phải bỏ đi mã hiện có để chuyển sang một nhóm phát triển mới. Việc phát triển mã của bên-thứ-ba không phải là luôn đắt tièn hơn, nó thường ít tốn kém hơn. Thỏa thuận ký quỹ phần mềm (SEA) không phải là vấn đề mà John muốn đưa ra như một lý do để duy trì sự phát triển trong nội bộ, vì SEA là một phương tiện để giảm nguy cơ nhóm nhà phát triển bên-thứ-ba ngừng hoạt động. 36. D. HTTPS:// là tiền tố chính xác để sử dụng HTTP (Giao thức Truyền Siêu văn bản) qua TLS (Bảo mật Lớp Truyền tải). Đây là tiền tố tương tự khi SSL (Lớp Cổng Bảo mật) được sử dụng để mã hóa HTTP, nhưng SSL không còn được sử dụng nữa. SHTTP:// dành cho HTTP bảo mật (Secure HTTP), vốn là SSH nhưng SHTTP cũng không còn được sử dụng nữa. TLS:// là một tiền tố không hợp lệ. FTPS:// là một tiền tố hợp lệ có thể được sử dụng trong một số trình duyệt web và nó sử dụng TLS để mã hóa kết nối, nhưng nó là để bảo mật việc trao đổi tập tin FTP hơn là giao tiếp web. 37. C. CSO trong trường hợp này đang minh chứng cho sự cần thiết phải tuân theo nguyên tắc bảo mật về quản lý thay đổi. Quản lý thay đổi thường bao gồm việc hoạch định, kiểm nghiệm, ghi nhật ký, kiểm toán và giám sát các hoạt động liên quan đến các cơ chế và biện pháp kiểm soát bảo mật. Kịch bản này không mô tả một sự kiện BCP. Một sự kiện BCP sẽ liên quan đến việc đánh giá các mối đe dọa đối với các quy trình nghiệp vụ và sau đó tạo ra các kịch bản ứng phó để giải quyết những vấn đề đó. Kịch bản này không mô tả việc giới thiệu. Giới thiệu là quá trình tích hợp một yếu tố mới (chẳng hạn như nhân viên hoặc thiết bị) vào một hệ thống cơ sở hạ tầng bảo mật hiện có. Mặc dù tương tự như quản lý thay đổi nhưng việc giới thiệu tập trung nhiều hơn vào việc đảm bảo tuân thủ các chính sách bảo mật hiện có của 96 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thành viên mới, thay vì kiểm tra các bản cập nhật đối với một thành viên hiện có. Phân tích tĩnh được sử dụng để đánh giá mã nguồn như một phần của môi trường phát triển bảo mật. Phân tích tĩnh có thể được sử dụng như một công cụ đánh giá trong quản lý thay đổi, nhưng nó là một công cụ chứ không phải là nguyên tắc bảo mật được tham chiếu trong kịch bản này. 38. D. Hai loại thiết bị token chính là TOTP và HOTP. Token mật khẩu mộtlần (TOTP) dựa-trên-thời-gian hoặc token mật khẩu động đồng bộ là các thiết bị hoặc ứng dụng tạo mật khẩu vào các khoảng thời gian cố định, chẳng hạn như mỗi 60 giây một lần. Do đó, TOTP tạo ra mật khẩu mới theo-thời-gian trong một khoảng thời gian cụ thể mà chỉ có thể được sử dụng một lần duy nhất khi cố gắng xác thực. Token mật khẩu một-lần dựa-trên-HMAC (HOTP) hoặc token mật khẩu động không đồng bộ là thiết bị hoặc ứng dụng tạo ra mật khẩu không dựa trên những khoảng thời gian cố định mà dựa trên chức năng một-chiều không lặp lại, chẳng hạn như giá trị băm hoặc mã xác thực tin nhắn băm (HMAC - một loại băm sử dụng khóa đối xứng trong quá trình băm) hoạt động. HMAC là một hàm băm, không phải là một phương tiện để xác thực. Ngôn ngữ Đánh dấu Chứng nhận Bảo mật (SAML) được sử dụng để tạo ra các liên kết liên kết xác thực (nghĩa là chia sẻ) chứ bản thân nó không phải là một phương tiện để xác thực. 39. A. Mối quan tâm bảo mật quan trọng nhất từ danh sách các tùy chọn này liên quan đến một CSP (Cloud Service Provider) là chính sách lưu giữ dữ liệu. Chính sách lưu giữ dữ liệu xác định thông tin hoặc dữ liệu nào đang được CSP thu thập, dữ liệu sẽ được lưu gi ữ trong bao lâu, cách thức tiêu hủy, lý do tại sao nó được lưu giữ và ai có thể truy cập thông tin đó. Số lượng khách hàng và phần cứng nào được sử dụng không phải là mối quan tâm lớn về bảo mật so với việc lưu giữ dữ liệu. Việc CSP cung cấp MaaS, IDaaS và SaaS không quan tr ọng bằng việc lưu giữ dữ liệu, đặc biệt nếu đây không phải là những dịch vụ mà tổ chức của bạn cần hoặc muốn. Một trong những chìa khóa để trả lời câu hỏi này là xem xét phạm vi của các tùy chọn CSP, bao gồm phần mềm như một dịch vụ (SaaS), nền tảng như một dịch vụ (PaaS) và cơ 97 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống sở hạ tầng như một dịch vụ (IaaS) và loại tổ chức về mặt kỹ thuật là CSP SaaS nhưng chúng tôi không thường nghĩ đến như vậy (ví dụ bao gồm Facebook, Google và Amazon). Các tổ chức này hoàn toàn có quyền truy cập vào dữ liệu khách hàng/người dùng và do đó, các chính sách lưu giữ dữ liệu của họ phải được quan tâm hàng đầu (ít nhất là so với các tùy chọn khác được cung cấp). 40. A, B, C, D. Các lập trình viên cần áp dụng những thực tiễn bảo mật mã phần mềm, vốn bao gồm việc sử dụng các thủ tục lưu trữ, ký mã phần mềm, và xác minh phía-máy-chủ. Một thủ tục lưu trữ là một chương trình con hoặc một mô-đun phần mềm có thể được gọi hoặc truy cập bởi các ứng dụng đang tương tác với hệ thống quản trị cơ sở dữ liệu quan hệ (relational database management system - RDBMS). Ký mã là hoạt động tạo ra một chữ ký kỹ thuật số của một chương trình phần mềm để xác nhận rằng nó đã không bị thay đ ổi và nó là của ai. Xác thực dữ liệu phía-máy-chủ phù hợp để bảo vệ hệ thống khỏi đầu vào do người dùng độc hại gửi đến. Sử dụng các hệ thống bất biến không phải là một kỹ thuật mã hóa bảo mật, thay vào đó, m ột hệ thống bất biến là một máy chủ hoặc sản phẩm phần mềm, sau khi đã được thiết lập cấu hình và triển khai, sẽ không bao giờ bị thay đổi tại chỗ. Tối ưu hóa kích thước tập tin có thể hiệu quả nhưng không nhất thiết là một kỹ thuật mã hóa bảo mật. Sử dụng thư viện phần mềm của bênthứ-ba có thể giảm khối lượng công việc để giảm thiểu số lượng mã mới cho tác giả, nhưng thư viện phần mềm của bên-thứ-ba là một rủi ro vì chúng có thể tạo ra các lỗ hổng, đặc biệt là khi sử dụng thư viện mã nguồn đóng. Do đó, việc sử dụng thư viện phần mềm của bên-thứba không phải là một kỹ thuật mã hóa bảo mật trừ khi trạng thái bảo mật của mã nguồn bên ngoài được xác minh, vốn đã không được đề cập như một tùy chọn trả lời. 98 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C h ư ơn g 1 Q u ả n t r ị B ả o m ậ t T h ôn g q u a c á c Ng u yê n t ắ c v à C h í n h sá c h CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM: ✓ Lĩnh vực 1.0: Bảo mật và Quản lý Rủi ro ▪ 1.2 Hiểu và áp dụng các khái niệm về bảo mật ▪ 1.2.1 Tính bảo mật, tính sẵn sàng, tính toàn vẹn, tính xác thực và không khước từ ▪ 1.3 Đánh giá và áp dụng các nguyên tắc quản trị bảo mật ▪ 1.3.1 Liên kết chức năng bảo mật với chiến lược, các mục đích, sứ mệnh và mục tiêu của doanh nghiệp ▪ 1.3.2 Các quy trình tổ chức (ví dụ, mua lại, thoái vốn, hội đồng quản trị) ▪ ▪ 1.3.3 Những vai trò và trách nhiệm trong tổ chức ▪ 1.3.4 Các khuôn khổ kiểm soát bảo mật ▪ 1.3.5 Chăm sóc cẩn trọng/thẩm định 1.7 Phát triển, lập thành văn bản và triển khai chính sách, các tiêu chuẩn, thủ tục và hướng dẫn bảo mật ▪ 1.11 Hiểu và áp dụng các khái niệm và phương pháp mô hình hóa mối đe dọa ▪ 1.12 Áp dụng các khái niệm Quản lý Rủi ro Chuỗi Cung ứng (SCRM) ▪ 1.12.1 Những rủi ro tương ứng với phần cứng, phần mềm và dịch vụ ▪ 1.12.2 Đánh giá và giám sát bên-thứ-ba ▪ 1.12.3 Các yêu cầu bảo mật tối thiểu ▪ 1.12.4 Các yêu cầu mức dịch vụ ✓ Lĩnh vực 3: Công nghệ và Kiến trúc Bảo mật ▪ 3.1 Nghiên cứu, triển khai và quản lý các quy trình công nghệ bằng cách sử dụng các nguyên tắc thiết kế bảo mật ▪ 3.1.1 Mô hình hóa mối đe dọa ▪ 3.1.2 Phòng thủ Chiều sâu 99 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Lĩnh vực Bảo mật và Quản lý Rủi ro của kỳ thi chứng nhận CISSP cấu thành từ rất nhiều thành phần cơ bản của các giải pháp bảo mật. Những thành phần bổ sung của lĩnh vực này sẽ được thảo luận thêm trong các chương khác: Chương 2, “Bảo mật Nhân sự và các Khái niệm Quản lý Rủi ro”; Chương 3, “Hoạch định Liên tục Kinh doanh”; Chương 4 “Luật lệ, Quy định và Tuân thủ”; và Chương 19, “Điều tra và Đạo đức”. Hãy đảm bảo là bạn đã xem xét hết tất cả các chương để có được một quan điểm toàn diện về các chủ đề của lĩnh vực này. Bảo mật 101 Chúng ta thường nghe nói rất nhiều về tầm quan trọng của bảo mật, tuy nhiên, không phải lúc nào chúng ta cũng có thể hiểu được lý do tại sao. Bảo mật rất quan trọng bởi vì nó giúp đảm bảo rằng một tổ chức có khả năng tiếp tục tồn tại và hoạt động bất chấp mọi nỗ lực đánh cắp dữ liệu của tổ chức đó hoặc xâm phạm các yếu tố vật lý hoặc logic của tổ chức đó. Bảo mật nên được xem như một yếu tố của quản lý doanh nghiệp hơn là một mối quan tâm về CNTT. Trên thực tế, CNTT và bảo mật là khác nhau. Công nghệ thông tin (Information technology - IT) hay thậm chí là hệ thống thông tin (HTTT) (Information system - IS) là phần cứng và phần mềm để hỗ trợ cho các hoạt động hoặc chức năng của một doanh nghiệp. Bảo mật là công cụ quản lý doanh nghiệp để đảm bảo hoạt động của CNTT/HTTT là đáng tin cậy và được bảo vệ. Bảo mật tồn tại để hỗ trợ cho các mục đích, sứ mệnh và mục tiêu của tổ chức. Nói chung, một khuôn khổ bảo mật nên được thông qua để cung cấp một điểm khởi đầu cho cách thức triển khai bảo mật. Khi quá trình khởi đầu bảo mật đã hoàn tất thì việc tinh chỉnh bảo mật đó sẽ được thực hiện thông qua đánh giá. Có ba loại đánh giá bảo mật phổ biến: đánh giá rủi ro, đánh giá lỗ hổng và kiểm nghiệm xâm nhập (chúng sẽ được đề cập chi tiết trong Chương 2 và Chương 15, 100 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống “Đánh giá và Kiểm nghiệm Bảo mật”). Đánh giá rủi ro là một quá trình xác định tài sản, các mối đe dọa và lỗ hổng bảo mật, sau đó sử dụng những thông tin đó để tính toán rủi ro. Một khi rủi ro đã được hiểu rõ, nó được sử dụng để định hướng cho việc cải thiện cơ sở hạ tầng bảo mật hiện có. Đánh giá lỗ hổng bảo mật sử dụng các công cụ tự động để xác định các điểm yếu bảo mật đã biết, có thể được giải quyết bằng cách bổ sung thêm các biện pháp phòng thủ hoặc điều chỉnh các biện pháp bảo vệ hiện có. Kiểm tra xâm nhập sử dụng các cá nhân đáng tin cậy để kiểm-tra-sức-chịu-đựng của cơ sở hạ tầng bảo mật nhằm tìm ra các vấn đề có thể đã không được phát hiện bằng hai phương tiện trước đó, với mục tiêu là tìm ra những mối quan tâm đó trước khi kẻ thù lợi dụng chúng. Bảo mật cũng nên hiệu-quả-về-chi-phí. Các tổ chức không bao giờ có nguồn ngân sách vô hạn, và do đó, bắt buộc phải phân bổ nguồn vốn của họ một cách thích hợp. Ngoài ra, ngân sách của một tổ chức bao gồm một tỷ lệ phần trăm số tiền nhất định dành riêng cho bảo mật, giống như hầu hết các tác vụ và quy trình nghiệp vụ khác đòi hỏi nguồn vốn, chưa kể đến các khoản thanh toán cho nhân sự, bảo hiểm, hưu trí, v.v… Bạn nên lựa chọn các biện pháp kiểm soát mang lại sự bảo vệ lớn nhất với chi phí nguồn lực thấp nhất. Về mặt pháp lý, bảo mật phải được bảo vệ. Luật pháp của khu vực tài phán của bạn là nền tảng bảo mật của tổ chức. Khi ai đó xâm nhập vào môi trường của bạn và vi phạm bảo mật, đặc biệt là khi các hoạt động đó là phi pháp thì việc truy tố trước tòa có thể là biện pháp ứng phó duy nhất có sẵn để đòi bồi thường hoặc kết thúc [sự vi phạm]. Ngoài ra, nhiều quyết định đã được đưa ra bởi một tổ chức sẽ có các vấn đề về trách nhiệm pháp lý. Nếu được yêu cầu bảo vệ một hành động bảo mật trong phòng xử án, lực lượng an ninh được hỗ trợ hợp pháp sẽ đi một chặng đường dài để bảo vệ tổ chức của bạn không phải đối mặt với các khoản tiền phạt lớn, hình phạt hoặc cáo buộc do sơ suất. Bảo mật là một hành trình chứ không phải là một vạch đích. Đây là một quá trình sẽ không bao giờ được kết thúc. Không thể bảo mật hoàn toàn một thứ gì đó, bởi vì các vấn đề bảo mật sẽ luôn thay đổi. Công nghệ đã được triển khai của chúng ta đang thay đổi theo thời gian, vì người dùng và đối thủ phát hiện ra lỗ hổng và phát triển các biện pháp khai thác. Cơ chế phòng thủ đầy đủ vào hôm qua có thể sẽ không đủ vào ngày mai. Khi các lỗ hổng bảo mật mới được phát 101 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống hiện, khi các phương tiện tấn công mới được tạo ra và các phương thức khai thác mới được xây dựng, chúng ta phải ứng phó bằng cách đánh giá lại cơ sở hạ tầng bảo mật của mình và phản úng một cách thích hợp. Hiểu và Áp dụng các Khái niệm Bảo mật Các khái niệm và nguyên tắc quản lý bảo mật là những thành phần cố hữu trong một chính sách và triển khai giải pháp bảo mật. Chúng xác định các tham số cơ sở cần thiết cho một môi trường bảo mật. Chúng cũng xác lập nên những mục đích và mục tiêu mà cả những nhà thiết kế chính sách và triển khai hệ thống phải đạt được để tạo ra một giải pháp bảo mật. Tính bảo mật, tính toàn vẹn và tính sẵn sàng (CIA) (nghĩa là Bộ ba CIA) thường được coi là những mục đích và mục tiêu chủ yếu của một cơ sở hạ tầng bảo mật (xem Hình 1.1) HÌNH 1.1 Bộ ba CIA Tính bảo mật Tính toàn vẹn Tính sẵn sàng Các biện pháp bảo mật thường được đánh giá theo cách mà chúng giải quyết những nguyên lý bảo mật thông tin cốt lõi này. Những lỗ hổng và rủi ro cũng được đánh giá dựa trên các mối đe dọa mà chúng gây ra đối với một hay nhiều nguyên tắc thuộc Bộ ba CIA. 102 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tính Bảo mật Nguyên tắc đầu tiên của Bộ ba CIA là tính bảo mật. Tính bảo mật (Confidentiality) là khải niệm về các biện pháp được sử dụng để đảm bảo sự bảo vệ tính bí mật của dữ liệu, của các đối tượng, hoặc nguồn tài nguyên. Mục đích của việc bảo vệ tính bảo mật là để ngăn chặn hoặc giảm thiểu sự truy cập trái phép đến dữ liệu. Sự bảo vệ tính bảo mật ngăn chặn việc tiết lộ [dữ liệu] trong khi vẫn bảo vệ được quyền truy cập hợp pháp. Các hành vi vi phạm tính bảo mật không chỉ bị giới hạn ở các cuộc tấn công có chủ đích được định hướng. Rất nhiều trường hợp tiết lộ trái phép những thông tin nhạy cảm hoặc thông tin bí mật do lỗi của con người, sự thiếu cẩn trọng hoặc không đủ khả năng. Vi phạm bảo mật có thể do hành động của một người dùng đầu cuối hoặc một quản trị viên hệ thống. Chúng cũng có thể xảy ra do sự sơ sót trong chính sách bảo mật hoặc biện pháp kiểm soát bảo mật được định cấu hình sai. Rất nhiều biện pháp ứng phó có thể giúp đảm bảo tính bảo mật trước các mối đe dọa có khả năng xảy ra. Chúng bao gồm mã hóa, đệm lưu lượng mạng, kiểm soát truy cập nghiêm ngặt, các thủ tục xác thực nghiêm ngặt, phân loại dữ liệu và đào tạo nhân sự rộng rãi. Các khái niệm, điều kiện và khía cạnh của bảo mật bao gồm những điều sau: Độ nhạy cảm Độ nhạy cảm (Sensitivity) đề cập đến chất lượng của thông tin, vốn có thể gây tổn thất hoặc thiệt hại nếu bị tiết lộ. Sự thận trọng Sự thận trọng (Discretion) là một hành động quyết định trong đó một người vận hành có thể ảnh hưởng hoặc kiểm soát việc tiết lộ để giảm thiểu tổn thất hoặc thiệt hại. Tầm quan trọng Mức độ mà theo đó thông tin có tầm quan trọng đối với sứ mệnh là thước đo tầm quan trọng (Criticality) của nó. Mức độ quan trọng càng cao 103 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thì nhu cầu duy trì tính bảo mật của thông tin càng cao. Ẩn giấu Ẩn giấu (Concealment) là hành động ẩn đi hoặc ngăn chặn việc tiết lộ. Thường thì sự ẩn giấu được xem là một phương tiện che đậy, gây rối mắt hoặc đánh lạc hướng. Một khái niệm có liên quan đến sự ẩn giấu là bảo mật thông qua sự mờ mịt (security through obscurity), vốn là khái niệm về việc cố gắng đạt được sự bảo vệ thông qua việc ẩn giấu, im lặng hoặc giữ bí mật. Giữ bí mật Giữ bí mật (Secrecy) là hành động giữ bí mật cho điều gì đó hoặc ngăn chặn việc tiết lộ thông tin. Quyền riêng tư Quyền riêng tư (Privacy) đề cập đến việc giữ bí mật thông tin có thể nhận dạng cá nhân hoặc có thể gây ra tổn hại, xấu hổ hoặc hổ thẹn cho ai đó nếu bị tiết lộ. Sự tách biệt Sự tách biệt (Seclusion) liên quan đến việc lưu trữ thứ gì đó trong một khu vực hẻo lánh (out-ofthe-way), có thể với các biện pháp kiểm soát quyền truy cập nghiêm ngặt. Sự cô lập Cô lập (Isolation) là hành động giữ cho thứ gì đó tách biệt với những thứ khác. Các tổ chức nên đánh giá những sắc thái của tính bảo mật mà họ muốn thực thi. Các công cụ và công nghệ triển khai một hình thái của tính bảo mật có thể không hỗ trợ hoặc chấp thuận những hình thái khác. Tính Toàn vẹn Tính toàn vẹn (Integrity) là khái niệm về việc bảo vệ mức độ tin cậy và chính xác của dữ liệu. Bảo vệ tính toàn vẹn ngăn chặn việc sửa đổi dữ liệu trái phép. Biện pháp bảo vệ tính toàn vẹn được triển khai một cách đúng đắn sẽ cung cấp 104 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống một phương tiện để thay đổi hợp pháp trong khi vẫn giữ được sự bảo vệ chống lại các hoạt động trái phép độc hại (chẳng hạn như vi-rút và xâm nhập) cũng như các lỗi do người dùng hợp pháp gây ra (chẳng hạn như tai nạn hoặc sơ sót). Tính toàn vẹn có thể được kiểm tra từ 3 khía cạnh: ▪ Ngăn chặn việc các chủ thể trái phép thực hiện các sửa đổi ▪ Ngăn chặn việc các chủ thể hợp pháp thực hiện các sửa đổi trái phép, chẳng hạn như lỗi ▪ Duy trì tính nhất quán cả nội bộ lẫn bên ngoài của đối tượng để từ đó, dữ liệu của họ là chính xác và phản ảnh đúng thế giới thực tế và bất kỳ mối quan hệ nào với bất kỳ đối tượng nào là hợp lệ, nhất quán và có thể xác minh được. Để duy trì được tính toàn vẹn trên một hệ thống, các biện pháp kiểm soát phải được đặt ra để hạn chế quyền truy cập đến dữ liệu, đến các đối tượng và các nguồn tài nguyên. Việc duy trì và xác minh tính toàn v ẹn của đối tượng trong quá trình lưu trữ, truyền tải và xử lý đòi hỏi một loạt các mức độ kiểm soát và giám sát khác nhau. Hàng loạt các cuộc tấn công tập trung vào việc vi phạm tính toàn vẹn. Chúng bao gồm vi-rút, bom logic, truy cập trái phép, các lỗi trong lập trình và ứng dụng, sửa đổi ác ý, thay thế có chủ đích, và các cổng hậu trên hệ thống. Lỗi con người, sơ sót, hoặc thiếu khả năng là nguyên nhân gây ra nhiều trường hợp thay đổi trái phép những thông tin nhạy cảm. Chúng cũng có thể xảy ra do một sơ sót trong chính sách bảo mật hoặc một biện pháp kiểm soát bảo mật bị định cấu hình sai. Rất nhiều những biện pháp ứng phó có thể đảm bảo tính toàn vẹn chnng lại các mối đe dọa tiềm ẩn. Chúng bao gồm kiểm soát truy cập chặt chẽ, các thủ tục xác thực nghiêm ngặt, các hệ thống phát hiện xâm nhập, mã hóa đối tượng/dữ liệu, xác minh bằng băm (xem Chương 6, “Mật mã và các Thuật toán Khóa Đối xứng”, và Chương 7, “PKI và các Ứng dụng Mật mã”), giới hạn các tương tác, kiểm tra đầu vào/chức năng, và đào tạo nhân viên trên diện rộng. 105 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tính bảo mật và tính toàn vẹn phụ thuộc lẫn nhau. Nếu không có tính toàn vẹn của đối tượng (nói cách khác, không có khả năng sửa đổi đối tượng mà không được phép), tính bảo mật không thể được duy trì. Tính toàn vẹn phụ thuộc vào tính bảo mật và kiểm soát truy cập. Các khái niệm, điều kiện và khía cạnh của tính toàn vẹn bao gồm những điều dưới đây: ▪ Tính chính xác (Accuracy): Đúng và chính xác ▪ Tính trung thực (Trustfulness): Phản ảnh chính xác thực tế ▪ Tính hợp lệ (Validity): Thực tế hoặc hợp logic ▪ Trách nhiệm giải trình (Accountability) : Chịu trách nhiệm hoặc có nghĩa vụ pháp lý cho cả những hành động lẫn kết quả ▪ Tính trách nhiệm (Responsibility): Chịu trách nhiệm hoặc kiểm soát một điều gì đó hoặc một ai đó ▪ Tính hoàn chỉnh (Completeness): Có tất cả những thành phần hoặc bộ phận cần thiết ▪ Tính toàn diện (Comprehensiveness): Hoàn chỉnh trong phạm vi, bao gồm toàn bộ các phần tử cần thiết. Tính Sẵn sàng Tính sẵn sàng (Availability) có nghĩa rằng các chủ thể hợp pháp được cấp quyền truy cập một cách kịp thời và không bị gián đoạn tới các đối tượng. Thông thuòng, các biện pháp kiểm soát việc bảo vệ tính sẵn sàng hỗ trợ đầy đủ cho băng thông và tính kịp thời của quá trình xử lý khi được coi là cần thiết bởi tổ chức hoặc tình huống. Tính sẵn sàng bao gồm quyền truy cập hiệu quả không bị gián đoạn đến các đối tượng và ngăn chặn các cuộc tấn công từ-chối-dịch-vụ (denial-of-service – DoS). Tính sẵn sàng cũng ảnh hàm ý rằng cơ sở hạ tầng hỗ trợ - bao gồm các dịch vụ mạng, truyền thông, và các cơ chế kiểm soát truy cập – là thiết thực và cho phép những người dùng hợp pháp có được quyền truy cập hợp pháp. Để duy trì tính sẵn sàng trên một hệ thống, các biện pháp kiểm soát phải được đặt ra để đảm bảo quyền truy cập hợp pháp và mức độ hiệu suất có thể chấp nhận được, để xử lý các gián đoạn một cách nhanh chóng, mang lại sự dự phòng, 106 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống duy trì các bản sao lưu đáng tin cậy, và ngăn chặn dữ liệu bị mất mát hoặc phá hủy. Có rất nhiều mối đe dọa đến tính sẵn sàng. Chúng bao gồm lỗi thiết bị, lỗi phần mềm, và các vấn đề về môi trường (nhiệt độ, tĩnh điện, lũ lụt, mất nguồn cấp điện, v.v…). Một số hình thức tấn công tập trung vào việc xâm phạm tính sẵn sàng, bao gồm các cuộc tấn công DoS, phá hủy đối tượng, và gây gián đoạn truyền thông. Rất nhiều vụ vi phạm tính sẵn sàng có nguyên ngân do lỗi con người, sơ sót hoặc không đủ khả năng. Chúng cũng có th ể xảy ra bởi vì một sơ suất trong một chính sách bảo mật hoặc một biện pháp kiểm soát bảo mật được định cấu hình sai. Một loạt các biện pháp ứng phó có thể đảm bảo tính sẵn sàng chống lại các mối đe dọa tiềm ẩn. Những biện pháp này bao gồm việc thiết kế các hệ thống phân phối trung gian một cách thích đáng, sử dụng các biện pháp kiểm soát truy cập một cách hiệu quả, giám sát hiệu suất và lưu lượng mạng, sử dụng tường lửa và các bộ định tuyến để ngăn chặn các cuộc tấn công DoS, triển khai hệ thống dự phòng cho các hệ thống tối quan trọng, và duy trì và kiểm tra các hệ thống sao lưu. Hầu hết các chính sách bảo mật, cũng như kế hoạch liên tục kinh doanh (BCP), đều chỉ tập trung vào việc sử dụng tính năng chịu lỗi ở các cấp độ khác nhau của truy cập/lưu trữ/bảo mật (nghĩa là, các ổ đĩa, máy chủ, hoặc địa điểm) với mục đích loại bỏ các điểm đơn lỗi để duy trì tính sẵn sàng của các hệ thống tối quan trọng. Tính sẵn sàng phụ thuộc vào cả tính toàn vẹn lẫn tính bảo mật. Nếu không có tính toàn vẹn và tính bảo mật, tính sẵn sàng không thể được duy trì. Các khái niệm, điều kiện và khía cạnh của tính sẵn sàng bao gồm những điều dưới đây: ▪ Khả năng sử dụng (Usability): Trạng thái dễ sử dụng hoặc tìm hiểu hoặc có khả năng được hiểu và kiểm soát bởi một chủ thể ▪ Khả năng truy cập (Accessibility): Sự đảm bảo rằng phạm vi rộng nhất của các đối tượng có thể tương tác với một nguồn tài nguyên bất kể khả năng hoặc những giới hạn của mình 107 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Tính kịp thời (Timeliness): Kịp thời, đúng hạn, trong phạm vi một khung thời gian hợp lý, hoặc đưa ra biện pháp ứng phó có độ-trễ-thấp. DAD, Bảo vệ quá mức, Tính xác thực, Không khước từ và các Dịch vụ AAA Ngoài Bộ ba CIA, bạn cần cân nhắc thêm một lượng lớn các khái niệm và nguyên tắc có-liên-quan-đến-bảo-mật khác khi thiết kế một chính sách bảo mật và triển khai một giải pháp bảo mật. Chúng bao gồm Bộ ba DAD, các rủi ro của việc bảo vệ quá mức, tính xác thực, không khước từ và các dịch vụ AAA. Một trong những khái niệm bảo mật rất thú vị là bộ ba trái ngược với Bộ ba CIA, được gọi là Bộ ba DAD. Tiết lộ, sửa đổi và phá hủy (disclosure, authencity, destruction) tạo thành Bộ ba DAD. Bộ ba DAD đại diện cho các lỗi của biện pháp bảo vệ bảo mật trong Bộ ba CIA. Nó có thể rất hữu ích để nhận ra những gì cần được xem xét khi một cơ chế bảo mật bị thất bại. Tiết lộ xảy ra khi những nội dung bí mật hoặc nhạy cảm bị truy cập bởi những thực thể trái phép, và đây là một vi phạm tính bảo mật. Sự thay thế xảy ra khi dữ liệu bị thay đổi một cách ác ý hoặc vô tình, đó là sự vi phạm tính toàn vẹn. Việc phá hủy xảy ra khi tài nguyên bị hư hỏng hoặc trở nên không thể truy cập được đối với người dùng hợp pháp (về mặt kỹ thuật chúng ta thường gọi là từ chối dịch vụ (DoS) sau này), đó là vi phạm tính sẵn sàng. Cũng có thể đáng giá khi biết rằng bảo mật quá nhiều cũng có thể là vấn đề của riêng bản thân nó. Bảo vệ tính bảo mật quá mức có thể dẫn đến việc hạn chế tính sẵn sàng. Bảo vệ tính toàn vẹn quá mức có thể dẫn đến việc hạn chế tính sẵn sàng. Cung cấp quá mức tính sẵn sàng có thể dẫn đến việc mất tính bảo mật và tính toàn vẹn. Tính xác thực (Authenticity) là khái niệm bảo mật cho thấy rằng dữ liệu là xác thực hoặc chính hãng và có nguồn gốc từ nguồn đã được tuyên bố của nó. Điều này liên quan đến tính toàn vẹn, nhưng nó liên quan chặt chẽ hơn đến việc xác minh rằng nó thực sự đến từ một nguồn gốc đã được xác nhận. Khi dữ liệu có tính xác thực, người nhận có thể có mức độ tin cậy cao rằng dữ liệu được xác nhận là của ai và dữ liệu đó đã không bị thay đổi trong quá trình truyền tải (hoặc lưu trữ). 108 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Không khước từ (Nonrepudiation) đảm bảo rằng chủ thể của một hoạt động hoặc người đã gây ra một sự kiện không thể phủ nhận rằng sự kiện đó đã xảy ra. Không khước từ ngăn chủ thể tuyên bố rằng họ đã không gửi tin nhắn, không thực hiện một hành động hoặc không phải là nguyên nhân gây ra một sự kiện. Nó có thể được thực hiện thông qua nhận dạng, xác thực, cấp phép, trách nhiệm giải trình và kiểm toán. Không khước từ có thể được xác lập bằng cách sử dụng chứng thư kỹ thuật số, mã số nhận dạng phiên, nhật ký giao dịch và rất nhiều cơ chế kiểm soát truy cập và giao dịch khác. Một hệ thống được xây dựng mà không thực thi không khước từ phù hợp sẽ không cung cấp được sự xác minh rằng một thực thể cụ thể đã thực hiện một hành động nhất định. Không khước từ là một phần thiết yếu của trách nhiệm giải trình. Một nghi can không thể chịu trách nhiệm nếu họ có thể bác bỏ yêu cầu chống lại họ. Các dịch vụ AAA (AAA services) là một cơ chế bảo mật cốt lõi của tất cả các môi trường bảo mật. Ba chữ A trong cách viết tắt này đề cập đến xác thực, cấp phép và giải trình (hoặc đôi khi là kiểm toán). Tuy nhiên, điều không rõ ràng ở đây là mặc dù có ba chữ cái trong từ viết tắt, nhưng nó thực sự đề cập đến tất cả năm yếu tố: nhận dạng, xác thực, cấp phép, kiểm toán và giải trình (identification, authentication, authorization, auditing, accounting). Năm yếu tố này đại diện cho các quy trình bảo mật sau: Nhận dạng (Identification) Nhận dạng là đang tuyên bố một danh tính khi cố gắng truy cập vào một khu vực hoặc hệ thống được bảo mật. Xác thực (Authentication) Xác thực là chứng minh rằng bạn chính là người đã tuyên bố danh tính. Cấp phép (Authorization) Cấp phép là xác định những quyền hạn (ví dụ, cho phép/cấp quyền và/hoặc từ chối) tiếp cận một tài nguyên hoặc đối tượng cho một danh tính hoặc chủ thể cụ thể. 109 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Kiểm toán (Auditing) Kiểm toán là ghi nhận một nhật ký của các sự kiện và hoạt động có liên quan đến hệ thống và các chủ thể. Giải trình (Accounting) Giải trình (còn gọi là trách nhiệm giải trình) là việc xem xét các tập tin nhật ký để kiểm tra tính tuân thủ và các vi phạm nhằm giữ trách nhiệm giải trình của các chủ thể về những hành động của họ, đặc biệt là các vi phạm chính sách bảo mật của tổ chức. Mặc dù AAA thường được tham chiếu trong mối tương quan với các hệ thống xác thực, đây thực tế vẫn là một khái niệm cơ bản đối với bảo mật. Thiếu sót của một trong số bất kỳ 5 phần tử này có thể dẫn đến một cơ chế bảo mật không hoàn chỉnh. Phần tiếp theo thảo luận về nhận dạng, xác thực, cấp phép, kiểm toán và trách nhiệm giải trình (xem Hình 1.2). HÌNH 1.2 Năm phần tử của các dịch vụ AAA Nhận dạng Xác thực Cấp phép Kiểm toán Giải trình 110 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Nhận dạng Một chủ thể phải thực hiện việc nhận dạng để bắt đầu quá trình xác thực, cấp phép và giải trình (AAA). Việc cung cấp một danh tính có thể liên quan đến việc nhập vào một tên người dùng, quét một thẻ thông minh, vẫy với một thiết bị tiệm cận, nói một cụm từ, hoặc định vị khuôn mặt, bàn tay hoặc ngón tay của bạn cho một máy ảnh hoặc thiết bị quét. Nếu không có một danh tính, một hệ thống sẽ không có cách nào để thiết lập tương quan giữa một yếu tố xác thực với một chủ thể. Khi một chủ thể đã được nhận dạng (nghĩa là khi danh tính của chủ thể đã được công nhận và xác minh), danh tính dó ph ải chịu trách nhiệm giải trình cho bất kỳ hành động nào sau đó được thực hiện bởi chủ thể đó. Các hệ thống CNTT theo dõi hành động theo các danh tính, không p hải bởi chính bản thân chủ thể [của danh tính đó]. Một máy tính không phân biệt một cá nhân với một cá nhân khác nhưng nó biết được rằng tài khoản của bạn khác với tất cả tài khoản người dùng khác. Việc chỉ đơn giản xác nhận danh tính không ngụ ý về quyền truy cập hoặc quyền hạn. Danh tính phải được chứng minh trước khi sử dụng. Quy trình đó là quy trình xác thực. Xác thực Quy trình xác minh xem li ệu một danh tính đã được xác nhận là hợp lệ chính là quy trình xác thực. Xác thực đòi hỏi chủ thể phải cung cấp những thông tin bổ sung tương ứng với danh tính mà họ đang xác nhận. Hình thức phổ biến nhất của xác thực là sử dụng một mật khẩu. Quá trình xác thực xác minh danh tính của chủ thể bằng cách so sánh một hoặc nhiều yếu tố so với cơ sở dữ liệu chứa các danh tính hợp lệ (nghĩa là, tài khoản người dùng). Khả năng của chủ thể và hệ thống để duy trì tính bí mật của các yếu tố xác thực đối với các danh tính phản ảnh trực tiếp mức độ bảo mật của hệ thống đó. Nhận dạng và xác thực thường được sử dụng cùng nhau như một quy trình duy nhất bao gồm hai-bước. Việc cung cấp một danh tính là bước đầu tiên, và việc cung cấp các yếu tố xác thực là bước thứ hai. Nếu không có hai bước này, một chủ thể không thể có được quyền truy cập vào một hệ thống – mặc dù mỗi phần tử riêng biệt đều hữu ích nếu xét về mặt bảo mật [hàm ý rằng nếu không có xác thực thì nhận dạng là vô nghĩa, và ngược lại]. Trong một số hệ thống, trông có 111 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống vẻ như là bạn chỉ cung cấp một phần tử [nhận dạng/xác thực] nhưng lại có được quyền truy cập, chẳng hạn như khi nhập mã ID hoặc mã PIN. Tuy nhiên, trong những trường hợp này, việc nhận dạng được xử lý bằng một phương tiện khác, chẳng hạn như vị trí thực tế, hoặc xác thực được đảm nhận bởi khả năng truy cập một cách vật lý vào hệ thống của bạn. Cả nhận dạng và xác thực đều diễn ra, nhưng bạn có thể không nhận biết được chúng như khi bạn nhập thủ công cả tên lẫn mật khẩu. Mỗi kỹ thuật xác thực hoặc các yếu tố xác thực đều có những lợi ích và nhược điểm riêng. Do đó, điều quan trọng là đánh giá từng cơ chế dựa trên môi trường mà nó sẽ được triển khai để xác định khả năng tồn tại của nó. Chúng ta sẽ thảo luận về xác thực trong Chương 13, “Quản lý Danh tính và Xác thực” Cấp phép Khi một chủ thể đã được xác thực, quyền truy cập phải được cấp phép. Quá trình cấp phép đảm bảo rằng hoạt động hoặc quyền truy cập đã được yêu cầu đối với một đối tượng có khả năng thực hiện được với các quyền và đặc quyền được gán cho danh tính đã được xác thực. Trong hầu hết các trường hợp, hệ thống đánh giá chủ thể, đối tượng và các quyền đã được chỉ định liên quan đến hoạt động theo dự định. Nếu hành động cụ thể được cho phép, chủ thể được cấp phép. Nếu hành động cụ thể không được phép, chủ thể không được cấp phép [để thực hiện hành động đó]. Hãy lưu ý rằng chỉ vì một chủ thể đã được nhận dạng và xác thực không có nghĩa là họ đã được phép thực hiện bất kỳ chức năng nào hoặc truy cập vào mọi tài nguyên trong môi trường được kiểm soát. Nhận dạng và xác thực là các khía cạnh không-thỏa-hiệp (all-or-nothing) của kiểm soát truy cập. Việc cấp phép có nhiều biến thể giữa tất cả mọi thứ hoặc không gì cả cho từng đối tượng trong môi trường. Một người dùng có thể đọc một tập tin nhưng không thẻ xóa nó, in được tài liệu nhưng không thay đ ổi hàng đợi in hoặc đăng nhập vào hệ thống nhưng không truy cập bất kỳ tài nguyên nào khác. Cấp phép sẽ được thảo luận trong Chương 13. 112 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Kiểm toán Kiểm toán là một phương tiện mang tính chương trình mà theo đó các hành đ ộng của một chủ thể được theo dõi và ghi lại nhằm mục đích bắt buộc chủ thể phải chịu trách nhiệm về các hành động của họ khi đã được xác thực trên một hệ thống thông qua việc lập thành tài liệu hoặc ghi nhận lại các hoạt động của chủ thể. Đây cũng là quá trình mà các hoạt động trái phép hoặc bất thường được phát hiện trên một hệ thống. Kiểm toán là ghi lại các hoạt động của một chủ thể và các đối tượng của nó cũng như ghi lại các hoạt động của các chức năng ứng dụng và hệ thống. Các tập tin nhật ký cung cấp một dấu vết kiểm toán để táitạo lại lịch sử của một sự kiện, xâm nhập hoặc lỗi hệ thống. Kiểm toán là cần thiết để phát hiện các hành động ác ý của các đối tượng, cố gắng xâm nhập và lỗi hệ thống và để tái tạo lại các sự kiện, cung cấp bằng chứng cho việc truy tố, đưa ra các báo cáo và phân tích về vấn đề. Kiểm toán thường là một tính năng bản thể của Hệ điều hành và hầu hết các ứng dụng và dịch vụ. Do đó, việc thiết lập cấu hình hệ thống để ghi lại thông tin về các loại sự kiện cụ thể là tương đối đơn giản. Giám sát là một phần của những gì cần thiết cho các cuộc kiểm toán, và các nhật ký kiểm toán là một phần của một hệ thống giám sát, nhưng hai thuật ngữ này có ý nghĩa khác nhau. Giám sát là một loại theo dõi hoặc giám sát, trong khi kiểm toán là ghi lại thông tin trong một hồ sơ hoặc một tập tin. Có khả năng giám sát nhưng không cần kiểm toán, nhưng bạn không thể kiểm toán nếu không có một số hình thức giám sát nào đó. Giải trình Chính sách bảo mật của một tổ chức có thể được thực thi một cách đúng đắn chỉ khi trách nhiệm giải trình được duy trì. Nói cách khác, bạn có thể duy trì bảo mật chỉ khi các chủ thể chịu trách nhiệm giải trình cho các hành động của họ. Hiệu quả của trách nhiệm giải trình dựa trên khả năng chứng minh danh tính của một chủ thể và theo dõi được các hành động của họ. Trách nhiệm giải trình được xác lập bằng cách liên kết một cá nhân với các hành động của một danh tính trực tuyến thông qua các dịch vụ và cơ chế bảo mật về kiểm toán, cấp phép, xác thực, và nhận dạng. Do đó, trácnh nhiệm giải trình cá nhân cuối cùng sẽ phụ 113 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thuộc vào sức mạnh của những quy trình này. Nếu không có một quy trình xác thực đủ mạnh, có thể nghi ngờ rằng cá nhân được liên kết với một tài khoản người dùng cụ thể có phải là thực thể thực sự đang kiểm soát tài khoản người dùng đó hay không khi hành động không mong muốn đang được thực hiện. Để có trách nhiệm giải trình có tính khả thi, bạn phải có khả năng hỗ trợ những quyết định bảo mật của mình và việc triển khai chúng trước tòa án pháp lý. Nếu bạn không thể hỗ trợ một cách hợp pháp cho các nỗ lực bảo mật của mình thì bạn sẽ khó có thể quy trách nhiệm cho một cá nhân về các hành động được liên kết với tài khoản người dùng. Chỉ với một mật khẩu để xác thực sẽ có rất nhiều chỗ để nghi vấn. Mật khẩu là hình thức xác thực kém an toàn nhất, với hàng tá phương pháp khác nhau đang sẵn có để xâm phạm chúng. Tuy nhiên, với việc sử dụng kết hợp xác thực đa yếu tố, chẳng hạn như mật khẩu, thẻ thông minh và quét vân tay, có rất ít khả năng bất kỳ cá nhân nào khác có thể xâm phạm quy trình xác thực để mạo danh cá nhân đang chịu trách nhiệm về tài khoản người dùng. Các Cơ chế Bảo vệ Một khía cạnh khác của việc tìm hiểu và áp dụng các biện pháp kiểm soát bảo mật là khái niệm về các cơ chế bảo vệ hoặc các biện pháp kiểm soát bảo vệ. Không phải mọi biện pháp kiểm soát bảo mật đều phải có chúng, tuy nhiên, rất nhiều biện pháp kiểm soát đề xuất quá trình bảo vệ của chúng thông qua việc sử dụng những cơ chế này. Một số ví dụ phổ biến về các cơ chế này là phòng thủ có chiều sâu, trừu tượng hóa, ẩn dữ liệu và mã hóa. Phòng thủ có Chiều sâu Phòng thủ có chiều sâu hay còn được gọi là phân lớp (layering) là sử dụng nhiều biện pháp kiểm soát theo một chuỗi. Không có bất kỳ biện pháp kiểm soát nào có thể bảo vệ chống lại tất cả những mối đe dọa tiềm ẩn. Việc sử dụng một giải pháp nhiều lớp cho phép một loạt các biện pháp kiểm soát khác nhau để bảo vệ khỏi bất kỳ mối đe dọa nào xảy ra. Khi các giải pháp bảo mật được thiết kế theo từng lớp, một biện pháp kiểm soát thất bại đơn lẻ sẽ không dẫn đến việc hệ thống hoặc dữ liệu bị tiết lộ. 114 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Sử dụng các lớp trong một chuỗi thay vì song song là điều rất quan trọng. Thực hiện các biện pháp hạn chế bảo mật trong một chuỗi có nghĩa là thực hiện lần lượt theo kiểu tuyến tính. Chỉ khi thông qua một chuỗi các cấu hình, mỗi cuộc tấn công sẽ được quét, đánh giá hoặc giảm thiểu bởi từng biện pháp kiểm soát bảo mật. Trong một cấu hình theo chuối, lỗi của một biện pháp kiểm soát bảo mật không khiến cho toàn bộ giải pháp trở nên không hiệu quả. Nếu các biện pháp kiểm soát bảo mật được triển khai theo kiểu song song, một mối đe dọa có thể đi qua một điểm kiểm soát duy nhất đã không giải quyết được hoạt động độc hại cụ thể của nó. Cấu hình nối tiếp rất hẹp nhưng rất sâu, trong khi cấu hình song song rất rộng nhưng rất nông. Hệ thống song song rất hữu ích trong các ứng dụng tính toán phân tán, nhưng song song thường không phải là một khái niệm hữu ích trong lĩnh vực bảo mật. Trong phạm vi ngữ cảnh phòng thủ theo chiều sâu, ngoài các thuật ngữ các cấp, đa cấp và các lớp, các thuật ngữ khác thường được sử dụng liên quan đến khái niệm này là phân loại, khu vực, lĩnh vực, ngăn, hầm ngầm, phân đoạn, cấu trúc lưới mắt cáo và vòng bảo vệ [lần lượt là classifications, zones, realms, compartments, silos, segmentations, lattice structure, protection rings ]. Bạn sẽ nhìn thấy những thuật ngữ này được sử dụng thường xuyên trong suốt ấn phẩm này. Khi bạn nhìn thấy chúng, hãy suy nghĩ về khái niệm phòng thủ có chiêu sâu liên quan đến bối cảnh nơi thuật ngữ được sử dụng. Trừu tượng hóa Trừu tượng hóa (Abstraction) được sử dụng cho tính hiệu quả. Các phần tử tương tự nhau được đưa vào nhóm, lớp hoặc vai trò được chỉ định các biện pháp kiểm soát bảo mật, hạn chế hoặc quyền hạn như một tập thể. Trừu tượng đơn giản hóa bảo mật bằng cách cho phép bạn chỉ định các biện pháp kiểm soát bảo mật cho một nhóm đối tượng được tập hợp theo loại hoặc chức năng. Như vậy, khái niệm trừu tượng được sử dụng khi phân loại các đối tượng hoặc chỉ định vai trò cho các chủ thể. Trừu tượng là một trong những nguyên tắc cơ bản đằng sau lĩnh vực được gọi là lập trình hướng-đối-tượng. Đó là học thuyết môi trường không xác định nói rằng 115 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống người dùng của một đối tượng (hoặc thành phần Hệ điều hành) không nhất thiết phải biết các chi tiết về cách thức hoạt động của đối tượng, họ chỉ cần biết cú pháp thích hợp để sử dụng đối tượng và loại dữ liệu kết quả sẽ được trả về (nghĩa là cách gửi đầu vào và nhận đầu ra). Đây chính là những gì liên quan đến quyền truy cập qua trung gian vào dữ liệu hoặc dịch vụ, chẳng hạn như khi các ứng dụng chế độ người dùng sử dụng lệnh gọi hệ thống để yêu cầu dữ liệu hoặc dịch vụ ở chế độ quản trị viên (và nơi các yêu cầu đó có thể được cấp phép hoặc bị từ chối tùy thuộc vào thông tin xác thực và quyền của người yêu cầu) thay vì có được quyền truy cập trực tiếp, không qua trung gian. Một cách khác mà trừu tượng áp dụng cho bảo mật là giới thiệu các nhóm đối tượng, đôi khi còn được gọi là các lớp, nơi các biện pháp kiểm soát truy cập và quyền hoạt động được gán cho các nhóm đối tượng chứ không phải trên cơ sở từng-đối-tượng. Cách tiếp cận này cho phép quản trị viên bảo mật dễ dàng xác định và đặt tên cho các nhóm (tên gọi thường liên quan đến vai trò hoặc trách nhiệm công việc) và giúp việc quản lý các quyền và đặc quyền trở nên dễ dàng hơn (khi bạn thêm một đối tượng vào một lớp, bạn trao quyền và đặc quyền thay vì phải quản lý các quyền và đặc quyền cho từng đối tượng riêng biệt). Ẩn Dữ liệu Ẩn dữ liệu (data hiding) đúng như tên gọi của nó: ngăn không cho chủ thể khám phá hoặc truy cập dữ liệu bằng cách định vị dữ liệu trong ngăn lưu trữ logic mà không thể truy cập hoặc nhìn thấy được bởi đối tượng. Điều này có nghĩa là đối tượng không thể nhìn thấy hoặc truy cập vào dữ liệu, không chỉ là nó không thể nhìn thấy được. Các hình thức ẩn dữ liệu bao gồm việc giữ cho cơ sở dữ liệu không bị truy cập bởi những khách viếng thăm trái phép và hạn chế một đối tượng ở cấp phân loại thấp hơn truy cập vào những dữ liệu ở cấp phân loại cao hơn. Việc ngăn một ứng dụng truy cập trực tiếp vào phần cứng cũng là một hình thức ẩn dữ liệu. Ẩn dữ liệu thường là một yếu tố then chốt trong kiểm soát bảo mật cũng như trong lập trình. Steganography là m ột ví dụ về ẩn dữ liệu (xem Chương 7). Ẩn dữ liệu là một đặc điểm quan trọng trong các hệ thống bảo mật đa cấp. Nó đảm bảo rằng dữ liệu tồn tại ở một mức độ bảo mật sẽ không nằm trong tầm nhìn của các tiến trình đang chạy ở các mức độ bảo mật khác nhau. Từ góc độ 116 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống bảo mật, việc ẩn dữ liệu sẽ dựa vào việc đặt các đối tượng vào trong các ngăn chứa bảo mật khác với các đối tượng đang cư trú để che giấu thông tin chi tiết về đối tượng đối với những người không cần được biết về chúng hoặc đối với các phương tiện để truy cập chúng. Thuật ngữ bảo mật thông qua sự mơ hồ (security through obscurity) có thể có liên quan ở đây. Tuy nhiên, hai quan niệm đó khác nhau. Ẩn dữ liệu là hành động cố ý định vị dữ liệu để nó trở nên không thể xem được hoặc truy cập được đối với một chủ thể trái phép, trong khi bảo mật thông qua sự mơ hồ là ý tưởng về việc không thông báo cho chủ thể về một đối tượng đang hiện diện và do đó hy vọng rằng chủ thể sẽ không phát hiện ra đối tượng. Nói cách khác, trong bảo mật thông qua sự mơ hồ, chủ thể có thể truy cập vào dữ liệu nếu họ tìm thấy nó. Đó là trò chơi trốn tìm theo kiểu kỹ thuật. Bảo mật thông qua sự mơ hồ trên thực tế không triển khai bất kỳ hình thức bảo vệ nào. Thay vào đó, đây là một nỗ lực để hy vọng một thức gì đó quan trọng không bị phát hiện bằng cách giữ bí mật những kiến thức về nó. Một ví dụ về bảo mật mặc dù bị che khuất là khi một lập trình viên nhận thức được lỗ hổng trong mã phần mềm của họ, nhưng họ vẫn phát hành sản phẩm với hy vọng không có ai phát hiện ra vấn đề và khai thác nó. Mã hóa Mã hóa là khoa học về việc ẩn giấu ý nghĩa hoặc dự định của một giao tiếp khỏi những người nhận không được dự tính. Mã hóa có thể có rất nhiều hình thức và nên được áp dụng cho mọi kiểu giao tiếp và lưu trữ điện tử. Mã hóa sẽ được thảo luận sâu hơn trong Chương 6 và Chương 7. Ranh giới Bảo mật Một ranh giới bảo mật (security boundary) là một đường giao nhau giữa hai khu vực, mạng con hoặc môi trường bất kỳ có các yêu cầu hoặc nhu cầu bảo mật khác nhau. Một ranh giới bảo mật tồn tại giữa khu vực bảo-mật-cao và khu vực bảo-mật-thấp, chẳng hạn như giữa một mạng LAN và Internet. Điều quan trọng là phải nhận ra các ranh giới bảo mật cả trên mạng của bạn và trong thế giới đời thực. Khi bạn xác đ ịnh được ranh giới bảo mật, bạn phải triển khai các cơ chế để kiểm soát luồng thông tin đi qua ranh giới đó. 117 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Sự phân chia giữa các khu vực bảo mật có thể có nhiều hình thức. Ví dụ, các đối tượng có thể có những cách phân loại khác nhau. Mỗi phân loại xác định rằng những chức năng nào có thể được thực hiện bởi những chủ thể nào trên những đối tượng nào. Sự phân biệt giữa các phân loại là một ranh giới bảo mật. Ranh giới bảo mật cũng tồn tại giữa môi trường vật lý và môi trường logic. Để cung cấp bảo mật logic, bạn phải cung cấp các cơ chế bảo mật khác với những cơ chế đã được sử dụng để cung cấp bảo mật vật lý. Cả hai đều phải hiện diện để mang lại một cấu trúc bảo mật hoàn chỉnh và cả hai đều phải được xác định trong chính sách bảo mật. Tuy nhiên, chúng khác nhau và ph ải được đánh giá như các yếu tố riêng biệt của một giải pháp bảo mật. Ranh giới bảo mật, chẳng hạn như chu vi giữa một khu vực được bảo vệ và khu vực không được bảo vệ, phải luôn được xác định một cách rõ ràng. Điều quan trọng là phải nêu rõ trong chính sách bảo mật về điểm mà tại đó biện pháp kiểm soát kết thúc hoặc bắt đầu và xác định điểm đó trong cả môi trường vật lý lẫn môi trường logic. Ranh giới bảo mật logic là các điểm mà tại đó các giao tiếp điện tử tương tác với các thiết bị hoặc dịch vụ mà tổ chức của bạn đang chịu trách nhiệm về mặt pháp lý. Trong hầu hết các trường hợp, tương tác đó được đánh dấu một cách rõ ràng và các chủ thể trái phép được thông báo rằng họ không có quyền truy cập và những nỗ lực để có được quyền truy cập sẽ dẫn đến việc bị truy tố. Chu vi bảo mật trong môi trường vật lý thường là sự phản ánh chu vi bảo mật của môi trường logic. Trong hầu hết các trường hợp, khu vực mà tổ chức đang chịu trách nhiệm pháp lý xác định phạm vi tiếp cận của chính sách an ninh trong địa hạt vật lý. Đây có thể là các bức tường của văn phòng, tường của tòa nhà hoặc hàng rào xung quanh một khuôn viên. Trong các môi trường được bảo mật, các dấu hiệu cảnh báo được bố trí cho biết rằng việc truy cập trái phép bị cấm và những nỗ lực để có được quyền truy cập sẽ bị cản trở và dẫn đến việc bị truy tố. Khi chuyển đổi một chính sách bảo mật thành các biện pháp kiểm soát thực tế, bạn phải cân nhắc từng môi trường và ranh giới bảo mật riêng biệt. Đơn giản là chỉ cần suy ra các cơ chế bảo mật có sẵn sẽ cung cấp giải pháp hợp lý, tiết kiệm 118 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống chi phí và hi ệu quả nhất cho một môi trường và tình huống cụ thể. Tuy nhiên, tất cả các cơ chế bảo mật phải được cân nhắc dựa trên giá trị của các đối tượng mà chúng [các cơ chế bảo mật] cần bảo vệ. Việc triển khai các biện pháp ứng phó với chi phí cao hơn giá trị của các đối tượng được bảo vệ là điều không chính đáng. Đánh giá và Áp dụng các Nguyên t ắc Quản trị Bảo mật Quản trị bảo mật (Security governance) là tập hợp những thực tiễn liên quan đến việc hỗ trợ, đánh giá, xác định và định hướng các nỗ lực bảo mật của một tổ chức. Một cách tối ưu, quản trị bảo mật được thực hiện bởi một hội đồng quản trị, nhưng các tổ chức nhỏ hơn có thể chỉ cần giám đốc điều hành (CEO) hoặc giám đốc bảo mật thông tin (chief information security officer - CISO) thực hiện các hoạt động quản trị bảo mật. Quản trị bảo mật tìm cách so sánh các quy trình bảo mật và cơ sở hạ tầng được sử dụng trong phạm vi tổ chức với kiến thức và cái nhìn sâu sắc thu được từ các nguồn bên ngoài. Đây là lý do tại sao một hội đồng quản trị thường bao gồm những người từ nhiều nguồn gốc và ngành nghề khác nhau. Các thành viên của hội đồng quản trị có thể mang đến những kinh nghiệm và trí tuệ đa dạng của họ để cung cấp hướng dẫn cải tiến cho tổ chức mà họ đang giám sát. Các nguyên tắc quản trị bảo mật thường liên quan một cách chặt chẽ và thường đan xen với quản trị công ty và quản trị CNTT. Những mục đích của ba chương trình nghị sự quản trị này thường giống nhau hoặc có mối liên hệ với nhau, chẳng hạn như việc duy trì các quy trình nghiệp vụ trong khi phấn đấu hướng tới sự tăng trưởng và khả năng phục hồi. Một số khía cạnh của quản trị được áp đặt cho các tổ chức do nhu cầu tuân thủ pháp luật và quy định, trong khi những khía cạnh khác được áp đặt bởi các hướng dẫn của ngành hoặc các yêu cầu về giấy phép. Tất cả các hình thức quản trị, bao gồm cả quản trị bảo mật, đều phải được đánh giá và xác minh theo thời gian. Rất nhiều yêu cầu khác nhau đối với việc kiểm toán và xác nhận có thể hiện hữu do các quy định của chính phủ hoặc các thông lệ tốt nhất của ngành. Điều này đặc biệt có vấn đề khi luật pháp ở các quốc gia khác nhau sẽ khác nhau hoặc trên thực tế là xung đột với nhau. Toàn bộ tổ chức nói chung cần 119 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống được cung cấp định hướng, chỉ đạo và các công cụ để mang đến đầy đủ sự giám sát và quản lý nhằm giải quyết các mối đe dọa và những rủi ro, tập trung vào việc loại bỏ thời gian ngừng hoạt động và giữ cho tổn thất hoặc thiệt hại tiềm ẩn ở mức tối thiểu. Có thể nói rằng các định nghĩa về quản trị bảo mật thường khá chặt chẽ và ở cấp cao. Cuối cùng thì quản trị bảo mật là việc triển khai một giải pháp bảo mật và một phương pháp quản lý được kết nối một cách chặt chẽ với nhau. Quản trị bảo mật giám sát và tham gia một cách trực tiếp vào tất cả các cấp độ bảo mật. Bảo mật không phải và không nên chỉ được coi là một vấn đề của CNTT. Thay vào đó, bảo mật ảnh hưởng đến mọi khía cạnh của một tổ chức. Bảo mật là một vấn đề về hoạt động kinh doanh. Bảo mật là một quy trình có tổ chức, không chỉ là điều gì đó mà các chuyên viên công ngh ệ thông tin thực hiện đằng sau hậu trường. Việc sử dụng thuật ngữ quản trị bảo mật là một nỗ lực để nhấn mạnh điểm này bằng cách chỉ ra rằng bảo mật cần được quản lý và điều hành trong toàn bộ tổ chức chứ không chỉ trong bộ phận CNTT. Có một loạt các khuôn khổ và hướng dẫn quản trị bảo mật, bao gồm SP 800-53 và SP 800-100 của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST). Mặc dù hướng dẫn của NIST tập trung vào việc sử dụng trong chính phủ và quân đội nhưng nó cũng vẫn có thể được áp dụng và thích ứng bởii các loại hình tổ chức khác. Rất nhiều tổ chức áp dụng các khuôn khổ bảo mật trong một nỗ lực để tiêu chuẩn hóa và tổ chức những gì có thể trở thành một hoạt động lộn xộn và phức tạp gây ra hoang mang, cụ thể là, cố gắn triển khai biện pháp quản trị bảo mật hợp lý. Quản trị Bên-thứ-ba Quản trị bên-thứ-ba (Third-party governance) là hệ thống giám sát thực thể bên ngoài có thể bị bắt buộc theo luật pháp, quy định, tiêu chuẩn ngành, nghĩa vụ pháp lý theo hợp đồng, hoặc các yêu cầu về giấy phép. Phương pháp quản trị thực tế có thể sẽ khác nhau, nhưng nói chung sẽ liên quan đến một chuyên gia điều tra hoặc kiểm toán viên bên ngoài. Những kiểm toán viên này có thể được chỉ định bởi một cơ quan quản lý hoặc có thể là chuyên gia tư vấn được thuê bởi tổ chức mục tiêu. 120 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Một khía cạnh khác của quản trị bên-thứ-ba là việc áp dụng giám sát bảo mật đối với các bên-thứ-ba mà tổ chức của bạn đang dựa vào. Rất nhiều tổ chức chọn thuê ngoài các khía cạnh trong vận hành việc kinh doanh của họ. Những hoạt động được thuê ngoài có thể bao gồm nhân viên bảo vệ, bảo trì, hỗ trợ kỹ thuật, và các dịch vụ kế toán. Các bên-thứ-ba này cần phải tuân thủ những lập trường bảo mật của tổ chức. Nếu không thì họ [các bên-thứ-ba] đang đại diện cho những rủi ro và lỗ hổng bổ sung cho tổ chức chính. Quản trị bên-thứ-ba tập trung vào việc xác minh sự tuân thủ với các mục tiêu, yêu cầu, quy định và nghĩa vụ pháp lý theo hợp đồng đã được nêu ra. Các phiên đánh giá tại-chỗ có thể cung cấp khả năng tiếp xúc trực tiếp với các cơ chế bảo mật được sử dụng tại một địa điểm. Những người thực hiện quá trình đánh giá hoặc kiểm toán tại chỗ cần tuân theo các giao thức kiểm toán (chẳng hạn như Mục tiêu Kiểm soát đối với Thông tin và Công nghệ Liên quan [Control Đối tượngives for Information and Related Technology - COBIT]) và có một danh sách kiểm tra cụ thể về các yêu cầu đối với cuộc điều tra. Trong quá trình kiểm toán và đánh giá, cả tổ chức mục tiêu và cơ quan quản lý đều nên tham gia vào việc trao đổi và xem xét tài liệu đầy đủ và cởi mở. Một tổ chức cần phải biết toàn bộ chi tiết về tất cả các yêu cầu mà tổ chức đó phải tuân thủ. Tổ chức nên đệ trình chính sách bảo mật và các báo cáo tự-đánh-giá cho cơ quan quản lý. Quá trình trao đổi tài liệu cởi mở này đảm bảo rằng tất cả các bên liên quan đều nhất trí về tất cả các vấn đề quan tâm. Nó sẽ làm giảm thiểu cơ hội xuất hiện của các yêu cầu không xác định hoặc những kỳ vọng không thực tế. Trao đổi tài liệu không kết thúc bằng việc truyền tải các thủ tục giấy tờ hoặc các tập tin điện tử. Thay vào đó, nó dẫn đến quá trình xem xét tài liệu. Hãy đọc Chương 12, “Bảo mật Truyền thông và Các cuộc tấn công Mạng” để thảo luận về kết nối của bên-thứ-ba. Xem xét Tài liệu Xem xét tài liệu (Document review) là quá trình đọc các tài liệu đã được trao đổi và xác minh chúng theo các tiêu chu ẩn và kỳ vọng. Việc xem xét tài liệu thường được thực hiện trước khi bất kỳ cuộc kiểm tra tại-chỗ nào được diễn ra. Nếu tài liệu đã được trao đổi là đầy đủ và đáp ứng được các kỳ vọng (hoặc ít 121 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống nhất là các yêu cầu) thì quá trình xem xét tại-chỗ sẽ có thể đặt trọng tâm vào việc tuân thủ các tài liệu đã nêu. Tuy nhiên, nếu tài liệu không hoàn chỉnh, không chính xác hoặc không đầy đủ, quá trình xem xét tại chỗ sẽ bị hoãn lại cho đến khi tài liệu có thể được cập nhật và sửa chữa. Đây là bước rất quan trọng vì nếu tài liệu không hoàn chỉnh, rất có khả năng vị trí đó cũng sẽ không tuân thủ. Trong rất nhiều tình huống, đặc biệt là khi liên quan đến các cơ quan chính phủ hoặc quân đội hoặc nhà thầu, việc không cung cấp đủ tài liệu để đáp ứng các yêu cầu của quản trị bên-thứ-ba có thể dẫn đến mất hoặc thiếu khuyết quyền hoạt động (authorization to operate - ATO). Tài liệu hoàn chỉnh và đầy đủ thường có thể duy trì ATO hiện có hoặc cung cấp ATO tạm thời (temporary authorization to operate - TATO). Tuy nhiên, khi ATO đã mất hoặc bị thu hồi, việc xem xét tài liệu đầy đủ và xem xét tại-chỗ cho thấy sự tuân thủ đầy đủ thường là điều cần thiết để thiết lập lại ATO. Một phần của việc xem xét tài liệu là điều tra logic và thực tế về các quy trình nghiệp vụ và chính sách tổ chức dựa trên các tiêu chuẩn, khuôn khổ và nghĩa vụ hợp đồng. Quá trình đánh giá này đảm bảo rằng các nhiệm vụ kinh doanh, hệ thống và phương pháp luận đã được nêu và được triển khai là thực tế, có hiệu quả và tiết kiệm chi phí, và hơn hết (ít nhất là trong mối tương quan với quản trị bảo mật) rằng chúng hỗ trợ cho mục đích của bảo mật thông qua việc giảm thiểu các lỗ hổng bảo mật và tránh, giảm nhẹ hoặc giảm thiểu rủi ro. Quản lý rủi ro, đánh giá rủi ro và giải quyết rủi ro là tất cả nhữn phương pháp và kỹ thuật liên quan đến việc thực hiện xem xét quy trình/chính sách. Quản lý Chức năng Bảo mật Chức năng bảo mật (Security function) là một khía cạnh đề cập đến việc vận hành một doanh nghiệp để tập trung vào nhiệm vụ đánh giá và cải thiện bảo mật theo thời gian. Để quản lý chức năng bảo mật, một tổ chức phải triển khai việc quản trị bảo mật thích hợp và đầy đủ. Hành động thực hiện một quá trình đánh giá rủi ro để định hướng cho chính sách bảo mật là ví dụ rõ ràng và trực tiếp nhất của việc quản lý chức năng bảo mật. Quá trình đánh giá rủi ro sẽ được thảo luận trong Chương 2. 122 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bảo mật phải có thể đo lường được. Bảo mật có thể đo lường được có nghĩa là các khía cạnh khác nhau của cơ chế bảo mật phải hoạt động, mang lại một lợi ích rõ ràng, và có một hay nhiều chỉ số có thể được ghi lại và được phân tích. Tương tự như các chỉ số hiệu suất, các chỉ số bảo mật là những thước đo hiệu suất, tính năng, hoạt động, hành động, v.v… khi liên quan đến sự vận hành của một tính năng bảo mật. Khi một biện pháp ứng phó hoặc bảo vệ được triển khai, các chỉ số bảo mật nên cho thấy một sự giảm thiểu sự xuất hiện không mong muốn hoặc một sự gia tăng trong việc phát hiện ra những nỗ lực [vi phạm bảo mật]. Hành động đo lường và đánh giá các chỉ số bảo mật chính là là thực tiễn đánh giá tính đầy đủ và hiệu quả của chương trình bảo mật. Việc này cũng nên bao gồm việc đo lường nó so với các nguyên tắc bảo mật phổ biến và theo dõi sự thành công của các biện pháp kiểm soát của nó. Theo dõi và đánh giá các chỉ số bảo mật là một phần của quản trị bảo mật hiệu quả. Việc quản lý chức năng bảo mật bao gồm việc phát triển và triển khai các chiến lược bảo mật thông tin. Hầu hết những nội dung của kỳ thi CISSP, và từ đó là ấn phẩm này, đều xác định những khía cạnh khác nhau của việc phát triển và triển khai các chiến lược bảo mật thông tin. Sự liên kết Chức năng Bảo mật với Chiến lược, Mục đích, Sứ mệnh và Mục tiêu Doanh nghiệp Hoạch định quản lý bảo mật đảm bảo việc tạo, triển khai và thực thi chính sách bảo mật phù hợp. Lập kế hoạch quản lý bảo mật liên kết các chức năng bảo mật phù hợp với chiến lược, mục đích, sứ mệnh và mục tiêu của tổ chức. Điều này bao gồm việc thiết kế và triển khai bảo mật dựa trên các đề án kinh doanh, hạn chế ngân sách hoặc sự khan hiếm tài nguyên. Một đề án kinh doanh thường là một luận cứ được lập thành văn bản hoặc vị thế đã được nêu để xác định nhu cầu đưa ra một quyết định hoặc thực hiện một số hình thức hành động. Tạo ra một đề án kinh doanh là để chứng minh cho nhu cầu cụ thể của doanh nghiệp để thay đổi một quy trình hiện có hoặc lựa chọn một cách tiếp cận cho một nhiệm vụ kinh doanh. Một đề án kinh doanh thường được đưa ra để biện minh cho việc bắt đầu một dự án mới, đặc biệt là một dự án có liên quan đến bảo mật. Trong hầu hết các tổ chức, tiền bạc và các nguồn lực, chẳng hạn như con 123 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống người, công nghệ và không gian, đều bị hạn chế. Do những hạn chế về nguồn lực như vậy nên lợi ích tối đa cần phải đạt được từ bất kỳ nỗ lực nào. Một trong những cách hiệu quả nhất để giải quyết việc lập kế hoạch quản lý bảo mật là sử dụng phương pháp tiếp cận từ-trên-xuống. Quản lý cấp trên hoặc quản lý cấp cao chịu trách nhiệm cho việc khởi xướng và xác định các chính sách cho tổ chức. Các chính sách bảo mật cung cấp định hướng cho tất cả các cấp trong hệ thống phân cấp của tổ chức. Trách nhiệm của quản lý cấp trung là biến chính sách bảo mật thành các tiêu chuẩn, đường cơ sở, hướng dẫn và thủ tục. Các nhà quản lý vận hành hoặc chuyên gia bảo mật sau đó phải triển khai các cấu hình đã được chỉ định trong tài liệu quản lý bảo mật. Cuối cùng, người dùng đầu cuối phải tuân thủ tất cả các chính sách bảo mật của tổ chức. Ngược lại với phương pháp tiếp cận từ-trên-xuống là phương pháp tiếp cận từ-dưới-lên. Trong một môi trường tiếp cận từ-dưới-lên, nhân viên CNTT đưa ra các quyết định bảo mật trực tiếp mà không cần đầu vào từ các quản lý cấp cao. Phương pháp tiếp cận từdưới-lên hiếm khi được sử dụng trong các tổ chức và được xem là một vấn đề trong ngành CNTT. Quản lý bảo mật là trách nhiệm của các nhà quản lý cấp trên chứ không phải của nhân viên CNTT, và được xem là một vấn đề của vận hành doanh nghiệp thay vì quản trị CNTT. Nhóm hoặc bộ phận chịu trách nhiệm cho bảo mật trong phạm vi của một tổ chức nên được tự quản. Nhóm bảo mật thông tin (Information security team – InfoSec) nên được lãnh đạo bởi một giám đốc bảo mật thông tin (chief information security officer – CISO), người báo cáo trực tiếp cho các nhà quản lý cấp cao, chẳng hạn như giám đốc thông tin (chief information officer – CIO), giám đốc điều hành (chief executive officer – CEO), hoặc hội đồng quản trị. Việc đặt quyền tự chủ của CISO và nhóm của CISO ra khỏi phạm vi cấu trúc phân cấp điển hình trong một tổ chức có thể cải thiện việc quản lý bảo mật trên toàn bộ tổ chức. Nó cũng giúp tránh khỏi các vấn đề chính trị nội bộ và liên-bộphận. Thuật ngữ giám đốc bảo mật (chief security officer - CSO) đôi khi cũng được sử dụng để thay thế cho CISO, nhưng trong nhiều tổ chức, vị trí CSO là một chức năng phụ của CISO tập trung vào bảo mật về mặt vật lý. Một thuật 124 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ngữ tiềm năng khác đối với CISO là nhân viên bảo mật thông tin (information security officer - ISO), nhưng thuật ngữ này cũng có thể được sử dụng như một phụ tá bên dưới CISO. Giám đốc thông tin (CIO) tập trung vào việc đảm bảo thông tin được sử dụng một cách hiệu quả để hoàn thành các mục tiêu kinh doanh. Giám đốc kỹ thuật (chief technical officer – CTO) tập trung vào việc đảm bảo rằng các thiết bị và phần mềm hoạt động một cách đúng đắn để hỗ trợ cho các chức năng nghiệp vụ. Các yếu tố hoạch định quản lý bảo mật bao gồm việc xác định các vai trò bảo mật, chỉ định cách thức bảo mật sẽ được quản lý như thế nào, ai chịu trách nhiệm cho bảo mật, và cách mà tính hiệu quả của bảo mật sẽ được kiểm tra, phát triển các chính sách bảo mật, thực hiện phân tích rủi ro, và yêu cầu đào tạo về bảo mật cho nhân viên. Những nỗ lực này được định hướng thông qua sự phát triển của các kế hoạch quản lý. Kế hoạch bảo mật tốt nhất sẽ vô dụng nếu thiếu đi một yếu tố then chốt: sự phê duyệt của quản lý cấp cao. Nếu không có sự chấp thuận và cam kết của các nhà quản lý cấp cao đối với chính sách bảo mật, chính sách này sẽ thất bại. Trách nhiệm của nhóm phát triển chính sách là giáo dục một cách đầy đủ cho các nhà quản lý cấp cao để họ hiểu được rủi ro, nghĩa vụ pháp lý và tai tiếng vẫn tồn tại kể cả sau khi các biện pháp bảo mật được chỉ định trong chính sách đã được triển khai. Việc phát triển và triển khai một chính sách bảo mật là bằng chứng của sự thẩm tra và quan tâm đúng m ức từ phía các nhà quản lý cấp cao. Nếu một công ty không thực hiện thẩm tra và quan tâm dúng m ức, các nhà quản lý có thể phải chịu trách nhiệm về sự sơ sót và chịu trách nhiệm giải trình về tổn thất về mặt tài sản lẫn tài chính. Một nhóm hoạch định quản lý bảo mật nên phát triển 3 loại kế hoạch, như được minh họa trong Hình 1.3: 125 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống HÌNH 1.3 So sánh khung thời gian của các kế hoạch chiến lược, chiến thuật và vận hành Kế hoạch Chiến lược Một kế hoạch chiến lược là một kế hoạch dài-hạn tương đối ổn định. Nó xác định mục đích bảo mật của tổ chức. Nó cũng xác định chức năng bảo mật và liên kết nó một cách phù hợp với các mục đích, sứ mệnh và mục tiêu của tổ chức. Kế hoạch này hữu ích trong khoảng thời gian năm năm, nếu nó được duy trì và cập nhật hàng năm. Kế hoạch chiến lược cũng đóng vai trò là đường chân trời hoạch định. Các mục tiêu dài-hạn và tầm nhìn cho tương lai được thảo luận trong một kế hoạch chiến lược. Một kế hoạch chiến lược nên bao gồm một đánh giá rủi ro. Kế hoạch Chiến thuật Một kế hoạch chiến thuật là một kế hoạch trung hạn được phát triển để cung cấp thêm thông tin chi tiết về việc hoàn thành các mục tiêu đã được đề ra trong kế hoạch chiến lược hoặc có thể được lập một cách đột xuất dựa trên các sự kiện chưa được dự đoán. Một kế hoạch chiến thuật thường hữu ích trong khoảng thời gian một năm và thường chỉ định và lập lịch trình cho các nhiệm vụ cần thiết để hoàn thành các mục tiêu của tổ chức. Một số ví dụ về kế hoạch chiến thuật là kế hoạch dự án, kế hoạch mua lại, kế hoạch tuyển dụng, kế hoạch ngân sách, kế hoạch bảo trì, kế hoạch hỗ trợ và kế hoạch phát triển hệ thống. 126 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Kế hoạch Vận hành Kế hoạch vận hành là một kế hoạch ngắn- hạn, có tính chi tiết cao dựa trên các kế hoạch chiến lược và chiến thuật. Nó chỉ có giá trị hoặc hữu ích trong một khoảng thời gian ngắn. Các kế hoạch vận hành phải được cập nhật thường xuyên (chẳng hạn như hàng tháng hoặc hàng quý) để duy trì sự tuân thủ với các kế hoạch chiến thuật. Các kế hoạch vận hành chỉ ra cách thức hoàn thành các mục tiêu khác nhau của tổ chức. Chúng bao gồm phân bổ nguồn lực, yêu cầu ngân sách, chỉ định nhân sự, lập lịch trình và thủ tục triển khai hoặc thủ tục từng bước. Kế hoạch vận hành bao gồm các chi tiết về cách thức các quá trình triển khai tuân thủ chính sách bảo mật của tổ chức như thế nào. Ví dụ về kế hoạch vận hành là kế hoạch đào tạo, kế hoạch triển khai hệ thống và kế hoạch thiết kế sản phẩm. Bảo mật là một quá trình liên tục. Do đó, hoạt động hoạch định quản lý bảo mật có thể có một điểm khởi đầu rõ ràng nhưng các nhiệm vụ và hoạt động của hoạt động này không bao giờ được hoàn thành hoặc hoàn tất một cách đầy đủ. Các kế hoạch bảo mật hiệu quả tập trung sự chú ý vào các mục tiêu cụ thể và có thể đạt được, dự đoán được các thay đổi và những vấn đề tiềm ẩn, và đóng vai trò như một cơ sở để đưa ra quyết định cho toàn bộ tổ chức. Tài liệu bảo mật phải cụ thể, được xác định rõ ràng và được nêu ra một cách rõ ràng. Để một kế hoạch bảo mật có hiệu quả, nó phải được phát triển, duy trì và thực sự được sử dụng. Các Quy trình Tổ chức Quản trị bảo mật nên giải quyết từng khía cạnh của một tổ chức, bao gồm các quy trình của tổ chức về mua lại, thoái vốn, và hội đồng quản trị. Mua lại và sáp nhập đặt một tổ chức vào một mức độ rủi ro cao hơn. Những rủi ro như vậy bao gồm tiết lộ thông tin không phù hợp, mất dữ liệu, ngừng hoạt động, hoặc thất bại trong việc đạt được đủ lợi nhuận trên khoản đầu tư (ROI). Ngoài những khía cạnh doanh nghiệp và tài chính điển hình của mua lại và sáp nhập, một liều lượng lành mạnh của giám sát bảo mật và sự xem xét kỹ lưỡng được gia tăng thường là điều thiết yếu để giảm thiểu khả năng xảy ra tổn thất trong khoảng thời gian chuyển đổi như vậy. 127 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tương tự, một sự thoái vốn hoặc bất kỳ hình thức cắt giảm tài sản hoặc nhân viên nào đều là một khoảng thời gian khác làm gia tăng r ủi ro và do đó cần tăng cường việc quản trị bảo mật tập trung. Tài sản cần phải được làm sạch để ngăn chặn rò rỉ dữ liệu. Phương tiện lưu trữ phải được loại bỏ và phá hủy, vì các kỹ thuật làm sạch phương tiện không đảm bảo chống lại việc khôi phục những dữ liệu còn sót lại. Các nhân viên được giải phóng khỏi nhiệm vụ cũng cần phải được thảo luận. Quá trình này thường được gọi là cuộc phỏng vấn trước khi nghỉ việc (exit interview). Quá trình này thường bao gồm việc xem xét bất kỳ thỏa thuận không tiết lộ nào cũng như bất kỳ ràng buộc hợp đồng hoặc thỏa thuận nào khác sẽ vẫn tiếp tục có hiệu lục sau khi công việc đã chấm dứt. Khi các hoạt động mua lại và sáp nhập được thực hiện mà không có các cân nhắc về bảo mật, những rủi ro cố hữu trong các sản phẩm thu được đó vẫn tồn tại trong suốt vòng đời triển khai của chúng. Việc giảm thiểu các mối đe dọa cố hữu trong các phần tử đã có được sẽ giảm chi phí quản lý bảo mật và có khả năng giảm các vi phạm bảo mật. Một điều quan trọng là cần đánh giá những rủi ro tương ứng với phần cứng, phần mềm, và các dịch vụ. Các sản phẩm và giải pháp có tính linh hoạt được tích hợp với bảo mật thường sẽ đắt tiền hơn những sản phẩm và giải pháp không có nền tảng bảo mật. Tuy nhiên, khoản chi phí ban đầu bổ sung này thường là một khoản chi phí có hiệu quả hơn nhiều so với việc giải quyết các thiếu sót về bảo mật trong vòng đời của một sản phẩm được thiết kế kém. Do đó, khi xem xét chi phí mua lại/sáp nhập, điều quan trọng là phải xem xét tổng chi phí sở hữu trong suốt thời gian triển khai sản phẩm hơn là chỉ mua sắm và triển khai ban đầu. Mua lại không chỉ liên quan đến phần cứng và phần mềm. Thuê ngoài, hợp đồng với các nhà cung cấp và các nhà tư vấn tham gia cũng là các yếu tố của việc mua lại. Việc tích hợp các đánh giá bảo mật khi làm việc với các thực thể bên ngoài cũng quan trọng như việc đảm bảo một sản phẩm được thiết kế có với sự lưu ý đến tính bảo mật. Trong rất nhiều trường hợp, việc giám sát, quản lý và đánh giá bảo mật liên tục có thể là bắt buộc. Đây có thể là một thực tiễn tốt nhất trong ngành hoặc là một 128 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống quy định. Những quy trình đánh giá và giám sát như vậy có thể được thực hiện bởi nội bộ tổ chức hoặc có thể đòi hỏi phải sử dụng các kiểm toán viên bên ngoài. Khi liên quan đến các dịch vụ giám sát và đánh giá bên-thứ-ba, hãy lưu ý rằng thực thể bên ngoài cần phải cần thể hiện ý thức bảo mật trong hoạt động kinh doanh của họ. Nếu một tổ chức bên ngoài không thể quản lý các hoạt động nội bộ của chính họ trên cơ sở bảo mật thì làm thế nào để họ có thể cung cấp các chức năng quản lý bảo mật đáng tin cậy cho bạn? Khi đánh giá bên thứ ba về khả năng tích hợp bảo mật của bạn, hãy xem xét các quy trình sau: Đánh giá Tại-chỗ Hãy ghé thăm địa điểm của tổ chức để phỏng vấn nhân sự và quan sát những thói quen hoạt động của họ. Trao đổi và Đánh giá Tài liệu Hãy điều tra các phương tiện mà theo đó, các bộ dữ liệu và tài liệu được trao đổi cũng như các quy trình chính th ức mà họ thực hiện đánh giá và xem xét. Xem xét Quy trình/Chính sách Hãy yêu cầu bản sao của các chính sách, quy trình/thủ tục bảo mật và tài liệu về các sự cố và biện pháp ứng phó để xem xét. Kiểm toán Bên-Thứ-ba Việc có được một kiểm toán viên bên-thứ-ba độc lập, theo định nghĩa của Viện Kế toán Công được Chứng nhận của Hoa Kỳ (American Institute of Certified Public Accountants - AICPA), có thể cung cấp một đánh giá khách quan về cơ sở hạ tầng bảo mật của thực thể, dựa trên báo cáo Kiểm soát Tổ chức Dịch vụ (Service Organization Control SOC). Xem Chương 15 để biết chi tiết về các báo cáo SOC. Đối với tất cả các thương vụ mua lại, hãy xác lập các yêu cầu bảo mật tối thiểu. Chúng nên được mô phỏng theo chính sách bảo mật hiện có của bạn. Các yêu cầu bảo mật đối với phần cứng, phần mềm hoặc dịch vụ mới phải luôn đáp ứng hoặc vượt quá mức độ bảo mật của cơ sở hạ tầng hiện có của bạn. Khi làm việc với một dịch vụ bên ngoài, hãy đảm bảo đã xem xét mọi thỏa thuận mức-dịchvụ (service-level agreement - SLA) để đảm bảo rằng bảo mật là một thành phần được chỉ định của các dịch vụ đã được ký hợp đồng. Khi nhà cung cấp bên ngoài 129 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống đó đang tạo ra phần mềm hoặc cung cấp dịch vụ (chẳng hạn như một nhà cung cấp đám mây) thì yêu cầu về mức dịch vụ (service-level requirement - SLR) có thể cần phải được xác định. SLR là một tuyên bố về những kỳ vọng về dịch vụ và hiệu suất từ sản phẩm hoặc dịch vụ của nhà cung cấp. Thông thường, SLR được khách hàng cung cấp trước khi thiết lập SLA (nên kết hợp các yếu tố của SLR nếu như nhà cung cấp mong đợi khách hàng ký vào thỏa thuận). Hai ví dụ bổ sung về các quy trình tổ chức thiết yếu để quản trị bảo mật mạnh mẽ là kiểm soát thay đổi/quản lý thay đổi (xem Chương 16, “Quản lý Vận hành Bảo mật”) và phân loại dữ liệu (xem Chương 5, “Bảo vệ Tính bảo mật của Tài sản”). Các Vai trò và Trách nhiệm Tổ chức Một vai trò bảo mật là phần mà một cá nhân đảm nhiệm trong lược đồ tổng thể của triển khai và quản trị bảo mật trong phạm vi một tổ chức. Những vai trò bảo mật không nhất thiết phải được chỉ định trong các mô tả công việc bởi vì chúng không phải lúc nào cũng khác biệt hoặc không thay đổi. Sự quen thuộc với các vai trò bảo mật sẽ giúp ích cho việc thiết lập cấu trúc giao tiếp và hỗ trợ trong một tổ chức. Cấu trúc này sẽ hỗ trợ việc triển khai và thực thi chính sách bảo mật. Phần này sẽ tập trung vào các vai trò bảo mật có mục đích chung để quản lý một cơ sở hạ tầng bảo mật tổng thể. Hãy xem Chương 5 để biết các vai trò liên quan cụ thể đến quản lý dữ liệu. Dưới đây là những vai trò bảo mật phổ biến hiện diện trong một môi trường được bảo mật điển hình: Nhà quản lý Cấp cao Vai trò chủ sở hữu của tổ chức (nhà quản lý cấp cao) được chỉ định cho cá nhân chịu trách nhiệm sau cùng cho bảo mật được duy trì bởi một tổ chức và là người cần phải quan tâm nhất đến việc bảo vệ tài sản của tổ chức. Nhà quản lý cấp cao phải ký xác nhận về tất cả các vấn đề về chính sách bảo mật. Sẽ không có chính sách bảo mật hiệu quả nếu như quản lý cấp cao không cấp phép và hỗ trợ cho nó. Nhà quản lý cấp cao là người sẽ chịu trách nhiệm về sự thành công hay thất bại tổng thể của một giải pháp bảo mật và chịu trách nhiệm cho việc thực hiện thẩm định và quan tâm đúng mức trong việc thiết lập bảo mật cho 130 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống một tổ chức. Dẫu cho các nhà quản lý cấp cao là người chịu trách nhiệm sau cùng về bảo mật nhưng họ hiếm khi triển khai các giải pháp bảo mật. Trong hầu hết các trường hợp, trách nhiệm đó được giao cho các chuyên gia bảo mật trong tổ chức. Chuyên gia Bảo mật Vai trò chuyên gia bảo mật (security professional), nhân viên bảo mật thông tin (information security officer – InfoSec) hoặc nhóm ứng phó sự cố máy tính (computer incident response team – CIRT) được chỉ định cho một kỹ sư mạng, hệ thống và bảo mật có kinh nghiệm và được đào tạo, người chịu trách nhiệm cho việc theo dõi những chỉ thị bắt buộc từ quản lý cấp cao. Chuyên gia bảo mật có trách nhiệm về mặt chức năng đối với bảo mật, bao gồm cả việc viết ra chính sách bảo mật và triển khai chính sách đó. Vai trò của chuyên gia bảo mật có thể được coi là một vai trò HTTT/CNTT, nhưng trọng tâm của nó thiên về bảo vệ nhiều hơn là chức năng. Vai trò chuyên gia b ảo mật thường được đảm nhiệm bởi một nhóm chịu trách nhiệm cho việc thiết kế và triển khai các giải pháp bảo mật dựa trên chính sách bảo mật đã được phê duyệt. Các chuyên gia bảo mật không phải là người đưa ra các quyết định, họ là những người triển khai. Tất cả các quyết định phải được để lại cho nhà quản lý cấp cao. Chủ sở hữu Tài sản Vai trò chủ sở hữu tài sản (asset chủ sở hữu) được chỉ định cho cá nhân chịu trách nhiệm cho việc phân loại thông tin để sắp xếp và bảo vệ trong phạm vi giải pháp bảo mật. Chủ sở hữu tài sản thường là một nhà quản lý cấp-cao, người chịu trách nhiệm sau cùng cho việc bảo vệ tài sản. Tuy nhiên, chủ sở hữu tài sản thường ủy thác trách nhiệm của các nhiệm vụ quản lý dữ liệu thực tế cho người bảo quản. Người bảo quản Vai trò người bảo quản được chỉ định cho người dùng chịu trách nhiệm về các nhiệm vụ triển khai việc bảo vệ theo chỉ định được xác định bởi chính sách bảo mật và nhà quản lý cấp cao. Người bảo quản thực hiện mọi hoạt động cần thiết để đem đến sự bảo vệ thích hợp cho Bộ ba CIA (tính bảo mật, tính toàn vẹn và tính sẵn sàng) của dữ liệu và để thực hiện các yêu cầu và trách nhiệm đã được ủy thác từ các nhà quản lý cấp trên. Các hoạt động này có thể bao gồm thực hiện và kiểm 131 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống tra các bản sao lưu, xác thực tính toàn vẹn của dữ liệu, triển khai các giải pháp bảo mật và quản lý lưu trữ dữ liệu dựa trên phân loại. Người dùng Vai trò người dùng (người dùng đầu cuối hoặc người vận hành) được chỉ định cho bất kỳ cá nhân nào có quyền truy cập vào một hệ thống được bảo mật. Quyền truy cập của một người dùng được gắn chặt với nhiệm vụ công việc của họ và bị giới hạn để họ chỉ có đủ quyền truy cập để thực hiện những tác vụ cần thiết cho vị trí công việc của họ (nguyên tắc đặc quyền ít nhất). Người dùng chịu trách nhiệm cho việc hiểu và ủng hộ cho chính sách bảo mật của một tổ chức bằng cách tuân theo các thủ tục hoạt động đã được chỉ định và hoạt động trong phạm vi chu vi bảo mật đã định. Kiểm toán viên Một kiểm toán viên chịu trách nhiệm cho việc xem xét và xác minh rằng chính sách bảo mật đã được triển khai một cách đúng đắn và các giải pháp bảo mật đã có được là đầy đủ. Kiểm toán viên tạo ra các báo cáo về sự tuân thủ và tính hiệu quả đã được đánh giá bởi các nhà quản lý cấp cao. Những vấn đề được khám phá thông qua các báo cáo này được chuyển đổi thành những chỉ thị mới được chỉ định bởi các nhà quản lý cấp cao cho các chuyên gia b ảo mật hoặc người bảo quản. Tất cả những vai trò này đều phục vụ một chức năng quan trọng trong một môi trường được bảo mật. Chúng rất hữu ích để xác định trách nhiệm pháp lý và trách nhiệm cũng như xác định sơ đồ quản lý và ủy quyền theo cấu trúc phân cấp. Các Khuôn khổ Kiểm soát Bảo mật Một trong những bước hoạch định bảo mật đầu tiên và quan trọng nhất là xem xét khuôn khổ kiểm soát bảo mật tổng thể hay cấu trúc của giải pháp bảo mật được mong muốn bởi tổ chức. Bạn có thể chọn từ một số tùy chọn liên quan đến cơ sở hạ tầng khái niệm bảo mật, tuy nhiên, một trong số các khuôn khổ kiểm soát bảo mật được sử dụng rộng rãi nhất là Các Mục tiêu Kiểm soát đối với Thông tin và Công nghệ Liên quan (Control Đối tượngives for Information and Related Technology - COBIT). COBIT là một bộ các thực tiễn tốt nhất của CNTT được lập thành tài liệu được tạo ra bởi Hiệp hội Kiểm soát và Kiểm toán Hệ thống Thông 132 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống tin (Information Systems Audit and Control Association - ISACA). Khuôn khổ này mô tả những mục đích và yêu cầu đối với các biện pháp kiểm soát bảo mật và khuyến khích việc ánh xạ những ý tưởng bảo mật CNTT với các mục tiêu của doanh nghiệp. COBIT dựa trên 6 nguyên tắc then chốt để quản trị và quản lý CNTT của doanh nghiệp: ▪ Mang lại Giá trị cho Bên Liên quan ▪ Phương pháp tiếp cận Toàn diện ▪ Hệ thống Quản trị Động ▪ Quản trị Khác với Quản lý ▪ Được điều chỉnh theo Nhu cầu của Doanh nghiệp ▪ Hệ thống Quản trị Từ-đầu-đến-cuối. COBIT được sử dụng không chỉ để lập kế hoạch bảo mật CNTT của một tổ chức mà còn là một định hướng cho các kiểm toán viên. COBIT là một khuôn khổ kiểm soát bảo mật được tôn trọng và công nhận một cách rộng rãi. May mắn thay, COBIT chỉ được tham chiếu một cách khá khiêm tốn trong kỳ thi CISSP, do đó những chi tiết khác là không cần thiết. Tuy nhiên, nếu bạn quan tâm đến khái niệm này, vui lòng truy cập vào trang web của ISACA (www.isaca.org/cobit), hoặc nếu bạn muốn có một cái nhìn tổng quan nói chung, hãy đọc mục COBIT từ Wikipedia. Ngoài ra, còn có rất nhiều tiêu chuẩn và hướng dẫn khác đối với bảo mật CNTT. Dưới đây là một vài trong số đó: ▪ NIST 800-53 Rev.5, “Các Biện pháp kiểm soát Bảo mật và Quyền riêng tư dành cho các Hệ thống Thông tin và Tổ chức” (csrc.nist.gov/publications/detail/sp/800 -53/rev-5/final), bao gồm những khuyến cáo chung có nguồn từ chính phủ Hoa Kỳ dành cho bảo mật của tổ chức. ▪ Trung tâm Bảo mật Internet (Center for Internet Security – CIS) cung cấp những hướng dẫn thiết lập cấu hình bảo mật Hệ điều hành, ứng dụng và phần cứng tại www.cisecurity.org/cis-benchmarks. ▪ Khuôn khổ Quản lý Rủi ro NIST (NIST Risk Management Framework – RMF) (csrc.nist.org/project /risk-management/rmf-overview) xác lập những yêu cầu bắt buộc đối với các cơ quan liên bang Hoa K ỳ. RMF có 6 giai đoạn: 133 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Phân loại, Lựa chọn, Triển khai, Đánh giá, Ủy quyền và Giám sát (lần lượt là Categorize, Select, Implement, Assess, Authorize, và Monitor). ▪ Khuôn khổ An ninh mạng NIST (NIST Cybersecurity Framework – CSF) (www.nist.org/cyberframework) được thiết kế dành cho những cơ sở hạ tầng trọng yếu và các tổ chức thương mại, và bao gồm 5 chức năng: Xác định, Bảo vệ, Phát hiện, Ứng phó và Khôi phục (lần lượt là Identify, Protect, Detect, Respond và Recover). Đây là một quy định về các hoạt động vận hành sẽ được thực hiện trên cơ sở liên tục để hỗ trợ và cải thiện bảo mật theo thời gian. ▪ Họ tiêu chuẩn ISO/IEC 27000 của Tổ chức Tiêu chuẩn Quốc tế (ISO)/Ủy ban Kỹ thuật điện Quốc tế (IEC) Standardization/International (International Organization Electrotechnical for Commission ) (www.itgovernanceusa.com/iso27000 -family) là một tiêu chuẩn quốc tế có thể được lấy làm cơ sở để triển khai bảo mật và những thực tiễn quản lý có liên quan của tổ chức. ▪ Thư viện Cơ sở hạ tầng Công nghệ Thông tin (Information Technology Infrastructure Library – ITIL) (www.itlibrary.org), ban đầu được tạo ra bởi chính phủ Vương quốc Anh, là một bộ những thực tiễn tốt nhất được khuyến cáo để tối ưu hóa các dịch vụ CNTT để hỗ trợ cho sự tăng trưởng, chuyển đổi và thay đổi của doanh nghiệp. ITIL tập trung vào việc tìm hiểu cách thức CNTT và bảo mật cần phải được tích hợp và liên kết với các mục tiêu của một tổ chức như thế nào. ITIL và các quy trình vận hành thường được sử dụng như một điểm khởi đầu để tạo ra một giải pháp bảo mật CNTT được tùy chỉnh trong phạm vi một cơ sở hạ tầng đã được xác lập. Thẩm định và Chăm sóc thích đáng Tại sao việc hoạch định đối với kế hoạch bảo mật lại quan trọng đến như vậy? Một trong số các lý do là yêu cầu về sự thẩm định (due diligence) và chăm sóc thích đáng (due care). Thẩm định là thiết lập một kế hoạch, chính sách và quy trình để bảo vệ những lợi ích của một tổ chức. Chăm sóc thích đáng là thực hành các hoạt động cá nhân để duy trì nỗ lực thẩm định. Ví dụ: thẩm định là phát triển một cấu trúc bảo mật được chính thức hóa bao gồm một chính sách bảo mật, các tiêu chuẩn, đường cơ sở, hướng dẫn và thủ tục. Chăm sóc thích đáng là việc tiếp tục áp dụng cấu trúc bảo mật này vào cơ sở hạ tầng CNTT của một 134 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống tổ chức. Bảo mật hoạt động là việc duy trì liên tục sự thẩm định và chăm sóc thích đáng liên tục của tất cả các bên có trách nhiệm trong một tổ chức. Thẩm định là biết được những gì nên làm và lập kế hoạch cho nó, chăm sóc thích đáng là thực hiện đúng hành động vào đúng thời điểm. Trong môi trường kinh doanh ngày nay, sự thận trọng là điều bắt buộc. Việc thể hiện thẩm định và chăm sóc đúng mức là cách duy nhất để loại bỏ sơ suất khi xảy ra tổn thất. Các nhà quản lý cấp cao phải thể hiện sự cẩn trọng và chăm sóc đúng mức để giảm thiểu tội lỗi và trách nhiệm của họ khi xảy ra tổn thất. Chính sách, Tiêu chuẩn, Thủ tục và Hướng dẫn Bảo mật Đối với hầu hết các tổ chức, việc duy trì bảo mật là một phần thiết yếu của hoạt động kinh doanh liên tục. Để giảm thiểu khả năng xảy ra của một lỗi bảo mật, quá trình triển khai bảo mật phải được chính thức hóa bằng một tổ chức có cấu trúc phân cấp của tải liệu. Việc phát triển và triển khai chính sách, tiêu chuẩn, thủ tục và các hướng dẫn bảo mật đã được lập thành văn bản sẽ tạo ra một cơ sở hạ tầng bảo mật vững chắc và đáng tin cậy. Các Chính sách Bảo mật Lớp cao nhất của quá trình chính thức hóa được gọi là chính sách bảo mật. Một chính sách bảo mật là một tài liệu xác định phạm vi bảo mật cần thiết bởi tổ chức và thảo luận về những tài sản cần bảo vệ và mức độ mà các giải pháp bảo mật cần thực hiện để cung cấp sự bảo vệ cần thiết. Chính sách bảo mật là một cái nhìn tổng quan hoặc khái quát về các nhu cầu bảo mật của một tổ chức. Nó xác định các mục tiêu, tầm nhìn và mục đích bảo mật chiến lược và phác thảo nên khuôn khổ bảo mật của một tổ chức. Chính sách bảo mật được sử dụng để phân công trách nhiệm, xác định vai trò, chỉ định các yêu cầu kiểm toán, phác thảo các quy trình thực thi, chỉ ra các yêu cầu tuân thủ và xác định các mức rủi ro có thể chấp nhận được. Tài liệu này thường được sử dụng làm bằng chứng để chỉ ra rằng các nhà quản lý cấp cao đã thực hiện sự cẩn trọng trong việc bảo vệ bản thân chống lại sự xâm nhập, tấn công và thảm họa. Các chính sách bảo mật là bắt buộc. Rất nhiều tổ chức sử dụng một số loại chính sách bảo mật để xác định hoặc phác thảo chiến lược bảo mật tổng thể của họ. Chính sách bảo mật của một tổ chức 135 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống tập trung vào các vấn đề liên quan đến mọi khía cạnh của tổ chức. Một chính sách bảo mật về vấn-đề-cụ-thể tập trung vào m ột dịch vụ mạng cụ thể, bộ phận, chức năng hoặc một khía cạnh khác khác biệt với toàn bộ tổ chức. Một chính sách bảo mật dành riêng cho hệ-thống-cụ-thể tập trung vào các hệ thống hoặc loại hệ thống riêng lẻ và chỉ định phần cứng và phần mềm đã được phê duyệt, phác thảo các phương pháp khóa chặt một hệ thống và thậm chí bắt buộc tường lửa hoặc các biện pháp kiểm soát bảo mật cụ thể khác. Từ luồng chính sách bảo mật, rất nhiều tài liệu hoặc yếu tố phụ khác cần thiết cho một giải pháp bảo mật hoàn chỉnh. Các chính sách là những cái nhìn tổng quan rộng rãi, trong khi các tiêu chuẩn, đường cơ sở, hướng dẫn và thủ tục bao gồm những thông tin chi tiết và cụ thể hơn về giải pháp bảo mật thực tế. Tiêu chuẩn là cấp độ tiếp theo bên dưới các chính sách bảo mật. Chính sách Sử dụng Có thể được chấp thuận Một chính sách sử dụng có thể được chấp thuận (acceptable use policy – AUP) là một tài liệu phổ biến tồn tại như một phần của cơ sở hạ tầng tài liệu bảo mật tổng thể. Chính sách này xác định mức độ có thể chấp nhận được về hiệu suất và những kỳ vọng về hành vi và hoạt động. Thất bại trong việc tuân thủ chính sách này có thể dẫn đến những cảnh cáo trong công việc, những hình phạt hoặc chấm dứt hợp đồng. Các Tiêu chuẩn, Đường cơ sở và Hướng dẫn Bảo mật Khi các chính sách bảo mật chính đã được thiết lập, những tài liệu bảo mật còn lại có thể được tạo ra theo định hướng của những chính sách đó. Các tiêu chuẩn xác định các yêu cầu bắt buộc đối với việc sử dụng những phần cứng, phần mềm, công nghệ, và các biện pháp kiểm soát bảo mật. Chúng cung cấp một loạt hành động mà theo đó, công nghệ và các thủ tục được triển khai một cách thống nhất trong toàn bộ tổ chức. Một đường cơ sở xác định mức độ bảo mật tối thiểu mà mọi hệ thống trong toàn bộ tổ chức phải đáp ứng. Một đường cơ sở là một dạng tiêu chuẩn được đặt trọng tâm nhiều hơn vào vận hành. Mọi hệ thống đang không tuân thủ đường cơ sở nên được tách ra khỏi hệ thống sản xuất cho đến khi chúng có th ể được nâng 136 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống lên đến mức của đường cơ sở. Đường cơ sở xác lập một trạng thái bảo mật nền tảng chung mà mọi biện pháp bảo mật nghiêm ngặt và bổ sung đều có thể được xây dựng trên đó. Các đường cơ sở thường là hệ thống cụ thể và thường đề cập đến một tiêu chuẩn ngành hoặc tiêu chuẩn của chính phủ. Các hướng dẫn là thành phần tiếp theo của cấu trúc chính sách b ảo mật. Một hướng dẫn là thành phần tiếp theo của cấu trúc chính sách bảo mật được chính thức hóa. Hướng dẫn đưa ra các khuyến cáo về cách thức mà các tiêu chuẩn và đường cơ sở được triển khai và đóng vai trò như một hướng dẫn hoạt động cho cả chuyên gia bảo mật lẫn người dùng như thế nào. Các hướng dẫn khá linh hoạt, vì vậy chúng có thể được tùy chỉnh cho từng hệ thống hoặc điều kiện duy nhất và có thể được sử dụng trong việc tạo ra các thủ tục mới. Chúng nêu rõ cơ chế bảo mật nào nên được triển khai thay vì chỉ định một sản phẩm hay biện pháp kiểm soát cụ thể và chi tiết hóa các thiết lập cài đặt cấu hình. Chúng phác thảo các phương pháp luận, bao gồm các hành động được đề xuất và không bắt buộc. Các Thủ tục Bảo mật Các thủ tục là thành phần cuối cùng của cấu trúc chính sách bảo mật được chính thức hóa. Một thủ tục hoặc thủ tục vận hành tiêu chuẩn (standard operating procedure – SOP) là một tài liệu hướng dẫn chi tiết từng bước mô tả chính xác các hành động cần thiết để triển khai một cơ chế, biện pháp kiểm soát hoặc giải pháp bảo mật cụ thể. Một thủ tục có thể trình bày về toàn bộ hoạt động triển khai hệ thống hoặc chỉ tập trung vào một sản phẩm hoặc khía cạnh duy nhất. Chúng phải được cập nhật khi phần cứng và phần mềm của hệ thống phát triển. Mục đích của một thủ tục là đảm bảo tính toàn vẹn của các quy trình nghiệp vụ thông qua sự tiêu chuẩn hóa và tính nhất quán của các kết quả. Ở trên đỉnh của cấu trúc tài liệu về chính sách bảo mật đã được chính thức hóa sẽ có ít tài liệu hơn vì chúng bao gồm những cuộc thảo luận chung rộng rãi về cái nhìn tổng quan và mục tiêu. Sẽ có nhiều tài liệu hơn khi đi xuống dưới cấu trúc được chính thức hóa (hay nói cách khác, hướng dẫn và thủ tục) vì chúng chứa các chi tiết cụ thể cho một số hệ thống, mạng, bộ phận và khu vực hạn chế. 137 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Việc giữ cho những tài liệu này như các thực thể tách biệt mang lại những lợi ích sau đây: ▪ Không phải mọi người dùng đều cần biết đến các tiêu chuẩn, đường cơ sở, hướng dẫn và thủ tục bảo mật cho tất cả các cấp độ phân loại bảo mật. ▪ Khi những thay đổi xảy ra, việc cập nhật và phân phối lại chỉ những tài liệu bị ảnh hưởng sẽ dễ dàng hơn là cập nhật một chính sách nguyên khối và tái phân phối lại nó trong toàn bộ tổ chức. Rất nhiều tổ chức đấu tranh chỉ để xác định các tham số cơ bản về bảo mật của họ, ít chi tiết hơn nhiều về mọi khía cạnh riêng lẻ của những hoạt động hàngngày của họ. Tuy nhiên, xét về lý thuyết, một chính sách bảo mật chi tiết và hoàn chỉnh sẽ hỗ trợ bảo mật trong thế-giới-thực một cách có định hướng, hiệu quả và cụ thể. Chỉ khi tài liệu chính sách bảo mật được được hoàn thiện một cách hợp lý, nó mới có thể được sử dụng để hướng dẫn cho các quyết định, đào tạo người dùng mới, ứng phó với các vấn đề và dự đoán xu hướng để mở rộng trong tương lai. Mô hình hóa Mối đe dọa Mô hình hóa mối đe dọa là tiến trình bảo mật trong đó những mối đe dọa tiềm ẩn được xác định, phân loại và phân tích. Mô hình hóa mối đe dọa có thể được thực hiện như một biện pháp chủ động trong quá trình thiết kế và phát triển hoặc như một biện pháp ứng phó khi một sản phẩm đã được triển khai. Trong cả hai trường hợp, quá trình này sẽ xác định thiệt hại tiềm ẩn, xác suất xảy ra, độ ưu tiên của mối quan tâm, và phương tiện để loại bỏ hoặc giảm thiểu mối đe dọa. Mô hình hóa mối đe dọa không có nghĩa là một sự kiện đơn lẻ. Thay vào đó, nó có nghĩa là được khởi đầu ngay từ sớm trong quá trình thiết kế của một hệ thống và tiếp tục trong suốt vòng đời của nó. Ví dụ, Microsoft sử dụng Vòng đời Phát triển Bảo mật (Security Development Lifecycle – SDL) (www.microsoft.com/enus/securityengineering/sdl) với phương châm “Bảo mật bằng Thiết kế, Bảo mật theo Mặc định, Bảo mật khi Triển khai và Truyền thông” (Secure by Design, Secure by Default, Secure in Deployment and Communication ) (còn được gọi là SD3+C). Có hai mục đích cần được lưu ý trong quá trình nà y: 138 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Để giảm thiểu số lượng các khiếm khuyết trong thiết kế và lập trình liênquan-đến-bảo-mật, ▪ Để giảm thiểu mức độ nghiêm trọng của bất kỳ khiếm khuyết nào còn sót lại. Một phương pháp tiếp cận để phòng thủ đối với mô hình hóa mối đe dọa diễn ra trong những giai đoạn ban đầu của phát triển hệ thống, đặc biệt là trong quá trình thiết kế ban đầu và xác lập các thông số đặc tả kỹ thuật. Phương pháp này căn cứ vào việc dự đoán các mối đe họa và thiết kế các biện pháp phòng thủ cụ thể trong quá trình viết mã và chế tạo. Trong hầu hết các trường hợp, các giải pháp bảo mật được tích hợp có hiệu-quả-chi-phí hơn và thành công hơn là những giải pháp được cải tiến sau đó. Mặc dù không phải là một thuật ngữ chính thức nhưng khái niệm này có thể được coi là một phương pháp tiếp cận chủ động để quản lý mối đe dọa. Thật không may, không phải tất cả các mối đe dọa đều có thể dự đoán được trong giai đoạn thiết kế, do đó một phương pháp tiếp cận ứng phó đối với quản lý mối đe dọa vẫn là điều cần thiết để giải quyết những vấn đề không nhìn thấy trước được. Khái niệm này thường được gọi là săn tìm mối đe dọa (threat hunting) hoặc có thể được tham chiếu như là một phương pháp tiếp cận đối kháng (adversarial approach). Một phương pháp tiếp cận đối kháng để mô hình hóa mối đe dọa diễn ra sau khi một sản phẩm đã được tạo ra và được triển khai. Triển khai này có thể là trong một môi trường thử nghiệm hoặc trong phòng thí nghiệm hoặc trong không gian thị trường chung. Kỹ thuật săn tìm mối đe dọa này là khái niệm cốt lõi đằng sau tin tặc đạo đức, kiểm nghiệm xâm nhập, xem xét mã nguồn, và kiểm tra fuzz. Mặc dù những tiến trình này thường rất hữu ích trong việc tìm ra những khuyết điểm và mối đe dọa nhưng rất tiếc, chúng thường dẫn đến những nỗ lực bổ sung trong việc lập trình để viết thêm mã trong những biện pháp đối phó mới, thường được phát hành như các bản vá lỗi. Điều này dẫn đến các biện pháp cải tiến bảo mật kém hiệu quả hơn (thông qua việc mô hình hóa mối đe dọa mang tính phòng thủ) với chi phí có thể làm giảm tính năng và độ-thân-thiện-với-người-dùng. 139 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Kiểm tra fuzz là một kỹ thuật kiểm nghiệm động được chuyên môn hóa để cung cấp rất nhiều kiểu đầu vào cho phần mềm để kéo căng những giới hạn của nó và tìm ra những khuyết điểm chưa được phát hiện trước đây. Hãy xem Chương 15 để biết thêm chi tiết về kiểm tra fuzz. Xác định các Mối đe dọa Các mối đe dọa có khả năng là gần như vô hạn, do đó, điều quan trọng là phải sử dụng một phương pháp tiếp cận có cấu trúc để xác định một cách chính xác những mối đe dọa có liên quan. Ví dụ, một số tổ chức sử dụng một hay nhiều phương pháp tiếp cận dưới đây: ▪ Trọng tâm là Tài sản Phương pháp này sử dụng những kết quả định giá tài sản và cố gắng xác định những mối đe dọa với những tài sản có giá trị. ▪ Trọng tâm là Kẻ tấn công Một số tổ chức có khả năng xác định những kẻ tấn công tiềm năng và có thể xác định những mối đe dọa mà chúng đại diện dựa trên động cơ, mục đích, mục tiêu, hoặc chiến thuật, kỹ thuật và các thủ tục (TTPs) của kẻ tấn công. ▪ Trọng tâm là Phần mềm Nếu một tổ chức phát triển phần mềm, nó có thể cân nhắc những mối đe dọa chống lại phần mềm. Một điều khá phổ biến là ghép các mối đe dọa với những lỗ hổng để xác định các mối đe dọa có thể khai thác tài sản và thể hiện cho những rủi ro đáng kể đối với tổ chức. Một mục đích tối hậu của việc mô hình hóa mối đe dọa là để ưu tiên các mối đe dọa tiềm ẩn so với những tài sản có giá trị của tổ chức. Khi cố gắng kiểm kê và phân loại các mối đe dọa, thường sẽ rất hữu ích khi sử dụng một hướng dẫn hoặc một tham chiếu. Microsoft đã phát triển một lược đồ phân loại các mối đe dọa còn được gọi là mô hình mối đe dọa STRIDE. STRIDE là một từ viết tắt của: ▪ Spoofing (Lừa bịp) Một cuộc tấn công với mục đích chiếm được quyền truy cập vào một hệ thống được nhắm mục tiêu thông qua việc sử dụng một danh tính bị giả mạo. Khi một kẻ tấn công làm giả danh tính của chúng bằng một danh tính hợp pháp hoặc hợp lệ, chúng thường có khả năng vượt qua các bộ lọc và sự phong tỏa đối với quyền truy cập trái phép. 140 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Tampering (Can thiệp) Bất kỳ hành động nào dẫn đến những thay đổi trái phép hoặc thao túng dữ liệu, bất kể trong quá trình truyền tải hoặc đang lưu trữ. ▪ Repudiation (Thoái thác) Khả năng mà một người dùng hoặc kẻ tấn công thoái thác việc đã thực hiện một hành động hoặc hoạt động bằng cách duy trì sự khước từ hợp lý. Các cuộc tấn công thoái thác cũng có thể dẫn đến việc các bên thứ ba vô tội bị đổ lỗi cho các vi phạm bảo mật. ▪ Information disclosure ( Tiết lộ thông tin) Tiết lộ hoặc phân phát thông tin riêng tư, bí mật hoặc được kiểm soát cho các thực thể bên ngoài hoặc thực thể trái phép. ▪ Denial of service (DoS) (Từ chối dịch vụ) Một cuộc tấn công cố gắng ngăn chặn việc sử dụng tài nguyên hợp pháp. Việc này có thể được thực hiện thông qua sự khai thác khuyết điểm, làm quá tải kết nối, hoặc gây ngập lụt lưu lượng. ▪ Elevation of privilege (Leo thang đặc quyền) Một cuộc tấn công khi một tài khoản người dùng bị giới hạn được chuyển đổi thành một tài khoản có những đặc quyền, quyền hạn và quyền truy cập nhiều hơn. Quá trình Mô phỏng Cuộc tấn công và Phân tích Mối đe dọa (Process for Attack Simulation and Threat Analysis – PASTA) là một phương pháp luận mô hình hóa mối đe dọa bao gồm 7-giai-đoạn. PASTA là một phương pháp tiếp cận tập-trungvào-rủi-ro (lấy rủi ro làm trung tâm) nhằm lựa chọn hoặc phát triển các biện pháp đối phó liên quan đến giá trị cần được bảo vệ. Dưới đây là 7 bước của PASTA: ▪ Giai đoạn 1: Xác định Mục tiêu (Definition of the Đối tượngives – DO) đối với quá trình Phân tích R ủi ro. ▪ Giai đoạn 2: Xác định Phạm vi Kỹ thuật (Definition of the Technical Scope – DTS). ▪ Giai đoạn 3: Phân rã và Phân tích Ứng dụng (Application Decomposition and Analysis – ADA). ▪ Giai đoạn 4: Phân tích Mối đe dọa (Threat Analysis – TA). ▪ Giai đoạn 5: Phân tích Điểm yếu và Lỗ hổng (Weakness and Vulnerabilities Analysis – WVA). 141 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Giai đoạn 6: Mô hình hóa và Mô phỏng Cuộc tấn công (Attack Modeling & Simulation – AMS). ▪ Giai đoạn 7: Phân tích và Quản lý Rủi ro (Risk Analysis & Management – RAM). Mỗi giai đoạn của PASTA đều có một danh sách các mục tiêu cụ thể để đạt được và các sản phẩm có thể chuyển giao để tạo ra nhằm hoàn tất giai đoạn. Để biết thêm thông tin về PASTA, hãy đọc thêm Risk Centric Threat Modeling: Process for Attack Simulation and Threat Analysis (tạm dịch: Mô hình hóa Mối đe dọa lấy Rủi ro làm Trung tâm: Quá trình Mô phỏng Cuộc tấn công và Phân tích Mối đe dọa) (Wiley, 2015) của tác giả Tony Uceda Velez và Marco M. Morana. Visual, Agile, and Simple Threat ( Mối đe dọa Trực quan, Nhanh nhạy và Đơn giản) là một khái niệm mô hình hóa m ối đe dọa tích hợp quản lý mối đe dọa và quản lý rủi ro thành một môi trường lập trình Agile trên cơ sở có khả năng mở rộng (xem Chương 20, “Bảo mật Phát triển Phần mềm”, liên quan đến Agile). Đây chỉ là một vài trong số một loạt các khái niệm và phương pháp luận về mô hình hóa mối de dọa đang sẵn có từ các nhóm cộng đồng, các thực thể thương mại, các cơ quan chính phủ, và các hiệp hội quốc tế. Cảnh báo về các Mối đe dọa Cá nhân Cạnh tranh thường là một phầ n quan trọng của tăng trưởng kinh doanh, nhưng cạnh tranh quá mức đối nghịch có thể làm gia tăng mức đ ộ đe dọa từ các cá nhân. Ngoài tin tặc tội phạm và những nhân viên bất mãn, đối thủ, nhà thầu, nhân viên và thậm chí cả các đối tác đáng tin cậy cũng có thể là mối đe dọa cho một tổ chức nếu các mối quan hệ trở nên xấu đi. Những mối đe dọa tiềm ẩn đối với doanh nghiệp của bạn rất rộng và đa dạng. Một công ty phải đối mặt với những mối đe dọa từ thiên nhiên, công nghệ và con người. Hãy luôn cân nhắc đến những kết quả khả thi tốt nhất và tệ nhất từ các hành động, quyết định và tương tác của tổ chức của bạn. Việc xác định các mối đe dọa là bước đầu tiên hướng đến việc thiết kế những biện pháp phòng thủ 142 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống để giúp giảm thiểu hoặc loại bỏ thời gian ngừng hoạt động, sự xâm phạm, và tổn thất. Xác định và Lập sơ đồ Các cuộc tấn công Tiềm năng Bước tiếp theo trong mô hình hóa m ối đe dọa là xác định các khái niệm tấn công tiềm năng có thể trở thành hiện thực. Việc này thường được hoàn thành thông qua việc tạo ra một sơ đồ bao gồm các phần tử tham gia vào một giao dịch cùng với những chỉ báo về luồng dữ liệu và ranh giới đặc quyền (Hình 1.4). Hình ảnh này minh họa từng thành phần chính của một hệ thống, những ranh giới giữa các khu vực bảo mật, và luồng hoặc chuyển động tiềm năng của thông tin và dữ liệu. Đây là một cái nhìn tổng quan cấp-cao và không phải là một đánh giá chi tiết về logic viết mã. Tuy nhiên, đối với những hệ thống phức tạp hơn, nhiều sơ đồ có thể cần phải được tạo ra tại những điểm trọng tâm khác nhau và ở những mức độ phóng đại chi tiết khác nhau. Khi sơ đồ đã được tạo ra, hãy xác định tất cả những công nghệ có liên quan. Tiếp theo, hãy xác định các cuộc tấn công có thể được nhắm mục tiêu đến từng phần tử của sơ đồ. Hãy lưu ý rằng tất cả những hình thức tấn công nên được xem xét, bao gồm cả logic/kỹ thuật, vật lý và xã hội. Quá trình này sẽ nhanh chóng dẫn bạn đến giai đoạn tiếp theo của mô hình hóa mối đe dọa: phân tích sự biến đổi. Thực hiện Phân tích Sự biến đổi Bước tiếp theo trong mô hình hóa mối đe dọa là thực hiện phân tích sự biến đổi. Phân tích sự biến đổi (reduction analysis) còn được gọi là phân rã (decomposing) ứng dụng, hệ thống hoặc môi trường. Mục đích của nhiệm vụ này là để có được hiểu biết tốt hơn về logic của sản phẩm, các thành phần bên trong của nó, cũng như là những tương tác của nó với các phần tử bên ngoài. Dù là một ứng dụng, một hệ thống hay toàn bộ một môi trường, nó đều cần phải được chia thành những vùng chứa hoặc ngăn chứa nhỏ hơn. Đó có thể là các chương trình con, các mô-đun hoặc đối tượng nếu bạn đang tập trung vào phần mềm, máy tính hoặc Hệ điều hành, chúng có thể là các giao thức nếu bạn đang tập trung vào hệ thống hoặc mạng, hoặc chúng có thể là các phòng ban, nhiệm vụ và mạng 143 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống nếu bạn đang tập trung vào toàn bộ cơ sở hạ tầng doanh nghiệp. Mỗi phần tử đã được xác định phải được đánh giá để tìm hiểu đầu vào, quá trình xử lý, bảo mật, quản lý dữ liệu, lưu trữ và kết quả đầu ra. HÌNH 1.4 Một ví dụ về việc lập sơ đồ để tiết lộ các mối quan tâm về mối đe dọa Trong quá trình phân rã, bạn phải xác định 5 khái niệm then chốt, bao gồm: ▪ Những Ranh giới Tin cậy Bất kỳ vị trì nào nơi mức độ tin cậy hoặc bảo mật thay đổi. ▪ Lộ trình Luồng dữ liệu Sự chuyển động của dữ liệu giữa các vị trí. ▪ Các Điểm Đầu vào Những vị trí nơi nhận được các đầu vào từ bên ngoài. ▪ Hoạt động Đặc quyền Bất kỳ hoạt động nào yêu cầu đặc quyền nhiều hon một tài khoản người dùng hoặc một tiến trình tiêu chuẩn, thường đòi hỏi phải thực hiện việc thay đổi hệ thống hoặc sửa đổi bảo mật. ▪ Chi tiết về Lập trường và Phương pháp tiếp cận Bảo mật Tuyên bố về chính sách bảo mật, nền tảng bảo mật, và những giả định bảo mật. 144 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Việc chia nhỏ một hệ thống thành các bộ phận cấu thành của nó khiến cho việc xác định những thành phần thiết yếu của từng phần tử trở nên dễ dàng hơn, cũng như dễ dàng lưu ý đến các lỗ hổng và các trọng điểm của cuộc tấn công. Bạn càng hiểu chính xác về cách một chương trình, hệ thống hoặc môi trường vận hành như thế nào thì bạn càng dễ dàng hơn trong việc xác định các mối đe dọa đối với nó. Khi các mối đe dọa đã được xác định, chúng nên được lập thành tài liệu một cách đầy đủ bằng cách xác định ý nghĩa, mục tiêu và hậu quả từ một mối đe dọa. Hãy cân nhắc việc bao gồm những kỹ thuật cần thiết để triển khai việc khai thác cũng như liệt kê các biện pháp ứng phó và bảo vệ tiềm năng. Thiết lập độ ưu tiên và Biện pháp ứng phó Sau khi lập thành văn bản, bước tiếp theo là xếp hạng (rank) hoặc phân cấp (rate) các mối đe dọa. Việc này có thể được hoàn thành bằng cách sử dụng một loạt các kỹ thuật, chẳng hạn như xếp hạng Xác suất x Thiệt hại Tiềm ẩn (Probability x Damage Potential), phân cấp cao/trung bình/thấp, hoặc hệ thống DREAD. Kỹ thuật xếp hạng Xác suất x Thiệt hại Tiềm ẩn tạo ra một con số của mức độ nghiêm trọng của rủi ro trên một thang đo từ 1 đến 100, trong đó 100 là khả năng rủi ro nghiêm trọng nhất. Mỗi một trong số hai giá trị ban đầu có thể được gán các số từ 1 đến 10, với 1 là thấp nhất và 10 là cao nhất. Cách xếp hạng này có thể hơi tùy tiện và chủ quan, nhưng vì cùng một người hoặc một nhóm sẽ chỉ định các con số cho tổ chức của họ nên nó vẫn sẽ dẫn đến các giá trị đánh giá chính xác trên cơ sở tương đối. Quá trình phân cấp cao/trung bình/thấp (1/2/3 hoặc xanh lá cây/vàng/đỏ) thậm chí còn đơn giản hơn. Nó tạo ra một ma trận rủi ro cơ bản hoặc một bản đồ nhiệt (Hình 1.5). Giống như với bất kỳ phương tiện đánh giá rủi ro nào khác, mục đích đều là giúp thiết lập mức độ ưu tiên trọng yếu. Bằng cách sử dụng ma trận rủi ro, mỗi một mối đe dọa có thể được chỉ định một xác suất và mức độ thiệt hại. Sau đó, khi hai giá trị này được so sánh, kết quả là một giá trị kết hợp ở đâu đó nằm trong chín ô vuông. Những mối đe dọa trong khu vực HH (xác suất cao/thiệt hại cao) được ưu tiên và quan tâm nhất, trong khi những mối đe dọa 145 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống trong khu vực LL (xác suất thấp/thiệt hại thấp) ít được ưu tiên và quan tâm nhất. Hệ thống phân cấp Thảm họa, Có khả năng tái tạo, Có khả năng khai thác, Những người dùng bị ảnh hưởng và Có khả năng phát hiện (Disaster, Reproducibility, Exploitability, Affected Users , Discoverability) được thiết kế để cung cấp một giải pháp xếp hạng linh hoạt dựa trên các câu trả lời cho 5 câu hỏi chính về từng mối đe dọa: Thiệt hại Tiềm năng Thiệt hại có khả năng nghiêm trọng đến mức nào nếu mối đe dọa được hiện thực hóa? Khả năng tái tạo Mức độ phức tạp đến mức nào đối với những kẻ tấn công để tái khai thác? Khả năng khai thác Mức độ khó khăn như thế nào để thực hiện một cuộc tấn công? Người dùng bị ảnh hưởng Bao nhiêu người dùng có khả năng bị ảnh hưởng bởi cuộc tấn công (theo tỷ lệ phần trăm)? Khả năng phát hiện Kẻ tấn công khó phát hiện ra điểm yếu đến mức nào? HÌNH 1.5 Một ma trận rủi ro hay một bản đồ nhiệt rủi ro 146 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Khi các mức ưu tiên của mối đe dọa đã được thiết lập, những biện pháp ứng phó với các mối đe dọa đó cần phải được xác định. Những công nghệ và quy trình để khắc phục các mối đe dọa nên được cân nhắc và ưu tiên theo chi phí và tính hiệu quả của chúng. Các phương án ứng phó nên bao gồm việc thực hiện những điều chỉnh đối với kiến trúc phần mềm, sửa đổi các hoạt động và quy trình, và triển khai các thành phần phòng thủ và phát hiện. Quá trình này tương tự như quy trình quản lý rủi ro đã được thảo luận trong Chương 2. Sự khác biệt giữa hai quy trình này nằm ở chỗ các mối đe dọa là trọng tâm của mô hình hóa mối đe dọa trong khi những tài sản mới là trọng tâm của quản lý rủi ro. Quản lý Rủi ro Chuỗi Cung ứng Việc áp dụng những khái niệm quản lý dựa-trên-rủi-ro cho chuỗi cung ứng là một phương tiện để đảm bảo cho chiến lược bảo mật thành công và mạnh mẽ hơn trong tổ chức ở mọi quy mô. Một chuỗi cung ứng là ý tưởng rằng hầu hết các máy tính, thiết bị, mạng, hệ thống, và thậm chí ngay cả các dịch vụ đám mây đều không được xây dựng bởi một thực thể đơn lẻ. Trong thực tế, hầu hết các công ty mà chúng ta đã biết đến như là những nhà sản xuất máy tính và thiết bị thường thực hiện công đoạn lắp ráp sau cùng thay vì sản xuất toàn bộ các linh kiện riêng lẻ. Thông thường thì CPU, bộ nhớ, bộ điều khiển ổ đĩa, ổ cứng, SSD và card màn hình đều được sản xuất bởi các nhà cung cấp bên-thứba khác. Ngay cả những nhà cung cấp hàng hóa này cũng không chắc đã tự khai thác kim loại hoặc xử lý dầu cho nhựa dẻo hoặc khắc silicon trên con chip của họ. Do đó, bất kỳ hệ thống hoàn thiện nào cũng đều có một lịch sử lâu dài và phức tạp, hay còn được gọi là chuỗi cung ứng của nó, đã cho phép nó ra đ ời. Quản lý rủi ro chuỗi cung ứng (supply chain risk management - SCRM) là phương tiện để đảm bảo rằng tất cả các nhà cung cấp hoặc liên kết trong chuỗi cung ứng là những tổ chức chắc chắn, đáng tin cậy, có uy tín khi công khai những thực tiễn và yêu cầu bảo mật cho các đối tác kinh doanh của họ (mặc dù không nhất thiết phải công khai). Mỗi mắt xích trong chuỗi phải chịu trách nhiệm và trách nhiệm nhiệm giải trình trước mắt xích tiếp theo trong chuỗi. Mỗi chuyển giao quyền kiểm soát đều phải được tổ chức, ghi chép, quản lý và kiểm toán một 147 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống cách đúng đắn. Mục tiêu của một chuỗi cung ứng an toàn là đảm bảo rằng các thành phẩm đạt chất lượng, đáp ứng các mục tiêu về hiệu suất và hoạt động, đồng thời cung cấp các cơ chế bảo mật đã được nêu và không có bất kỳ điểm nào trong quá trình này bị làm giả hoặc bị thao túng trái phép hoặc độc hại hoặc phá hoại. Khi đánh giá rủi ro của tổ chức, hãy cân nhắc đến các yếu tố bên ngoài có thể gây ảnh hưởng đến tổ chức, đặc biệt là liên quan đến sự ổn định của công ty và tính sẵn sàng của nguồn lực. Chuỗi cung ứng có thể là một véc-tơ đe dọa, nơi tài liệu, phần mềm, phần cứng hoặc dữ liệu được lấy từ một nguồn được cho là đáng tin cậy nhưng chuỗi cung ứng đằng sau nguồn đó có thể đã bị xâm phạm và tài sản bị nhiễm độc hoặc bị sửa đổi. Chuỗi cung ứng của một tổ chức nên được đánh giá để xác định những rủi ro mà nó [có thể] gây ra cho tổ chức. Tổ chức có đang hoạt động trên cơ sở kịp-thời (just-in-time) khi mà nguyên vật liệu vừa được giao ngay trước đó hay ngay khi sản xuất cần đến? Nếu có bất kỳ sự chậm trễ nào trong việc giao hàng, liệu rằng sẽ có bất kỳ vật liệu dư thừa hoặc dự phòng nào có thể được sử dụng để duy trì sản xuất trong khi các hoạt động của chuỗi cung ứng được tái lập không? Hầu hết các tổ chức đều dựa vào các sản phẩm được sản xuất bởi các đơn vị khác. Hầu hết các sản phẩm đó được sản xuất như một phần của chuỗi cung ứng dài và phức tạp. Các cuộc tấn công vào chuỗi cung ứng đó có thể dẫn đến các sản phẩm bị sai sót hoặc kém tin cậy hơn hoặc có thể cho phép cơ chế nghe lén hoặc truy cập từ xa được nhúng vào thiết bị hoạt động khác. Các cuộc tấn công chuỗi cung ứng thể hiện một rủi ro có thể rất khó giải quyết. Một tổ chức có thể chọn kiểm tra tất cả các thiết bị để giảm thiểu nguy cơ các thiết bị đã sửa đổi đi vào trong mạng sản xuất của mình. Tuy nhiên, v ới quá trình thu nhỏ (miniaturization), có thể gần như không thể phát hiện ra một con chip phụ được đặt trên bo mạch chủ của thiết bị. Ngoài ra, sự thao túng có thể diễn ra thông qua firmware hoặc phần mềm thay vì phần cứng. Các tổ chức có thể chọn nguồn sản phẩm từ các nhà cung cấp đáng tin cậy và có uy tín, hoặc thậm chí có thể cố gắng sử dụng các nhà cung cấp đang sản xuất hầu hết các sản phẩm của họ trong nội địa. 148 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống * Chú thích: miniaturization là quá trình thu nhỏ kích thước của các vật thể. Trong nhiều trường hợp, việc giám sát, quản lý và đánh giá bảo mật liên tục có thể là bắt buộc. Đây có thể là một thực tiễn tốt nhất trong ngành hoặc là một quy định. Việc đánh giá và giám sát chuỗi cung ứng như vậy có thể được thực hiện bởi tổ chức chính hoặc tổ chức ở phần cuối-của-chuỗi hoặc có thể đòi hỏi việc sử dụng các chuyên gia đánh giá bên ngoài. Khi s ử dụng các dịch vụ giám sát và đánh giá của bên-thứ-ba, hãy lưu ý rằng từng thành phần của thực thể trong chuỗi cung ứng cần phải thể hiện khuynh-hướng-bảo-mật trong hoạt động kinh doanh của họ. Nếu như một tổ chức không thể quản lý hoạt động của chính họ trên cơ sở bảo mật thì làm thế nào để họ có thể cung cấp các chức năng quản lý bảo mật đáng tin cậy cho chuỗi cung ứng? Khi có thể, hãy xác lập các yêu cầu bảo mật tối thiểu cho từng thực thể trong chuỗi cung ứng. Các yêu cầu bảo mật đối với phần cứng, phần mềm hoặc dịch vụ mới phải luôn đáp ứng hoặc vượt quá mức bảo mật mong đợi trong sản phẩm cuối cùng. Điều này thường đòi hỏi phải xem xét chi tiết SLA, hợp đồng và hiệu suất thực tế. Điều này là để đảm bảo rằng bảo mật là một thành phần được chỉ định của các dịch vụ đã được ký hợp đồng. Khi một nhà cung cấp thành phần của chuỗi cung ứng đang tạo ra phần mềm hoặc đang cung cấp dịch vụ (chẳng hạn như nhà cung cấp dịch vụ đám mây) thì có thể cần phải xác định yêu cầu mức-dịch-vụ (SLR). Một SLR là một tuyên bố về các kỳ vọng về dịch vụ và hiệu suất từ sản phẩm hoặc dịch vụ của một nhà cung cấp. Thông thường, một SLR được khách hàng cung cấp trước khi thiết lập SLA (nên kết hợp các yếu tố của SLR nếu như nhà cung cấp mong đợi khách hàng ký vào thỏa thuận). Tóm tắt Quản trị bảo mật, các khái niệm quản lý và các nguyên tắc là những phần tử cố hữu trong một chính sách bảo mật và trong việc triển khai bảo mật. Chúng xác định những tham số cơ sở cần thiết cho một môi trường bảo mật. Chúng đồng thời cũng xác định những mục đích và mục tiêu mà cả các nhà thiết kế chính sách và người triển khai hệ thống phải đạt được nhằm tạo ra một giải pháp bảo mật. 149 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mục đích và mục tiêu chủ yếu của bảo mật được gói gọn trong Bộ ba CIA: tính bảo mật, tính toàn vẹn và tính sẵn sàng. Tính bảo mật là nguyên tắc rằng các đối tượng không được tiết lộ cho những chủ thể trái phép. Tính toàn vẹn là nguyên tắc rằng các đối tượng vẫn giữ được tính chính xác của chúng và chỉ được sửa đổi một cách có mục đích chỉ bởi những chủ thể hợp pháp. Tính sẵn sàng là nguyên tắc rằng các chủ thẻ hợp pháp được cấp quyền truy cập một cách kịp thời và không bị gián đoạn đến các đối tượng. Những khái niệm và nguyên tắc bảo mật khác cũng nên được cân nhắc và xác định khi thiết kế một chính sách bảo mật và triển khai một giải pháp bảo mật bao gồm xác đ ịnh, xác thực, cấp phép, không khước từ, phòng thủ có chiều sâu, trừu tượng hóa, ẩn giấu dữ liệu, và mã hóa. Những vai trò bảo mật xác đ ịnh xem ai chịu trách nhiệm cho b ảo mật của những tài sản của một tổ chức. Các vai trò phổ biến bao gồm các nhà quản lý cấp cao, các chuyên gia bảo mật, chủ sở hữu dữ liệu, người bảo quản, người dùng, và kiểm toán viên. Một cấu trúc chính sách bảo mật chính thức cấu thành từ các chính sách, tiêu chuẩn, đường cơ sở, hướng dẫn và thủ tục. Những tài liệu riêng lẻ này là những phần tử thiết yếu đối với việc thiết kế và triển khai bảo mật trong bất kỳ môi trường nào. Để có hiệu quả, phương pháp tiếp cận đối với quản lý bảo mật phải là phương pháp tiếp cận từ-trên-xuống. Mô hình hóa mối đe dọa là quy trình bảo mật khi các mối đe dọa tiềm ẩn được xác định, phân loại và phân tích. Mô hình hóa m ối đe dọa có thể được thực hiện như một biện pháp chủ động trong quá trình thiết kế và phát triển hoặc như một biện pháp ứng phó khi một sản phẩm đã được triển khai. Trong cả hai trường hợp, quy trình đều xác định những thiệt hại tiềm ẩn, xác suất xảy ra, độ ưu tiên của mối quan tâm, và biện pháp để loại bỏ hoặc giảm thiểu mối đe dọa. Việc tích hợp quản lý rủi ro an ninh mạng với chuỗi cung ứng, các chiến lược mua lại, và những thực tiễn kinh doanh là một phương tiện để đảm bảo một chiến lược bảo mật thành công và mạnh mẽ hơn trong các tổ chức ở mọi quy mô. Khi mua sắm được thực hiện mà không có những cân nhắc bảo mật thì nhữn rủi 150 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ro cố hữu trong các sản phẩm đó vẫn tồn tại trong suốt vòng đời triển khai của chúng. Những điều thiết yếu cho Kỳ thi Hiểu các phần tử của Bộ ba CIA về tính bảo mật, tính toàn v ẹn và tính sẵn sàng. Tính bảo mật là nguyên tắc rằng các đối tượng không được tiết lộ cho những chủ thể trái phép. Tính toàn vẹn là nguyên tắc rằng các đối tượng vẫn giữ được tính chính xác của chúng và chỉ được sửa đổi một cách có mục đích chỉ bởi những chủ thể hợp pháp. Tính sẵn sàng là nguyên tắc rằng các chủ thẻ hợp pháp được cấp quyền truy cập một cách kịp thời và không bị gián đoạn đến các đối tượng. Hiểu được các phần tử của các dịch vụ AAA. AAA được tạo thành từ nhận dạng, xác thực, cấp phép, kiểm toán, và trách nhiệm giải trình. Có khả năng giải thích cách thức quá trình nhận dạng hoạt động như thế nào. Nhận dạng là quá trình mà theo đó, m ột chủ thể sở hữu một danh tính và và trách nhiệm giải trình được khởi đầu. Một chủ thể phải cung cấp một danh tính cho một hệ thống để bắt đầu quá trình xác thực, cấp phép và trách nhiệm giải trình. Hiểu được quá trình xác thực. Xác thực là quá trình xác minh hoặc kiểm tra rằng một danh tính đã được tuyên bố là hợp lệ. Xác thực đòi hỏi những thông tin từ chủ thể cần phải được phản hồi một cách chính xác đ ối với danh tính đã được nêu. Biết được cách mà quá trình xác th ực khớp với một kế hoạch bảo mật như thế nào. Khi một chủ thể đã được xác thực, quyền truy cập của chủ thể phải được cấp phép. Quá trình cấp phép đảm bảo rằng hoạt động đã được yêu cầu hoặc quyền truy cập của đối tượng là khả thi với các quyền và đặc quyền được chỉ định cho danh tính đã được xác thực. Có khả năng giải thích về quá trình kiểm toán. Kiểm toán là phương tiện có tính chương trình mà theo đó các ch ủ thể giữ trách nhiệm giải trình cho các hành đ ộng của họ khi đã được xác thực trên một hệ thông thông qua việc lập thành văn bản hoặc ghi lại các hành động của chủ thể. 151 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Hiểu được tầm quan trọng của trách nhiệm giải trình. Bảo mật chỉ có thể được duy trì nếu các chủ thể giữ được trách nhiệm giải trình cho những hành động của họ. Trách nhiệm giải trình hiệu quả dựa trên khả năng chứng minht danh tính của một chủ thể và theo dõi các hoạt động của họ. Có khả năng giải thích về khái niệm không khước từ. Không khước từ đảm bảo rằng chủ thể của một hành động hoặc sự kiện không thể thoái thác về sự kiện đã xảy ra. Nó ngăn một chủ thể khỏi việc tuyên bố đã không gửi một thông điệp, không thực hiện một hành động hoặc không phải nguyên nhân của một sự kiện. Hiểu về phòng thủ có chiều sâu. Phòng thủ có chiều sâu, hay còn được gọi là phân lớp, chỉ đơn giản là sử dụng nhiều biện pháp kiểm soát theo một chuỗi. Việc sử dụng giải pháp có nhiều lớp hỗ trợ nhiều biện pháp kiểm soát khác nhau để bảo vệ chống lại bất kỳ mối đe dọa nào xảy ra. Có khả năng giải thích khái niệm trừu tượng hóa. Trừu tượng hóa được sử dụng để tập hợp các phần tử tương tự nhau thành các nhóm, các lớp hoặc các vai trò được chỉ định các biện pháp kiểm soát bảo mật, các giới hạn, hoặc quyền hạn cho toàn bộ tập hợp. Nó tăng thêm tính hiệu quả khi tiến hành một kế hoạch bảo mật. Hiểu về ẩn giấu dữ liệu. Ẩn giấu dữ liệu chính xác như tên gọi của nó: ngăn không cho chủ thể phát hiện hoặc truy cập dữ liệu. Đây thường là một phần tử quan trọng trong kiểm soát bảo mật cũng như trong lập trình. Biết về các ranh giới bảo mật. Ranh giới bảo mật là đường giao nhau giữa hai khu vực, mạng con hoặc môi trường bất kỳ có các yêu cầu hoặc nhu cầu bảo mật khác nhau. Hiểu về quản trị bảo mật. Quản trị bảo mật là tập hợp các thông lệ liên quan đến việc hỗ trợ, xác định và định hướng các nỗ lực bảo mật của một tổ chức. Biết về quản trị bên-thứ-ba. Quản trị bên-thứ-ba là hệ thống giám sát của thực thể bên ngoài có thể bị bắt buộc bởi luật pháp, quy định, tiêu 152 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống chuẩn ngành, nghĩa vụ hợp đồng hoặc các yêu cầu cấp phép. Phương pháp quản trị thực tế có thể khác nhau, nhưng thường liên quan đến các điều tra viên hoặc kiểm toán viên bên ngoài. Hiểu quá trình xem xét tài liệu. Xem xét tài liệu là quá trình đọc các tài liệu đã được trao đổi và xác minh chúng theo các tiêu chu ẩn và kỳ vọng. Trong rất nhiều tình huống, đặc biệt là liên quan đến các cơ quan chính phủ hoặc quân đội hoặc nhà thầu, thất bại trong việc cung cấp đủ tài liệu để đáp ứng các yêu cầu quản lý của bên thứ ba có thể dẫn đến mất hoặc thiếu khuyết quyền hoạt động (ATO). Hiểu sự liên kết của chức năng bảo mật với chiến lược, mục đích, sứ mệnh và mục tiêu kinh doanh. Việc hoạch định quản lý bảo mật đảm bảo việc tạo ra, triển khai và thực thi một chính sách bảo mật phù hợp. Việc hoạch định quản lý bảo mật liên kết các chức năng bảo mật phù hợp với chiến lược, mục đích, sứ mệnh và mục tiêu của tổ chức. Điều này bao gồm cả việc thiết kế và triển khai bảo mật dựa trên các đề án kinh doanh, sự hạn chế về ngân sách hoặc sự khan hiếm tài nguyên. Biết được đề án kinh doanh là gì. Một đề án kinh doanh thường là một luận cứ được lập thành văn bản hoặc vị trí đã được tuyên bố nhằm xác định nhu cầu đưa ra quyết định hoặc thực hiện một số hình thức hành động. Đưa ra một đề án kinh doanh là để chứng minh nhu cầu cụ-thể-củadoanh-nghiệp để thay đổi một quy trình hiện có hoặc lựa chọn một phương pháp tiếp cận cho một nhiệm vụ kinh doanh. Một đề án kinh doanh thường được đưa ra để biện minh cho việc bắt đầu một dự án mới, đặc biệt là một dự án có liên quan đến bảo mật. Hiểu được việc hoạch định quản lý bảo mật. Quản lý bảo mật dựa trên ba loại kế hoạch: chiến lược, chiến thuật và vận hành. Kế hoạch chiến lược là một kế hoạch dài-hạn tương đối ổn định. Nó xác định mục đích, sứ mệnh và mục tiêu của tổ chức. Kế hoạch chiến thuật là một kế hoạch trung-hạn được phát triển để cung cấp thêm thông tin chi tiết về việc hoàn thành các mục tiêu đã đề ra trong kế hoạch chiến lược. Kế hoạch vận hành 153 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống là những kế hoạch ngắn-hạn và có tính chi tiết cao dựa trên các kế hoạch chiến lược và chiến thuật. Biết được các phần tử của một cấu trúc chính sách bảo mật đã được chính thức hóa. Để tạo ra một kế hoạch bảo mật toàn diện, bạn cần có các hạng mục sau: chính sách, tiêu chuẩn, đường cơ sở, hướng dẫn và thủ tục bảo mật. Hiểu được quy trình tổ chức. Quản trị bảo mật cần xác định mọi khía cạnh của một tổ chức. Điều này bao gồm các quy trình tổ chức về việc mua lại, thoái vốn và hội đồng quản trị. Hiểu được những vai trò bảo mật then chốt. Những vai trò bảo mật then chốt là quản lý cấp cao, chuyên gia bảo mật, chủ sở hữu tài sản, người bảo quản, người dùng và kiểm toán viên. Biết được những điều cơ bản về COBIT. Các Mục tiêu Kiểm soát Thông tin và Công nghệ Liên quan (COBIT) là m ột cơ sở hạ tầng khái niệm bảo mật được sử dụng để tổ chức các giải pháp bảo mật phức tạp của các công ty. Hiểu rõ sự thẩm định và chăm sóc thích đáng. Thẩm định là thiết lập một kế hoạch, chính sách và quy trình để bảo vệ lợi ích của một tổ chức. Chăm sóc thích đáng là thực hành các hoạt động cá nhân để duy trì nỗ lực thẩm định. Thẩm định là biết những gì nên làm và lập kế hoạch cho nó, chăm sóc thích đáng là thực hiện đúng hành động vào đúng thời điểm. Biết những điều cơ bản về mô hình hóa mối đe dọa. Mô hình hóa mối đe dọa là quy trình bảo mật trong đó các mối đe dọa tiềm ẩn được xác định, phân loại và phân tích. Mô hình hóa mối đe dọa có thể được thực hiện như một biện pháp chủ động trong quá trình thiết kế và phát triển hoặc như một biện pháp ứng phó sau khi một sản phẩm đã được triển khai. Các khái niệm chính bao gồm tài sản/kẻ tấn công/phần mềm, STRIDE, PASTA, VAST, sơ đồ hóa, giảm/phân tách và DREAD. 154 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Hiểu được các khái niệm về quản lý rủi ro chuỗi cung ứng (SCRM). SCRM là một phương tiện để đảm bảo rằng tất cả các nhà cung cấp hoặc liên kết trong chuỗi cung ứng là các tổ chức chắc chắn, đáng tin cậy, có uy tín công bố các thông lệ và yêu cầu bảo mật cho các đối tác kinh doanh của họ. SCRM bao gồm đánh giá rủi ro liên quan đến phần cứng, phần mềm và dịch vụ, thực hiện đánh giá và giám sát bên-thứ-ba, thiết lập các yêu cầu bảo mật tối thiểu và thực thi các yêu cầu mức-dịch-vụ. Bài tập Viết 1. Hãy thảo luận và mô tả về Bộ ba CIA. 2. Các yêu cầu để giữ cho một cá nhân chịu trách nhiệm giải trình về những hoạt động của tài khoản người dùng của họ là gì? 3. Hãy kể tên của 6 vai trò bảo mật chính đã được định nghĩa bởi (ISC)2 dành cho CISSP. 4. 4 thành phần của một chính sách bảo mật tổ chức hoàn chính và mục đích cơ bản của chúng là gì? Câu hỏi Đánh giá 1. Tính bảo mật, tính toàn vẹn và tính sẵn sàng thường được coi là những mục đích và mục tiêu chủ yếu của một cơ sở hạ tầng bảo mật. Điều nào dưới đây không được coi là vi phạm tính bảo mật? A. Đánh cắp mật khẩu bằng cách sử dụng một công cụ ghi lại hoạt động của bàn phím. B. Nghe lén các giao tiếp mạng không dây. C. Phá hủy phần cứng do bị hỏa hoạn. D. Kỹ thuật xã hội để lừa một người dùng cung cấp thông tin cá nhân cho một trang web giả mạo. 2. Quản trị bảo mật đòi hỏi sự hiểu biết rõ ràng về các mục tiêu của tổ chức như các khái niệm cốt lõi của bảo mật. Điều nào dưới đây bao gồm những mục đích và mục tiêu chủ yếu của bảo mật? A. Chu vi biên giới của một mạng. B. Bộ ba CIA. C. Các dịch vụ AAA. D. Việc đảm bảo rằng các hoạt động của chủ thể được ghi lại. 155 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 3. Gần đây, James đã phát hiện ra một cuộc tấn công đang diễn ra chống lại tổ chức của anh ấy khiến nhân viên không thể truy cập vào các hồ sơ tối quan trọng. Phần tử nào của Bộ ba CIA đã bị vi phạm? A. Nhận dạng. B. Tính sẵn sàng. C. Mã hóa. D. Phân lớp. 4. Một cách tối ưu, quản trị bảo mật được thực hiện bởi một hội đồng quản trị, nhưng các tổ chức nhỏ hơn có thể chỉ cần Giám đốc điều hành hoặc CISO thực hiện các hoạt động quản trị bảo mật. Điều nào dưới đây là đúng về quản trị bảo mật? A. Quản lý bảo mật đảm bảo rằng hoạt động đã được yêu cầu hoặc quyền truy cập vào một đối tượng có thể thực hiện được với các quyền và đặc quyền được gán cho danh tính đã được xác thực. B. Quản trị bảo mật được sử dụng cho tính hiệu quả. Các phần tử tương tự được đưa vào các nhóm, lớp hoặc vai trò đã được chỉ định các biện pháp kiểm soát bảo mật, hạn chế hoặc quyền như một tập thể. C. Quản trị bảo mật là một tập hợp các thực tiễn tốt nhất trong bảo mật CNTT được lập thành văn bản để chỉ định các mục tiêu và yêu cầu đối với các biện pháp kiểm soát bảo mật và khuyến khích ánh xạ các quan niệm bảo mật CNTT với các mục tiêu kinh doanh. D. Quản trị bảo mật tìm cách so sánh các quy trình b ảo mật và cơ sở hạ tầng được sử dụng trong tổ chức với kiến thức và thông tin chi tiết thu được từ các nguồn bên ngoài. 5. Bạn được giao nhiệm vụ tạo ra một kế hoạch bảo mật dài-hạn và tương đối ổn định. Kế hoạch này cần xác định mục đích bảo mật của tổ chức. Đồng thời, nó cũng cần xác định chức năng bảo mật và liên kết nó với những mục đích, sứ mệnh và mục tiêu của tổ chức. Bạn đang được yêu cầu tạo ra kế hoạch gì? A. Kế hoạch chiến thuật. B. Kế hoạch vận hành. C. Kế hoạch chiến lược. D. Kế hoạch khôi phục. 156 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 6. Tổ chức của Annaliese đang trải qua một thời kỳ gia tăng hoạt động kinh doanh, khi họ đang tiến hành một lượng lớn các vụ mua bán và sáp nhập. Cô ấy lo ngại về những rủi ro liên quan đến những hoạt động đó. Điều nào dưới đây là ví dụ về những rủi ro đó? (Hãy chọn tất cả các đáp án đúng). A. Tiết lộ thông tin không phù hợp. B. Sự tuân thủ của người lao động được tăng cường. C. Mất dữ liệu. D. Thời gian ngừng hoạt động. E. Cái nhìn sâu sắc hơn về động cơ của những kẻ tấn công từ bên trong. F. Không đạt đủ lợi nhuận trên khoản đầu tư (ROI). 7. Khuôn khổ bảo mật nào ban đầu được chính phủ tạo ra để sử dụng trong nước nhưng hiện đã trở thành một tiêu chuẩn quốc tế, là tập hợp các thực tiễn tốt nhất được khuyến nghị để tối ưu hóa các dịch vụ CNTT nhằm hỗ trợ cho sự tăng trưởng, chuyển đổi và thay đổi doanh nghiệp, trong đó tập trung vào việc hiểu cách CNTT và bảo mật cần được tích hợp và phù hợp với các mục tiêu của tổ chức như thế nào, và khuôn khổ nào thường được sử dụng làm điểm khởi đầu cho việc tạo ra giải pháp bảo mật CNTT được tùy chỉnh trong một cơ sở hạ tầng đã được thiết lập? A. ITIL. B. ISO 27000. C. CIS. D. CSF. 8. Vai trò bảo mật là phần mà một cá nhân đảm nhiệm trong sơ đồ tổng thể của việc triển khai và quản trị bảo mật trong một tổ chức. Vai trò bảo mật có trách nhiệm chức năng gì về bảo mật, bao gồm cả việc viết ra chính sách bảo mật và triển khai nó? A. Các nhà quản lý cấp cao. B. Chuyên gia bảo mật. C. Người bảo quản. D. Kiểm toán viên. 157 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 9. Các Mục tiêu Kiểm soát đối với Thông tin và Công nghệ Liên quan (COBIT) là một tập hợp các thực tiễn bảo mật CNTT tốt nhất được lập thành văn bản được tạo ra bởi Hiệp hội Kiểm soát và Kiểm toán Hệ thống Thông tin (ISACA). Nó chỉ định những mục đích và yêu cầu đối với các biện pháp kiểm soát bảo mật và khuyến khích việc ánh xạ những quan điểm bảo mật CNTT với các mục tiêu kinh doanh. COBIT d ựa trên 6 nguyên tắc then chốt đốivới quản trị và quản lý CNTT của doanh nghiệp. Những gì dưới đây là một trong số các nguyên tắc nói trên? (Hãy chọn tất cả đáp án đúng). A. Phương pháp tiếp cận Toàn diện. B. Hệ thống Quản trị Từ-Đầu-đến-Cuối. C. Mang lại Giá trị cho Bên liên quan. D. Duy trì Tính xác thực và Trách nhiệm giải trình. E. Hệ thống Quản trị Động. 10. Trong môi trường kinh doanh ngày nay, sự thận trọng là điều bắt buộc. Việc thể hiện sự thẩm định và chăm sóc thích đáng là cách duy nhất để loại bỏ sơ suất trong trường hợp mất mát. Mệnh đề nào dưới đây là đúng? (Hãy chọn tất cả các đáp án đúng). A. Thẩm định là thiết lập một kế hoạch, chính sách và quy trình để bảo vệ lợi ích của một tổ chức. B. Chăm sóc thích đáng đang phát triển một cấu trúc bảo mật chính thức có chứa một chính sách, tiêu chuẩn, đường cơ sở, hướng dẫn và thủ tục bảo mật. C. Thẩm định là việc tiếp tục áp dụng cấu trúc bảo mật vào cơ sở hạ tầng CNTT của một tổ chức. D. Chăm sóc thích đáng là thực hiện các hoạt động cá nhân nhằm duy trì nỗ lực bảo mật. E. Chăm sóc thích đáng là biết những gì nên làm và lập kế hoạch cho nó. F. Thẩm định là thực hiện đúng hành động vào đúng thời điểm. 11. Tài liệu bảo mật là một phần tử thiết yếu của một chương trình bảo mật thành công. Việc hiểu được các thành phần là một bước đầu tiên 158 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống trong việc tạo ra tài liệu bảo mật. Hãy khớp các thành phần sau với định nghĩa tương ứng của chúng. 1. Chính sách. 2. Tiêu chuẩn. 3. Thủ tục. 4. Hướng dẫn. I. Một tài liệu hướng dẫn chi tiết từng-bước mô tả các hành động chính xác cần thiết để triển khai một cơ chế, biện pháp kiểm soát hoặc giải pháp bảo mật cụ thể. II. Một tài liệu xác định phạm vi bảo mật cần thiết bởi tổ chức và thảo luận về những tài sản cần được bảo vệ và mức độ mà các giải pháp bảo mật nên thực hiện để cung cấp sự bảo vệ cần thiết. III. Một mức độ bảo mật tối thiểu mà mọi hệ thống trong toàn tổ chức phải đáp ứng. IV. Đưa ra các khuyến nghị về cách các yêu cầu bảo mật được triển khai và đóng vai trò như một hướng dẫn hoạt động cho cả chuyên gia bảo mật và người dùng. V. Xác định các yêu cầu bắt buộc đối với việc sử dụng đồng nhất phần cứng, phần mềm, công nghệ và các biện pháp kiểm soát bảo mật. A. 1 – I, 2 – IV, 3 – II, 4 – V. B. 1 – II, 2 – V, 3 – I, 4 – IV. C. 1 – IV, 2 – II, 3 – V, 4 – I. D. 1 – V, 2 – I, 3 – IV, 4 – III. 12. STRIDE thường được sử dụng trong mối tương quan với việc đánh giá các mối đe dọa chống lại các ứng dụng hoặc Hệ điều hành. Khi các tài liệu mật bị tiết lộ cho các thực thể trái phép, thành phần nào của STRIDE được sử dụng để chỉ sự vi phạm này? A. S. B. T. C. R. D. I. E. D. F. E. 159 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 13. Một nhóm phát tiển đang làm việc trên một dự án mới. Trong những giai đoạn ban đầu của quá trình phát triển hệ thống, nhóm tiến hành xem xét các lỗ hổng, mối đe dọa và rủi ro của giải pháp của họ và tích hợp sự bảo vệ để chống lại những kết quả không mong muốn. Đây là khái niệm mô hình hóa mối đe dọa nào? A. Săn tìm mối de dọa. B. Phương pháp tiếp cận chủ động. C. Phương pháp tiếp cận định tính. D. Phương pháp tiếp cận thù nghịch. 14. Quản lý rủi ro chuỗi cung ứng (SCRM) là một phương tiện để đảm bảo rằng tất cả các nhà cung cấp hoặc liên kết trong chuỗi cung ứng là những tổ chức chắc chắn, đáng tin cậy và có uy tín. Mệnh đề nào dưới đây là đúng? (Hãy chọn tất cả các đáp án đúng). A. Mỗi mắt xích trong chuỗi cung ứng phải chịu trách nhiệm và trách nhiệm giải trình trước mắt xích tiếp theo trong chuỗi. B. Các nhà cung cấp hàng hóa không chắc đã tự khai thác kim loại hoặc xử lý dầu cho nhựa dẻo hoặc khắc silicon trên chip của họ. C. Nếu sản phẩm cuối cùng thu được từ chuỗi cung ứng đáp ứng được các kỳ vọng và yêu cầu chức năng thì sản phẩm đó được đảm bảo rằng không có các yếu tố trái phép. D. Thất bại trong việc đảm bảo an toàn đúng cách cho chuỗi cung ứng có thể dẫn đến các sản phẩm có khiếm khuyết hoặc kém tin cậy hơn hoặc thậm chí là danh sách hoặc cơ chế điều khiển từ xa được nhúng [vào trong sản phẩm]. 15. Tổ chức của bạn đã trở nên lo ngại về những rủi ro liên quan đến chuỗi cung ứng các sản phẩm bán lẻ của họ. May mắn thay, tất cả mã lập trình cho sản phẩm tùy chỉnh của họ đều được thực hiện trong nội bộ. Tuy nhiên, quá trình đánh giá k ỹ lưỡng một sản phẩm đã hoàn thành gần đây đã cho thấy rằng một cơ chế lắng nghe đã được tích hợp vào giải pháp ở đâu đó dọc theo chuỗi cung ứng. Rủi ro đã được xác định có liên quan đến thành phần sản phẩm nào trong kịch bản này? A. Một phần mềm. B. Các dịch vụ. 160 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C. Dữ liệu. D. Phần cứng. 16. Sếp của Cathy đã yêu cầu cô ấy thực hiện việc xem xét tài liệu về các chính sách và thủ tục của một nhà cung cấp bên-thứ-ba. Nhà cung cấp này chỉ là mắt xích cuối cùng trong một chuỗi cung ứng phần mềm. Các thành phần của chúng đang được sử dụng như một phần tử chính của một dịch vụ trực tuyến được vận hành cho những khách hàng cao cấp. Cathy phát hiện ra một số vấn đề nghiêm trọng với nhà cung cấp, chẳng hạn như không yêu cầu mã hóa cho tất cả các giao tiếp và không yêu cầu xác thực đa yếu tố trên giao diện quản lý. Cathy nên làm gì trước phát hiện này? A. Viết báo cáo và gửi cho CIO. B. Loại bỏ ATO của nhà cung cấp. C. Yêu cầu nhà cung cấp xem xét các điều khoản và điều kiện của họ. D. Yêu cầu nhà cung cấp ký NDA. 17. Bất cứ khi nào một tổ chức làm việc với bên thứ ba, các quy trình quản lý rủi ro chuỗi cung ứng (SCRM) của tổ chức đó nên được áp dụng. Một trong những yêu cầu phổ biến là thiết lập các yêu cầu bảo mật tối thiểu của bên thứ ba. Những yêu cầu này phải dựa trên cơ sở nào? A. Chính sách bảo mật hiện tại. B. Kiểm toán của bên-thứ-ba. C. Đánh giá tại chỗ. D. Kết quả quét lỗ hổng bảo mật. 18. Một điều khá phổ biến là ghép nối các mối đe dọa với lỗ hổng bảo mật để xác định các mối đe dọa có thể khai thác tài sản và thể hiện rủi ro đáng kể đối với tổ chức. Mục đích tối hậu của việc mô hình hóa mối đe dọa là ưu tiên các mối đe dọa tiềm ẩn đối với tài sản có giá trị của tổ chức. Phương pháp nào sau đây là phương pháp mô hình hóa m ối đe dọa lấy-rủi-ro-làm-trung-tâm nhằm mục đích lựa chọn hoặc phát triển các biện pháp đối phó liên quan đến giá trị của tài sản cần được bảo vệ? A. VAST. B. SD3+C. 161 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C. PASTA. D. STRIDE. 19. Bước tiếp theo sau khi mô hình hóa mối đe dọa là phân tích sự biến đổi. Phân tích sự biến đổi còn được gọi là phân tích ứng dụng, hệ thống hoặc môi trường. Mục đích của nhiệm vụ này là để hiểu rõ hơn về logic của sản phẩm, các thành phần bên trong của nó cũng như các tương tác của nó với các yếu tố bên ngoài. Bộ phận nào sau đây là thành phần then chốt cần nhận biết khi thực hiện phân tách? (Hãy chọn tất cả các đáp án đúng). A. Bản vá lỗi hoặc cập nhật phiên bản. B. Ranh giới tin cậy. C. Lộ trình luồng dữ liệu. D. Sử dụng mã nguồn mở so với mã nguồn đóng. E. Các điểm đầu vào. F. Hoạt động với đặc quyền. G. Thông tin chi tiết về lập trường và phương pháp tiếp cận bảo mật. 20. Phòng thủ có chiều sâu chỉ đơn giản là sử dụng nhiều biện pháp kiểm soát trong một chuỗi. Không có biện pháp kiểm soát nào có thể bảo vệ chống lại mọi mối đe dọa tiềm ẩn. Việc sử dụng giải pháp được phân nhiều lớp cho phép một lượng lớn các biện pháp kiểm soát khác nhau để bảo vệ chống lại bất kỳ mối đe dọa nào xảy ra. Thuật ngữ nào dưới đây liên quan đến hoặc dựa trên phòng thủ có chiều sâu? (Hãy chọn tất cả các đáp án đúng). A. Phân lớp. B. Phân loại. C. Các khu vực. D. Các lĩnh vực. E. Các ngăn chứa. F. Các hầm ngầm. G. Các phân đoạn. H. Các cấu trúc đan lưới. I. Các vòng bảo vệ. 162 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C h ư ơn g 2 B ả o m ậ t Nh â n v iê n v à c á c K h á i n i ệ m Q u ả n lý Rủi ro CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM: ✓ Lĩnh vực 1: Bảo mật và Quản lý Rủi ro ▪ 1.9 Đóng góp và thực thi các chính sách và th ủ tục bảo mật nhân sự ▪ 1.9.1 Sàng lọc ứng viên và tuyển dụng ▪ 1.9.2 Các chính sách và thỏa thuận lao động ▪ 1.9.3 Các quy trình đón nhân viên mới, chuyển giao và kết thúc ▪ 1.9.4 Các thỏa thuận và kiểm soát nhà cung cấp, tư vấn, nhà thầu ▪ ▪ 1.9.5 Các yêu cầu tuân thủ chính sách ▪ 1.9.6 Các yêu cầu về chính sách quyền riêng tư 1.10 Hiểu và áp dụng các khái niệm bảo mật ▪ 1.10.1 Xác định các mối đe dọa và lỗ hổng ▪ 1.10.2 Đánh giá/phân tích rủi ro ▪ 1.10.3 Ứng phó rủi ro ▪ 1.10.4 Lựa chọn và triển khai biện pháp ứng phó ▪ 1.10.5 Các kiểu biện pháp kiểm soát phù hợp (ví dụ, ngăn chặn, phát hiện, khắc phục) ▪ 1.10.6 Đánh giá biện pháp kiểm soát (bảo mật và quyền riêng tư) ▪ 1.10.7 Giám sát và đo lường ▪ 1.10.8 Báo cáo ▪ 1.10.9 Tiên tục cải tiến (ví dụ, mô hình hóa độ trưởng thành rủi ro) ▪ ▪ 1.10.10 Các khuôn khổ rủi ro 1.13 Thiết lập và duy trì một chương trình nhận thức, giáo dục và đào tạo về bảo mật 163 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ 1.13.1 Các phương pháp và kỹ thuật để trình bày nhận thức và đào tạo (ví dụ, kỹ thuật xã hội, phishing, người ủng hộ bảo mật, trò chơi hóa) ▪ 1.13.2 Xem xét nội dung định kỳ ▪ 1.13.3 Đánh giá tính hiệu quả của chương trình 164 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Lĩnh vực Bảo mật và Quản lý Rủi ro của kỳ thi chứng nhận CISSP cấu thành từ rất nhiều thành phần cơ bản của các giải pháp bảo mật, chẳng hạn như thiết kế, triển khai, và quản trị các cơ chế bảo mật. Những thành phần bổ sung của lĩnh vực này sẽ được thảo luận thêm trong các chương khác: Chương 1, “Quản trị Bảo mật Thông qua các Nguyên tắc và Chính sách”; Chương 3, “Hoạch định Liên tục Kinh doanh”; và Chương 4, “Luật lệ, Quy định và Tuân thủ”. Hãy chắc chắn rằng bạn đã đọc tất cả các chương này để có một quan điểm hoàn chỉnh về các chủ đề của lĩnh vực này. Các Chính sách và Thủ tục Bảo mật Nhân viên Con người thường được xem là phần tử yếu nhất trong bất kỳ giải pháp bảo mật nào. Bất kể biện pháp kiểm soát vật lý hay logic đã được triển khai, con người vẫn có thể khám phá ra những cách thức để tránh chúng, phá vỡ hoặc phá hoại chúng, hoặc vô hiệu hóa chúng. Do đó, điều quan trọng là phải tính đến tính nhân văn của người dùng của bạn khi thiết kế và triển khai các giải pháp bảo mật cho môi trường của bạn. Để hiểu và áp dụng được quản trị bảo mật, bạn phải giải quyết mắt xích yếu nhất trong chuỗi bảo mật của bạn – cụ thể là con người. Tuy nhiên, con người cũng có thể trở thành một tài sản bảo mật trọng yếu khi họ được đào tạo một cách bài bản và có động cơ để bảo vệ không chỉ bản thân mà còn cả bảo mật của tổ chức. Điều quan trọng là không xem nhân sự là một vấn đề cần giải quyết, mà là những con người có thể trở thành những đối tác có giá trị trong nỗ lực bảo mật. Các vấn đề, sự cố và xâm phạm liên quan đến con người xảy ra ở mọi giai đoạn của quá trình phát triển một giải pháp bảo mật. Điều này là do con người tham gia vào trong suốt quá trình phát triển, triển khai và quản lý liên tục bất kỳ giải 165 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống pháp nào. Do đó, bạn phải đánh giá tác động của người dùng, nhà thiết kế, lập trình viên, nhà phát triển, nhà quản lý, nhà cung cấp, nhà tư vấn và người triển khai đối với quy trình. Mô tả Công việc và Trách nhiệm Việc tuyển dụng nhân viên mới thường bao gồm một số bước riêng biệt: tạo ra một bản mô tả công việc hoặc bản mô tả vị trí, thiết lập phân loại đối với công việc, sàng lọc ứng viên tuyển dụng, tuyển dụng và đào tạo người phù hợp nhất cho công việc. Nếu không có mô tả công việc sẽ không có sự đồng thuận về kiểu cá nhân nên được tuyển dụng. Bất kỳ mô tả công việc cho bất kỳ vị trí nào trong một tổ chức nên xác định các vấn đề bảo mật có liên quan, chẳng hạn như liệu vị trí đó có yêu cầu xử lý các tài liệu nhạy cảm hoặc quyền truy cập vào thông tin đã được phân loại hay không. Trên thực tế, bản mô tả công việc xác định những vai trò mà một nhân viên cần được chỉ định để thực hiện các nhiệm vụ công việc của họ. Vai trò công việc thường liên kết với cấp bậc hoặc mức độ đặc quyền, trong khi bản mô tả công việc sẽ ánh xạ đến các trách nhiệm và nhiệm vụ đã được chỉ định một cách cụ thể. Trách nhiệm công việc là những nhiệm vụ công việc cụ thể mà một nhân viên được yêu cầu thực hiện một cách thường xuyên. Tùy thuộc vào trách nhiệm của họ, nhân viên sẽ yêu cầu quyền truy cập vào các đối tượng, tài nguyên và dịch vụ khác nhau. Do đó, cần có một danh sách các trách nhiệm công việc để hướng dẫn việc phân công quyền truy cập, quyền và đặc quyền. Trên một mạng được bảo mật, người dùng phải được cấp đặc quyền truy cập cho những phần tử liên quan đến nhiệm vụ công việc của họ. Bản mô tả công việc không được sử dụng chỉ riêng cho quá trình tuyển dụng, chúng nên được duy trì trong suốt vòng đời của tổ chức. Chỉ thông qua mô tả công việc chi tiết mới có thể so sánh được giữa những gì một người phải chịu trách nhiệm và những gì họ thực sự chịu trách nhiệm. Các nhà quản lý nên kiểm tra các phân công đặc quyền để đảm bảo rằng người lao động không có được quyền truy cập không cần thiết một cách nghiêm ngặt để họ hoàn thành nhiệm vụ công việc. 166 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Sàng lọc Ứng viên và Tuyển dụng Việc sàng lọc ứng viên tham gia ứng tuyển cho một vị trí cụ thể sẽ dựa trên độ nhạy cảm và phân loại được xác định bởi mô tả công việc. Do đó, sự cẩn trọng của quá trình sàng lọc phải phản ánh mức độ bảo mật của vị trí sẽ được tuyển dụng. Sàng lọc ứng viên tham gia ứng tuyển, kiểm tra lý lịch, kiểm tra tham chiếu, xác minh trình độ học vấn và xác nhận giấy phép bảo mật là những yếu tố cần thiết để chứng minh rằng một ứng viên là phù hợp, đủ tiêu chuẩn và đáng tin cậy cho một vị trí được bảo mật. Kiểm tra lý lịch (background check) bao gồm việc thu thập lịch sử công việc và học vấn của ứng viên, kiểm tra tham chiếu, xác minh học vấn, phỏng vấn đồng nghiệp, kiểm tra hồ sơ của cảnh sát và chính phủ để tìm các vụ bắt giữ hoặc các hoạt động bất hợp pháp, xác minh danh tính thông qua dấu vân tay, bằng lái xe và/hoặc giấy khai sinh, và tổ chức một cuộc phỏng vấn cá nhân. Tùy thuộc vào vị trí công việc, quá trình này cũng có thể bao gồm những thử thách về kỹ năng, kiểm tra ma túy, kiểm tra tín dụng, kiểm tra hồ sơ lái xe và kiểm tra/đánh giá tính cách. Việc thực hiện kiểm tra lý lịch trực tuyến và xem xét các tài khoản mạng xã hội của người nộp đơn đã trở thành thông lệ tiêu chuẩn đối với nhiều tổ chức. Nếu một nhân viên tiềm năng đã đăng những tài liệu không phù hợp trực tuyến, thì họ không phải là ứng viên hấp dẫn bằng những người đã không đăng. Một bức tranh toàn cảnh về thái độ, trí tuệ, lòng trung thành, ý thức chung, sự siêng năng, trung thực, tôn trọng, nhất quán và tuân thủ các chuẩn mực xã hội và/hoặc văn hóa doanh nghiệp có thể được lượm lặt một cách nhanh chóng bằng cách xem xét danh tính trực tuyến của một người. Tuy nhiên, điều quan trọng là phải nhận thức một cách đầy đủ về các hạn chế pháp lý chống lại sự phân biệt đối xử. Nhiều quốc gia có quyền tự do hoặc hạn chế rất khác nhau trong việc kiểm tra lý lịch, đặc biệt là nghiên cứu lịch sử tội phạm. Hãy luôn xác nhận với bộ phận pháp lý trước khi đánh giá những người nộp đơn cho một vị trí công việc. Trong quá trình xem xét ứng viên ban đầu, nhân viên của bộ phận nguồn nhân lực (HR) đang tìm cách xác nhận rằng ứng viên có đủ tiêu chuẩn cho một công việc, nhưng họ cũng nên đề phòng những vấn đề có thể khiến ứng viên bị loại. 167 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Việc phỏng vấn những ứng viên đủ tiêu chuẩn là bộ lọc tiếp theo được sử dụng để loại bỏ bớt những người không phù hợp với công việc hoặc tổ chức. Khi tiến hành các cuộc phỏng vấn, điều quan trọng là phải có một quy trình phỏng vấn được tiêu chuẩn hóa để đối xử công bằng với từng ứng viên. Mặc dù một số khía cạnh của cuộc phỏng vấn là chủ quan và dựa trên sự tương tác giữa tính cách của ứng viên và người phỏng vấn, quyết định có tuyển dụng một ai đó hay không cần phải được bảo vệ về mặt pháp lý. Onboarding: Các Thỏa thuận và Chính sách Công việc Khi một ứng viên đủ tiêu chuẩn nhưng không bị loại được phát hiện và được phỏng vấn, họ có thể được mời làm việc. Nếu được chấp nhận, nhân viên mới sẽ cần phải được tích hợp vào tổ chức. Quá trình này được gọi là giới thiệu. Giới thiệu (Onboarding) là quá trình bổ sung những nhân viên mới vào tổ chức, để họ xem xét và ký các thỏa thuận và chính sách tuyển dụng, được giới thiệu với các nhà quản lý và đồng nghiệp, đồng thời được đào tạo về hoạt động của nhân viên và hậu cần. Giới thiệu cũng có thể bao gồm xã hội hóa tổ chức và định hướng. Đây là quá trình mà theo đó, nhân viên mới được đào tạo để chuẩn bị tốt cho việc thực hiện vai trò trách nhiệm công việc của họ. Nó có thể bao gồm đào tạo, thu nhận kỹ năng công việc và thích ứng hành vi trong nỗ lực tích hợp nhân viên một cách hiệu quả vào văn hóa, quy trình và thủ tục hiện có của tổ chức. Quá trình giới thiệu được thiết-kế-tốt có thể dẫn đến mức độ hài lòng trong công việc cao hơn, mức năng suất cao hơn, hòa nhập nhanh hơn với những nhân viên hiện tại, gia tăng lòng trung thành với tổ chức, giảm thiểu căng thẳng và giảm tỷ lệ nghỉ việc. Một nhân viên mới sẽ được cung cấp một tài khoản người dùng máy tính/mạng. Điều này được thực hiện thông qua một hệ thống quản lý danh tính và truy cập (IAM) của một tổ chức, hệ thống này sẽ cung cấp tài khoản và chỉ định các đặc quyền và quyền truy cập cần thiết. Quá trình giới thiệu cũng được sử dụng khi vai trò hoặc vị trí của nhân viên thay đổi hoặc khi người đó được trao thêm các cấp đặc quyền hoặc quyền truy cập. Để duy trì bảo mật, quyền truy cập nên được chỉ định theo nguyên tắc ít đặc quyền nhất. Nguyên tắc về ít đặc quyền nhất nêu rõ rằng người dùng nên được 168 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống cấp quyền truy cập tối thiểu cần thiết đủ để họ có thể hoàn thành các nhiệm vụ công việc được yêu cầu hoặc trách nhiệm công việc của họ. Ứng dụng thực sự của nguyên tắc này yêu cầu kiểm soát chi tiết mức-độ-thấp đối với mọi tài nguyên và chức năng. Thảo luận thêm về đặc quyền ít nhất nằm trong Chương 16, "Quản lý Hoạt động Bảo mật." Khi một nhân viên mới được tuyển, họ nên ký một thỏa thuận lao động. Một tài liệu như vậy phác thảo các quy tắc và hạn chế của tổ chức, chính sách bảo mật, chi tiết về mô tả công việc, các vi phạm và hậu quả, và thời gian thử việc hoặc thời gian tối thiểu của vị trí mà nhân viên phải làm. Các mục này có thể là các tài liệu riêng biệt, chẳng hạn như chính sách sử dụng có thể được chấp nhận (AUP). Trong trường hợp như vậy, thỏa thuận tuyển dụng được sử dụng để xác minh rằng ứng viên tuyển dụng đã đọc và hiểu các tài liệu liên quan và ký vào thỏa thuận tuân thủ các chính sách cần thiết liên quan đến vị trí công việc sắp tới của họ. Một chính sách sử dụng có thể được chấp nhận (AUP) xác định hành động, thông lệ, hoặc sử dụng thiết bị và tài nguyên của công ty như thế nào là được và không được chấp nhận. AUP đặc biệt được thiết kế để chỉ định những vai trò bảo mật trong phạm vi tổ chức cũng như quy định trách nhiệm gắn với những vai trò đó. Chính sách này xác định một mức hiệu suất có thể được chấp nhận và những kỳ vọng về hành vi và hành động. Thất bại trong việc tuân thủ chính sách này có thể dẫn đến những cảnh cáo hoạt động công việc, các hình phạt hoặc chấm dứt hợp đồng. Ngoài các thỏa thuận tuyển dụng, có thể có những tài liệu liên-quan-đến-bảomật khác phải được giải quyết. Một tài li ệu khá phổ biến là thỏa thuận không tiết lộ (nondisclosure agreement – NDA). Một NDA được sử dụng để bảo vệ những thông tin bí mật trong tổ chức không bị tiết lộ bởi một nhân viên hiện tại hoặc một cựu nhân viên. Những hành vi vi phạm NDA thường phải chịu các hình phạt rất nghiêm khắc. Trong suốt quá trình làm việc của người lao động, họ có thể được yêu cầu ký bổ sung NDA khi trách nhiệm công việc của họ thay đổi và họ cần truy cập vào các tài sản nhạy cảm, độc quyền hoặc bí mật mới. Khi một nhân 169 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống viên rời khỏi tổ chức, họ nên được nhắc nhở về những nghĩa vụ pháp lý của họ là duy trì sự im lặng đối với tất cả các mục được đề cập trong bất kỳ NDA đã được ký kết nào. Trên thực tế, họ có thể được yêu cầu ký lại NDA khi khởi hành như một phương tiện để xác nhận một cách hợp pháp rằng họ đã nhận thức đầy đủ về nghĩa vụ được pháp luật công nhận là duy trì bí mật kinh doanh và các thông tin bí mật khác. Giám sát Nhân viên Trong toàn bộ vòng đời công việc của nhân viên, các nhà quản lý nên thường xuyên xem xét hoặc kiểm tra các mô tả công việc, nhiệm vụ công việc, các đặc quyền và những trách nhiệm đối với từng nhân viên. Các nhiệm vụ và đặc quyền công việc bị trôi theo thời gian là điều rất phổ biến. Việc trôi trách nhiệm công việc hoặc đặc quyền leo thang cũng có thể dẫn đến những vi phạm bảo mật. Các đặc quyền dư thừa được nắm giữ bởi một công nhân thể hiện rủi ro gia tăng đối với tổ chức. Rủi ro đó bao gồm cơ hội lớn hơn để xảy ra sai lầm làm hư hỏng tính bảo mật, tính toàn vẹn và tính sẵn sàng của tài sản (CIA) ngoài những trách nhiệm thực tế của người lao động, khả năng cao hơn khi người lao động bất mãn gây ra những thiệt hại có chủ đích và khả năng cao hơn đối với một cuộc tấn công chiếm đoạt tài khoản của người lao động để gây ra tổn thất. Việc xem xét và sau đó điều chỉnh những khả năng của người dùng để tái liên kết với nguyên tắc đặc quyền ít nhất là một chiến lược giảm thiểu rủi ro. Đối với một số tổ chức, hầu hết là những tổ chức trong ngành tài chính, m ột phần quan trọng của quá trình xem xét này là thực thi các kỳ nghỉ bắt buộc. Các kỳ nghỉ bắt buộc được sử dụng như một quá trình bình duyệt. Quá trình này yêu cầu nhân viên phải rời xa văn phòng và không có quyền truy cập từ xa trong từ một đến hai tuần mỗi năm. Trong khi nhân viên đang ở trong “kỳ nghỉ”, một nhân viên khác sẽ thực hiện nhiệm vụ công việc của họ bằng tài khoản người dùng thực của họ, giúp xác minh các nhiệm vụ công việc và đặc quyền của nhân viên một cách dễ dàng hơn trong khi cố gắng phát hiện những hành vi lạm dụng, gian lận hoặc sơ suất [có thể có] của nhân viên ban đầu. Kỹ thuật này thường hoạt động tốt hơn những kỹ thuật khác vì có thể ẩn giấu vi phạm từ các tài khoản khác, nhưng rất khó vi phạm và ẩn giấu sự vi phạm khỏi tài khoản được sử dụng để thực hiện chúng. 170 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Các kỹ thuật đánh giá và quản lý người dùng và nhân viên khác bao gồm phân tách nhiệm vụ, luân chuyển công việc và đào-tạo-chéo (seperation of duties, job rotation, cross-training). Những khái niệm này sẽ được thảo luận trong Chương 16. Khi một vài người cùng làm việc với nhau để thực hiện một vụ phạm tội thì việc này sẽ được gọi là cấu kết (collusion). Việc sử dụng các nguyên tắc phân tách nhiệm vụ, trách nhiệm công việc được giới hạn, kỳ nghỉ bắt buộc, luân chuyển công việc và đào-tạo-chéo sẽ làm giảm khả năng những đồng nghiệp sẵn sàng cộng tác cho một kế hoạch phi pháp hoặc lạm dụng vì nguy cơ bị phát hiện sẽ cao hơn. Sự cấu kết và các hành vi lạm dụng đặc quyền khác cũng có thể được giảm thiểu thông qua việc giám sát chặt chẽ các đặc quyền và các tài khoản đặc quyền, chẳng hạn như tài khoản của quản trị viên, tài khoản root và những người khác. Đối với nhiều vị trí công việc được coi là nhạy cảm hoặc tối quan trọng, đặc biệt là trong các tổ chức y tế, tài chính, chính phủ và quân đội, việc đánh giá lại nhân viên định kỳ có thể là cần thiết. Đây có thể là một quá trình cẩn trọng giống như quá trình điều tra và kiểm tra lý lịch ban đầu được thực hiện khi cá nhân được tuyển dụng hoặc có thể chỉ yêu cầu thực hiện một số kiểm tra cụ thể để xác nhận tính nhất quán về trình độ của người đó cũng như nghiên cứu bất kỳ thông tin mới nào liên quan đến việc không đủ tiêu chuẩn. Phân tích hành vi người dùng (user behavior analysis - UBA) và phân tích hành vi người dùng và tổ chức (user and entity behavior analysis - UEBA) là những khái niệm về phân tích hành vi của người dùng, đối tượng, khách viếng thăm, khách hàng, v.v… đối với một số mục tiêu hoặc mục đích cụ thể. E trong từ viết tắt UEBA mở rộng việc phân tích để bao gồm các hoạt động thực thể diễn ra nhưng không nhất thiết phải được liên kết trực tiếp hoặc gắn liền với các hành động cụ thể của người dùng, nhưng điều đó vẫn có thể tuơng quan đến lỗ hổng, việc xảy ra hành vi do thám, xâm nhập, vi phạm hoặc khai thác. Thông tin thu thập được từ việc giám sát UBA/UEBA có thể được sử dụng để cải thiện các chính sách, thủ tục, đào tạo nhân sự và các chương trình giám sát bảo mật có liên quan. 171 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Các Quy trình Kết thúc, Thuyên chuyển và Chấm dứt [công việc] Kết thúc (Offboarding) là đảo ngược của quá trình giới thiệu này. Kết thúc là việc xóa danh tính của một nhân viên khỏi hệ thống IAM sau khi người đó đã rời khỏi tổ chức. Tuy nhiên, kết thúc cũng có thể là một yếu tố được sử dụng khi một nhân viên thuyên chuyển sang vị trí công việc mới tại cùng một tổ chức, đặc biệt là khi họ thay đổi giữa các phòng ban, cơ sở hoặc vị trí địa lý. Việc thuyên chuyển nhân sự có thể được coi là một vụ sa thải/tái tuyển dụng chứ không chỉ là một đợt thuyên chuyển nhân sự. Điều này phụ thuộc vào chính sách của tổ chức và các phương tiện mà họ đã xác định để quản lý tốt nhất sự thay đổi này. Một vài yếu tố giúp đưa ra quyết định sử dụng thủ tục nào bao gồm việc tài khoản người dùng có được giữ lại hay không, việc cho phép sử dụng thông tin bí mật của họ có được điều chỉnh hay không, nếu trách nhiệm công việc mới của họ tương tự như vị trí trước đó và liệu một tài khoản “rũ bỏ trách nhiệm” cho mục đích kiểm toán ở vị trí công việc mới có cần thiết hay không [hàm ý chỉ việc tạo ra tài khoản mới cho nhân viên đó ở vị trí công việc mới để giữ lại tài khoản cũ cho mục đích kiểm toán]. Khi một quá trình kết thúc đầy đủ sẽ xảy ra, cho dù là một phần của chuyển đổi phân tích chiến lược thải/tái tuyển dụng, nghỉ hưu hay chấm dứt công việc, điều này có thể bao gồm việc vô hiệu hóa và/hoặc xóa tài khoản người dùng, thu hồi các chứng nhận, hủy bỏ mã truy cập và chấm dứt các đặc quyền đã được cấp một cách cụ thể khác. Người ta thường vô hiệu hóa tài khoản của các nhân viên trước đó để giữ lại danh tính cho mục đích kiểm toán trong một vài tháng. Sau thời gian quy định, nếu không có sự cố nào được phát hiện liên quan đến tài khoản của nhân viên cũ thì tài khoản đó có thể bị xóa hoàn toàn khỏi IAM. Nếu tài khoản bị xóa sớm, bất kỳ sự kiện nào đã được ghi lại liên quan đến bảo mật sẽ không còn trỏ đến một tài khoản thực nữa và do đó có thể làm cho việc theo dõi thêm bằng chứng vi phạm trở nên phức tạp hơn nhiều. 172 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Một quá trình thuyên chuyển nhân sự nội bộ không nên được sử dụng để chuyển một nhân viên có vấn đề sang một bộ phận khác thay vì sa thải họ. Hãy xem xét CIA tổng thể và lợi ích đối với tổ chức, nếu một người là không thể được chấp nhận như là một nhân viên trong một bộ phận, có thực tế không khi giả định họ có thể được chấp nhận là nhân viên trong m ột bộ phận khác? Thay vì chuyển vấn đề đi vòng quanh, lựa chọn tốt nhất là chấm dứt công việc với nhân viên có vấn đề, đặc biệt nếu việc đào tạo và huấn luyện trực tiếp không mang lại giải pháp. Quá trình kết thúc cũng có thể bao gồm việc thông báo cho nhân viên bảo vệ và những nhân sự quản lý quyền truy cập vào tài sản và cơ sở vật chất vật lý khác để hủy bỏ quyền truy nhập của cựu nhân viên trong tương lai. Các thủ tục đối với quá trình kết thúc nên được lập thành văn bản một cách rõ ràng để đảm bảo tính nhất quán của việc áp dụng cũng như tính tuân thủ các quy định và nghĩa vụ pháp lý theo hợp đồng. Việc công bố các chính sách này có thể cần phải trở thành một thành phần tiêu chuẩn của quy trình tuyển dụng. Khi một nhân viên bắt buộc phải chấm dứt hoặc kết thúc, rất nhiều vấn đề cần phải được giải quyết. Một mối quan hệ mạnh mẽ giữa bộ phận an ninh và Nhân sự là điều thiết yếu để duy trì được quyền kiểm soát và tối thiểu được những rủi ro trong quá trình chấm dứt. Chấm dứt là quá trình không hề dễ chịu đối với tất cả những ai có liên quan. Tuy nhiên, khi được lập kế hoạch và có kịch bản tốt, chúng có thể được nâng lên thành một trải nghiệm trung tính. Mục đích của chính sách chấm dứt là giảm thiểu rủi ro liên quan đến việc nhân viên bị chấm dứt trong khi vẫn đối xử với người đó một cách tôn trọng. Cuộc họp chấm dứt hợp đồng nên diễn ra với ít nhất một nhân chứng, tốt nhất là người quản lý cấp-cao-hơn và/hoặc nhân viên bảo vệ. Sau khi nhân viên được thông báo về việc họ được chấm dứt, họ nên được nhắc nhở về những trách nhiệm pháp lý và các hạn chế được đặt ra đối với nhân viên cũ dựa trên thỏa thuận lao động, NDA và bất kỳ tài liệu nào khác cóliên-quan-đến-bảo-mật. Trong cuộc họp này, tất cả các nhận dạng, quyền truy 173 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống cập hoặc huy hiệu bảo mật dành riêng cho tổ chức cũng như các thiết bị, thẻ, khóa và mã thông báo truy cập (access token) phải được thu hồi (Hình 2.1). Việc chấm dứt hợp đồng của một nhân viên nên được xử lý một cách riêng tư và tôn trọng. Tuy nhiên, điều này không có nghĩa là không nên thực hiện các biện pháp phòng ngừa. Đối với các trường hợp chấm dứt không tự nguyện khi có nguy cơ xảy ra đối đầu, quá trình chấm dứt có thể cần phải được thực hiện đột ngột và có sự tham gia của các nhân viên bảo vệ. Bất kỳ nhu cầu nào để giải quyết các vấn đề về nhân sự, truy xuất thiết bị của công ty, xem xét NDA, v.v… đều có thể được xử lý sau đó thông qua một luật sư. Đối với việc chấm dứt hợp đồng được mong đợi là chuyên nghiệp cũng như tự nguyện ly khai (chẳng hạn như nghỉ việc, nghỉ hưu hoặc nghỉ phép kéo dài), một quy trình bổ sung có thể được thêm vào được gọi là phỏng vấn nghỉ việc. Một cuộc phỏng vấn nghỉ việc thường được thực hiện bởi một nhân viên Nhân sự chuyên về các cuộc phỏng vấn đó với ý tưởng học hỏi kinh nghiệm của nhân viên. Mục đích của cuộc phỏng vấn nghỉ việc là để tìm hiểu lý do nhân viên rời đi, quan điểm của họ về tổ chức (nhân sự, văn hóa, quy trình, v.v…) và những gì họ đề xuất có thể được thực hiện để cải thiện điều kiện cho nhân viên hiện tại và trong tương lai. Thông tin học hỏi được từ cuộc phỏng vấn nghỉ việc có thể hỗ trợ tổ chức trong việc giữ chân nhân viên thông qua các cải tiến công việc và thay đổi quy trình/chính sách. Cho dù quy trình chấm dứt đột ngột được sử dụng hay một quy trình thân mật đã được kết thúc, giờ đây, nhân viên cũ phải được hộ tống ra khỏi cơ sở và không được phép quay lại khu vực làm việc của họ mà không có người hộ tống vì bất kỳ lý do gì. 174 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống HÌNH 2.1 Nhân viên cũ phải trả lại mọi tài sản của công ty Danh sách dưới đây bao gồm một số vấn đề về bảo mật nên được xử lý càng sớm càng tốt: ▪ Loại bỏ hoặc vô hiệu hóa tài khoản người dùng của nhân viên tại cùng thời điểm hoặc ngay trước khi họ được thông báo là sẽ bị chấm dứt. ▪ Hãy đảm bảo là nhân viên đã trả lại bất kỳ thiết bị nào của tổ chức hoặc nguồn cung ứng từ xe cộ hoặc nhà của họ. ▪ Sắp xếp để một nhân viên của bộ phận an ninh đi cùng nhân viên ngh ỉ việc trong khi họ thu thập đồ dùng cá nhân của họ từ khu vực làm việc. ▪ Thông báo cho tất cả nhân viên an ninh và bất kỳ ai khác đang theo dõi hoặc giám sát bất kỳ lối ra vào nào để đảm bảo rằng nhân viên cũ không cố gắng đi vào lại trong tòa nhà mà không có người hộ tống. Sa thải: Thời gian Là Tất cả Việc sa thải một nhân viên đã trở thành một quy trình phức tạp. Đó là lý do tại sao bạn cần một quy trình chấm dứt được thiết-kế-tốt. Tuy nhiên, nó phải được tuân thủ một cách chính xác tại mọi thời điểm. Thật không may, việc này [tuân thủ chính xác] không phải lúc nào cũng diễn ra. Bạn có thể đâ nghe thấy về những thất bại do một quy trình chấm dứt bị chắp vá. Các ví dụ phổ biến 175 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống bao gồm việc thực hiện bất kỳ điều nào dưới đây trước khi nhân viên được thông báo một cách chính thức về việc chấm dứt của họ (do đó, khiến cho nhân viên được cảnh báo trước khi họ bị chấm dứt): ▪ Bộ phận CNTT yêu cầu trả lại một thiết bị di động ▪ Việc vô hiệu hóa một tài khoản người dùng trên mạng ▪ Khóa mã số định danh cá nhân (PIN) của một người hoặc một thẻ thông minh để đi vào tòa nhà ▪ Thu hồi một giấy phép đỗ xe ▪ Phân phát một sơ đồ tổ chức của công ty đã được sửa đổi ▪ Đặt một nhân viên mới vào phòng hoặc khu vực làm việc của họ (nhân viên bị chấm dứt) ▪ Cho phép thông tin cắt giảm nhân viên bị lộ trên các phương tiện truyền thông. Các Thỏa thuận và Biện pháp kiểm soát Nhà cung cấp, Nhà tư vấn và Nhà thầu Các biện pháp kiểm soát nhà cung cấp, nhà tư văn và nhà thầu được sử dụng để xác định mức hiệu suất, kỳ vọng, khoản bồi thường, và những hậu quả dành cho các thực thể, cá nhân, hoặc tổ chức bên ngoài đốii với tố chức chính. Rủi ro nhiều bên tồn tại khi một vài thực thể hoặc tổ chức tham gia vào một dự án. Rủi ro hoặc mối đe dọa thường là do sự biến đổi của các mục tiêu, kỳ vọng, khung thời gian, ngân sách, và các ưu tiên bảo mật của các bên liên quan. Những chiến lược quản lý rủi ro đã triển khai bởi một bên trong thực tế có thể gây ra thêm những rủi ro chống lại hoặc từ một bên khác. Thường thì một cơ quan chi phối việc quản lý rủi ro phải được xác lập để giám sát dự án nhiều bên tham gia và thực thi các tham số bảo mật nhất quán cho các thực thể thành viên, ít nhất là khi những tương tác của họ có liên quan đến dự án. Việc sử dụng các thỏa thuận mức-dịch-vụ (SLA) là một phương tiện để đảm bảo rằng các tổ chức đang cung cấp dịch vụ duy trì được một mức dịch vụ thích hợp đã được thống nhất bởi cả nhà cung cấp dịch vụ, nhà cung cấp hoặc nhà thầu và tổ chức khách hàng. Bạn sẽ là người khôn ngoan khi sử dụng cho bất kỳ mạch dữ liệu, ứng dụng, hệ thống xử lý thông tin, cơ sở dữ liệu, hoặc các thành phần 176 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống trọng yếu khác mang tính sống còn đối với khả năng tồn tại của tổ chức của bạn. Các SLA rất quan trọgn khi sử dụng bất kỳ kiểu nhà cung cấp dịch vụ bênthứ-ba nào, bao gồm các các dịch vụ đám mây. Các SLA cũng thường bao gồm các biện pháp tài chính và các bi ện pháp hợp đồng khác có hiệu lực khi thỏa thuận không được duy trì. Ví dụ, nếu một mạch quan trọng không hoạt động sau hơn 15 phút thì nhà cung cấp dịch vụ có thể phải đồng ý miễn tất cả các khoản phí cho mạch đó trong 1 tuần. Các SLA và các biện pháp kiểm soát nhà cung cấp, nhà tư vấn và nhà thầu là những bộ phận quan trọng của các biện pháp tránh và giảm rủi ro. Bằng cách xác định một cách rõ ràng những kỳ vọng và các hình phạt cho các bên bên ngoài, mỗi người tham gia đều biết được về những gì được kỳ vọng từ họ và những hậu quả nào nếu họ không đáp ứng được những kỳ vọng đó. Mặc dù có thể sẽ có hiệu-quả-về-chi-phí để sử dụng các nhà cung cấp bên ngoài cho nhiều loại chức năng nghiệp vụ hoặc dịch vụ đa dạng nhưng nó cũng đang làm gia tăng những rủi ro tiềm ẩn bằng cách mở rộng bề mặt tấn công tiềm năng và phạm vi của các lỗ hổng. Các SLA nên bao gồm một trọng tâm đặt vào việc bảo vệ và cải thiện bảo mật bên cạnh việc đảm bảo chất lượng và các dịch vụ đúng hạn với một mức giá hợp lý. Một số SLA được thiết lập và không thể được sửa đổi, trong khi đó, với các SLA khác, bạn có thể có những ảnh hưởng đáng kể đến nội dung của chúng. Bạn nên đảm bảo rằng một SLA hỗ trợ cho các nguyên lý của chính sách và cơ sở hạ tầng bảo mật của bạn thay vì xung đột với chúng [các nguyên lý], vốn có thể tạo ra các điểm yếu, lỗ hổng hoặc ngoại lệ. Thuê ngoài là thuật ngữ thường được sử dụng để mô tả việc sử dụng một bên thứ ba bên ngoài, chẳng hạn như một nhà cung cấp, nhà tư vấn hoặc nhà thầu thay cho việc thực hiện nhiệm vụ hoặc hoạt động trong nội bộ. Thuê ngoài có thể được sử dụng như một tùy chọn ứng phó rủi ro còn được gọi là chuyển tiếp hoặc chỉ định (hãy xem phần “Biện pháp ứng phó Rủi ro” ở đoạn sau của chương này). Tuy nhiên, dù cho rủi ro từ việc vận hành một chức năng trong nội bộ được chuyển tiếp cho một bên thứ ba, những rủi ro khác vẫn xảy ra bằng cách sử dụng một bên thứ ba. Khía cạnh này cần phải được đánh giá xem đó là lợi ích hay hệ quả của SLA. Để biết thêm về các thỏa thuận mức-dịch-vụ, hãy đọc Chương 16. 177 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Các nhà cung cấp, nhà tư vấn hoặc nhà thầu cũng đại diện cho một sự gia tăng trong rủi ro của việc bí mật thương mại bị đánh cắp hoặc bị do thám. Những người bên ngoài thường thiếu đi lòng trung thành với tổ chức mà hoặc những nhân viên nội bộ thường có, do đó, sự cám dỗ để tận dụng những cơ hội tiếp cận với tài sản sở hữu trí tuệ dường như dễ dàng hơn với thủ phạm hay ít gây ra xung đột nội bộ. Để biết thêm chi tiết về việc do thám, hãy xem Chương 17, “Ngăn chặn và Ứng phó Sự cố”. Một số tổ chức có thể hưởng lợi từ một hệ thống quản lý nhà cung cấp (vendor management system – VMS). Một VMS là một giải pháp phần mềm để hỗ trợ cho việc quản lý và mua sắm các dịch vụ nhân sự, phần cứng, phần mềm, và các sản phẩm và dịch vụ cần thiết khác. Một VMS có thể đề xuất dịch vụ đặt hàng tiện lợi, phân phối đơn hàng, đào tạo đội nhóm, thanh toán tổng hợp, v.v… Liên quan đến bảo mật, một VMS có thể có khả năng giữ cho các giao tiếp và hợp đồng được bảo mật, yêu cầu các giao dịch được mã hóa và xác thực, và duy trì một nhật ký hoạt động chi tiết của các sự kiện có liên quan đ ến các nhà cung cấp và nhà thầu Tuân thủ Các Yêu cầu Chính sách Tuân thủ là hành động tuân theo hoặc tôn trọng các quy tắc, chính sách, quy định, tiêu chuẩn hoặc yêu cầu. Tuân thủ là một mối quan tâm tr ọng yếu của quản trị bảo mật. Ở cấp độ cá nhân, tuân thủ liên quan đến việc cá nhân các nhân viên có tuân theo chính sách c ủa công ty và thực hiện nhiệm vụ công việc của họ theo các thủ tục đã được xác định hay không. Rất nhiều tổ chức đều dựa vào sự tuân thủ của nhân viên để duy trì được chất lượng, độ nhất quán, hiệu quả và tiết kiệm chi phí ở mức cao. Nếu nhân viên không giữ gìn được sự tuân thủ thì việc này có thể làm tiêu tốn thêm chi phí của tổ chức xét về mặt lợi nhuận, thị phần, sự công nhận và danh tiếng. Nhân viên cần được đào tạo liên quan đến những gì họ cần phải thực hiện (nghĩa là, tuân thủ các tiêu chuẩn của công ty như đã được xác định trong chính sách bảo mật và giữ tính tuân thủ với bất kỳ nghĩa vụ pháp lý theo hợp đồng nào chẳng hạn như Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) để duy trì khả năng thực hiện việc xử lý thẻ tín dụng), chỉ khi đó họ mới có thể giữ được trách nhiệm giải trình cho các vi phạm hoặc không tuân thủ. Tuân thủ là một hình thức kiểm soát bảo mật 178 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống quản trị hành chính hoặc quản lý vì nó tập trung vào các chính sách và con người phải tuân thủ các chính sách đó (cũng như là li ệu các thành phần CNTT và vật lý của tổ chức có tuân thủ các chính sách hay không). Thực thi sự tuân thủ là việc áp dụng các biện pháp trừng phạt hoặc những hậu quả nếu không tuân thủ chính sách, đào tạo, thực tiễn tốt nhất, và/hoặc quy định. Những nỗ lực thực thi như vậy có thể được thực hiện bởi giám đốc bảo mật thông tin (CISO) hoặc giám đốc bảo mật (CSO), các nhà quản lý nhân viên và các giám sát viên, kiểm toán viên và các cơ quan quản lý bên-thứ-ba. Tuân thủ cũng là một mối quan tâm về quy định. Chủ đề này được đề cập trong Chương 4. Các Yêu cầu Chính sách Quyền riêng tư Quyền riêng tư có thể là một khái niệm rất khó để định nghĩa. Thuật ngữ này được sử dụng một cách khá phổ biến trong rất nhiều ngữ cảnh mà không cần định lượng hay bổ nghĩa quá nhiều. Dưới đây là một số thành phần định nghĩa về quyền riêng tư: ▪ Sự ngăn chặn chủ động việc truy cập trái phép đến những thông tin nhận dạng cá nhân (nghĩa là, các điểm dữ liệu để có thể được liên kết trực tiếp với một cá nhân hoặc tổ chức), còn được gọi là thông tin nhận dạng cá nhân (PII) ▪ Không bị truy cập trái phép vào những thông tin được coi là cá nhân hoặc bí mật ▪ Không bị quan sát, giám sát hoặc kiểm tra mà không có sự đồng thuận hoặc không biết. Khi xác định quyền riêng tư trong lĩnh vực CNTT, thường có một đạo luật cân bằng giữa các quyền cá nhân và những quyền hoặc hoạt động của một tổ chức. Một số khẳng định rằng các cá nhân có quyền kiểm soát việc liệu thông tin về họ có thể được thu thập hay không, và những gì có thể được thực hiện với việc này [nghĩa là, bao gồm cả việc thu thập thông tin lẫn thông tin đó – người dịch]. Một số khác lại khẳng định rằng bất kỳ hoạt động nào được thực hiện trong khu vực công cộng – chẳng hạn như hầu hết các hoạt động diễn ra trên Internet hoặc các hoạt động được thực hiện trên các thiết bị của công ty – có thể được 179 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống giám sát mà không cần sự nhận biết hoặc sự cho phép của các cá nhân đang được giám sát, và rằng những thông tin đã thu thập từ những hoạt động giám sát như vậy có thể được sử dụng cho bất kỳ mục đích nào được tổ chức coi là thích hợp hoặc thỏa đáng. Một số trong các vấn đề này được xác định bởi luật pháp tùy theo quốc gia hoặc bối cảnh, trong khi một số khác lại tùy thuộc vào tổ chức và các cá nhân. Việc bảo vệ các cá nhân khỏi sự quan sát không được mong đợi, tiếp thị trực tiếp, và tiết lộ thông tin cá nhân, riêng tư hoặc thông tin bí mật thường được coi là một nỗ lực đáng giá. Tuy nhiên, một số tổ chức tuyên bố rằng nghiên cứu nhân khẩu học, thu thập thông tin và tiếp thị tập trung sẽ cải thiện các mô hình kinh doanh, giảm lãng phí trong quảng cáo và tiết kiệm tiền cho tất cả các bên. Có rất nhiều vấn đề tuân thủ các quy định và luật lệ liên quan đến quyền riêng tư. Rất nhiều quy định của Hoa Kỳ - chẳng hạn như Đạo luật về Trách nhiệm Giải trình và Cung cấp Bảo hiểm Y tế (Health Insurance Portability and Accountability Act – HIPAA), Đạo luật Sarbanes-Oxley 2002 (Sarbanes-Oxley Act), Quyền Giáo dục Gia đình và Đạo luật Quyền riêng tư (Family Educational Rights and Privacy Act – FERPA), và Đạo luật Gramm-Leach-Bliley - cũng như Quy định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu (General Data Protection Regulation – GDPR) (Quy định [EU] 2016/79) – bao gồm các yêu cầu về quyền riêng tư. Điều quan trọng là hiểu được tất cả các quy định của chính phủ mà tổ chức của bạn được yêu cầu phải tuân theo để đảm bảo tính tuân thủ, đặc biệt là trong những lĩnh vực về quyền riêng tư. Bất kể lập trường cá nhân hoặc tổ chức của bạn là gì về các vấn đề về quyền riêng tư trực tuyến, nó nên được xác định trong một chính sách bảo mật của tổ chức. Quyền riêng tư là một vấn đề không chỉ dành cho khách viếng thăm từ bên ngoài đến các dịch vụ trực tuyến của bạn mà còn cho khách hàng, nhân viên, nhà cung cấp và nhà thầu của bạn. Nếu bạn thu thập bất kỳ kiểu thông tin nào về bất kỳ cá nhân hoặc công ty, bạn phải giải quyết vấn đề về quyền riêng tư. Trong hầu hết các trường hợp, đặc biệt là khi quyền riêng tư đang bị vi phạm hoặc giới hạn, các cá nhân và các công ty có thể cần phải được thông báo, nếu không thì bạn có thể phải đối mặt với các hậu quả về mặt pháp lý. Các vấn đề 180 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống về quyền riêng tư cũng phải được giải quyết khi cho phép hoặc hạn chế việc sử dụng email cho cá nhân, giữ lại email, ghi âm cuộc đàm thoại qua điện thoại, thu thập thông tin về việc lướt web hoặc thói quen mua sắm, v.v… Tất cả những điều này và những điều khác nữa nên được hệ thống hóa trong một chính sách quyền riêng tư (nghĩa là, các quy tắc nội bộ) và có khả năng là một tuyên bố/công bố/thông báo về quyền riêng tư (nghĩa là, sự diễn giải cho các thực thể bên ngoài). Quyền riêng tư và PII được đề cập nhiều hơn trong Chương 4. Hiểu và Áp dụng các Khái niệm Quản lý Rủi ro Quản lý rủi ro là một quy trình chi tiết về việc xác định các yếu tố có thể gây ra thiệt hại hoặc phơi bày những tài sản của tổ chức, đánh giá những yếu tố đó xét về giá trị của tài sản và chi phí cho biện pháp đối phó, và việc triển khai các giải pháp hiệu-quả-về-chi-phí để giảm nhẹ hoặc giảm thiểu rủi ro. Quy trình tổng thể về quản lý rủi ro được sử dụng để phát triển và triển khai các chiến lược bảo mật thông tin để hỗ trợ cho sứ mệnh của tổ chức. Kết quả của việc thực thi quản lý rủi ro cho lần đầu tiên là khung xương của chính sách bảo mật. Các sự kiện quản lý rủi ro tiếp theo được sử dụng để cải thiện và duy trì cơ sở hạ tầng bảo mật của tổ chức theo thời gian khi các điều kiện bên trong và bên ngoài thay đổi. Mục đích chính của quản lý rủi ro là giảm thiểu rủi ro đến mức có thể chấp nhận được. Mức đó thực sự là bao nhiêu sẽ phụ thuộc vào tổ chức, giá trị của tài sản, quy mô ngân sách và rất nhiều yếu tố khác. Một tổ chức có thể cho rằng một điều gì đó là rủi ro có thể chấp nhận được, trong khi tổ chức khác có thể coi điều tương tự là mức rủi ro cao một cách phi lý. Sẽ không thể thiết kế và triển khai một môi trường hoàn toàn không-có-rủi-ro, tuy nhiên, có thể giảm thiểu rủi ro một cách đáng kể, thường là với nỗ lực khiêm tốn. Rủi ro đối với cơ sở hạ tầng CNTT không phải đều dựa tất cả trên máy tính. Trên thực tế, rất nhiều rủi ro đến từ các nguồn không-phải-CNTT. Điều quan trọng là phải xem xét mọi rủi ro có thể xảy ra khi thực hiện đánh giá rủi ro, bao gồm tai nạn, thảm họa thiên nhiên, các mối đe dọa về tài chính, bất ổn dân sự, đại dịch, các mối đe dọa vật lý, khai thác kỹ thuật và các cuộc tấn công kỹ thuật xã hội. 181 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Việc không đánh giá đúng và ứng phó với tất cả các hình thức rủi ro sẽ khiến cho công ty trở nên dễ bị tổn thương. Quản lý rủi ro bao gồm hai thành phần chính: đánh giá rủi ro và ứng phó rủi ro. Đánh giá rủi ro hoặc phân tích rủi ro là việc kiểm tra môi trường của rủi ro, đánh giá từng sự kiện đe dọa về khả năng xảy ra của nó và mức độ nghiêm trọng của thiệt hại mà nó sẽ gây ra nếu như nó xảy ra, và đánh giá chi phí của các biện pháp đối phó khác nhau đối với từng rủi ro. Điều này dẫn đến việc sắp xếp thứ tự ưu tiên theo mức độ nghiêm trọng của các rủi ro. Từ đó, biện pháp ứng phó với rủi ro được thực hiện. Ứng phó với rủi ro liên quan đến việc đánh giá các biện pháp đối phó, biện pháp bảo vệ và các biện pháp kiểm soát bảo mật bằng cách sử dụng phân tích chi phí/lợi ích, điều chỉnh các phát hiện dựa trên các điều kiện khác, các mối quan tâm, ưu tiên và nguồn lực khác, đưa ra đề xuất về các phương án ứng phó trong một báo cáo cho quản lý cấp cao. Dựa trên các quyết định và hướng dẫn quản lý, các biện pháp ứng phó đã chọn có thể được triển khai vào cơ sở hạ tầng CNTT và tích hợp vào tài liệu chính sách bảo mật. Một khái niệm liên quan đến quản lý rủi ro là nhận thức rủi ro. Nhận thức về rủi ro là nỗ lực nâng cao kiến thức về rủi ro trong phạm vi một tổ chức. Điều này bao gồm việc tìm hiểu giá trị của tài sản, kiểm kê các mối đe dọa hiện có có thể gây hại cho các tài sản đó, và các biện pháp ứng phó được lựa chọn và triển khai để giải quyết rủi ro đã xác định. Nhận thức về rủi ro giúp thông báo cho tổ chức về tầm quan trọng của việc tuân thủ các chính sách bảo mật và hậu quả của các lỗi bảo mật. Các Thuật ngữ và Khái niệm về Rủi ro Quản lý rủi ro sử dụng một loạt các thuật ngữ cần phải được hiểu rõ, đặc biệt là cho kỳ thi CISSP. Phần này định nghĩa và thảo luận về mọi thuật ngữ quan trọng có-liên-quan-đến-rủi-ro: Tài sản (Asset) Một tài sản là bất kỳ thứ gì được sử dụng trong một quy trình nghiệp vụ hoặc một nhiệm vụ. Nếu một tổ chức dựa vào con người, vị thế, hoặc thứ gì đó, bất kể là hữu hình hay vô hình thì đó là tài s ản. 182 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Định giá Tài sản (Asset Valuation) Định giá tài sản là giá trị được chỉ định cho một tài sản dựa trên một số yếu tố, bao gồm tầm quan trọng đối với tổ chức, sử dụng trong quy trình tối quan trọng, chi phí thực tế, và các khoản chi phí/chi tiêu không phải là tiền bạc (chẳng hạn như thời gian, sự quan tâm, năng suất, và nghiên cứu và phát triển). Khi thực hiện một ước lượng dựa-trên-toán-học (nghĩa là, định lượng, xem thêm phần “Phân tích Rủi ro Định lượng”, tiếp theo trong chương này), số đô-la được chỉ định là giá trị của tài sản (AV). Mối đe dọa (Threats) Bất kỳ sự kiện nào có thể fây ra một kết quả không được mong muốn cho một tổ chức hoặc cho một tài sản cụ thể là một mối đe dọa. Các mối de dọa là bất kỳ hành động hoặc sự ì nào có thể gây ra thiệt hại, phá hủy, sự biến đổi, tổn thất, hoặc tiết lộ những tài sản hoặc có thể khóa quyền truy cập hoặc ngăn chặn quá trình bảo trì tài sản. Chúng có thể là cố ý hoặc vô tình. Chúng có thể có nguồn gốc từ bên trong hoặc bên ngoài [tổ chức]. Bạn có thể nghĩ một cách đơn giản rằng một mối đe dọa giống như một món vũ khí có thể gây ra thiệt hại cho một mục tiêu. Tác nhân Đe dọa (Threat Agent/Actor) Tác nhân đe dọa (threat agent/threat actor) khai thác các lỗ hổng một cách cố ý. Tác nhân đe dọa thường là con người, nhưng chúng cũng có thể là các chương trình, phần cứng hoặc hệ thống. Các tác nhân đe dọa sử dụng các mối đe dọa để gây ra thiệt hại cho các mục tiêu. Sự kiện Đe dọa (Threat Events) Sự kiện đe dọa là sự kiện tình cờ và khai thác các lỗ hổng một cách cố ý. Chúng cũng có thể là tự nhiên hoặc do con người tạo ra. Các sự kiện đe dọa bao gồm hỏa hoạn, động đất, lũ lụt, sự cố hệ thống, lỗi con người (do thiếu đào tạo hoặc thiếu hiểu biết) và mất nguồn điện. Véc-tơ Đe dọa (Threat Vector) Một véc-tơ đe dọa hoặc véc-tơ tấn công là con đường hoặc phương tiện mà một cuộc tấn công hoặc kẻ tấn công có thể truy cập vào mục tiêu để gây ra thiệt hại. Các véc-tơ đe dọa có thể bao gồm email, lướt web, ổ đĩa ngoài, mạng Wi-Fi, truy cập vật lý, các 183 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thiết bị di động, đám mây, mạng xã hội, chuỗi cung ứng, phương tiện di động và phần mềm thương mại. Lỗ hổng (Vulnerability) Điểm yếu của một tài sản hoặc sự vắng mặt hoặc sự yếu kém của biện pháp tự vệ hoặc biện pháp ứng phó được gọi là một lỗ hổng. Nói cách khác, một lỗ hổng là một khiếm khuyết, lỗ hổng, sơ hở, sai sót, hạn chế, yếu ớt hoặc tính dễ bị đe dọa cho phép một mối đe dọa gây ra tổn hại. Tiếp xúc (Exposure) Phơi nhiễm là việc dễ bị mất tài sản do một mối đe dọa, có khả năng một lỗ hổng bảo mật có thể hoặc sẽ bị khai thác bởi một tác nhân hoặc sự kiện đe dọa. Phơi nhiễm không có nghĩa là m ột mối đe dọa đã được nhận thức (một sự kiện dẫn đến tổn thất) đang thực sự xảy ra, chỉ là có khả năng gây ra thiệt hại. Giá trị phân tích rủi ro định lượng của hệ số phơi nhiễm (exposure factor - EF) có nguồn gốc từ khái niệm này. Rủi ro (Risk) Rủi ro là xác suất hoặc khả năng xảy ra rằng một sự kiện sẽ khai thác một lỗ hổng để gây ra thiệt hại cho một tài sản và mức độ nghiêm trọng của thiệt hại có thể có. Một sự kiện đe dọa càng có khả năng xảy ra thì rủi ro càng lớn. Tổng thiệt hại càng lón có thể xảy ra nếu một mối đe dọa được hiện thực hóa thì rủi ro càng lớn. Khi được viết như một công thức mang tính khái niệm, rủi ro có thể được định nghĩa như sau: rủi ro = mối đe dọa x lỗ hổng hoặc rủi ro = xác suất của thiệt hại x mức độ nghiêm trọng của thiệt hại Do đó, việc giải quyết hoặc mối đe dọa hoặc tác nhân đe dọa hoặc lỗ hổng sẽ dẫn đến việc giảm được rủi ro. Hành động này được gọi là giảm thiểu rủi ro hoặc giảm nhẹ rủi ro, vốn là mục đích tổng thể của quản lý rủi ro. Khi một rủi ro được hiện thực hóa, một tác nhân đe dọa (threat agent/threat actor) hoặc sự kiện đe dọa tận dụng một lỗ hổng và gây ra thiệt hại cho hoặc tiết lộ một hoặc nhiều tài sản. Toàn bộ mục đích của 184 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống bảo mật là để ngăn chặn rủi ro trở nên hiện thực hóa bằng cách loại bỏ các lỗ hổng và ngăn chặn các tác nhân đe dọa và sự kiện đe dọa gây ra nguy hiểm cho tài sản. Bảo vệ (Safeguards) Một [sự] bảo vệ, biện pháp kiểm soát, cơ chế bảo vệ, hoặc biện pháp ứng phó là bất kỳ điều gì loại bỏ hoặc giảm thiểu được một lỗ hổng hoặc bảo vệ để chống lại một hoặc nhiều mối đe dọa cụ thể. Khái niệm này còn được gọi là ứng phó với rủi ro. Một sự bảo vệ là bất kỳ hành động hoặc sản phẩm nào làm giảm thiểu rủi ro thông qua việc loại bỏ hoặc giảm bớt mối đe dọa hoặc lỗ hổng. Các biện pháp bảo vệ là các phương tiện giúp giảm thiểu hoặc giải quyết rủi ro. Điều quan trọng cần phải lưu ý là biện pháp bảo vệ không nhất thiết phải mua một sản phẩm mới, việc thiết lập cấu hình lại các phần tử hiện có và thậm chí loại bỏ các phần tử khỏi cơ sở hạ tầng cũng là các biện pháp bảo vệ hoặc ứng phó rủi ro hợp lệ. Tấn công (Attack) Một cuộc tấn công là hành vi cố ý khai thác một lỗ hổng của tác nhân đe dọa để gây ra thiệt hại, mất mát hoặc tiết lộ tài sản. Một cuộc tấn công cũng có thể được coi là bất kỳ hành vi vi phạm hoặc không tuân thủ chính sách bảo mật của tổ chức. Một sự kiện độc hại không cần phải thành công trong việc vi phạm bảo mật mới được coi là một cuộc tấn công. Vi phạm (Breach) Vi phạm, xâm nhập hoặc xâm nhập là sự kiện một cơ chế bảo mật bị một tác nhân đe dọa vượt qua hoặc cản trở. Một vi phạm là một cuộc tấn công thành công. Một vài trong số các thuật ngữ và yếu tố bảo mật nói trên là có liên quan một cách rõ ràng, như được minh họa trong Hình 2.2. Các mối đe doạn khai thác các lỗ hổng, dẫn đến sự phơi nhiễm. Phơi nhiễm là rủi ro, và rủi ro được giảm nhẹ bằng các biện pháp bảo vệ. Các biện pháp bảo vệ bảo vệ những tài sản đang bị đặt trong tình thế rủi ro bởi các mối đe dọa. Có rất nhiều phương pháp tiếp cận để đánh giá rủi ro. Một số được khởi đầu bằng việc đánh giá các mối đe dọa, trong khi một số phương pháp khác tập trung 185 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống trước tiên vào tài sản. Bất kể một phương pháp quản lý rủi ro khởi đầu với việc kiểm kê các mối đe dọa sau đó xem xét những tài sản có thể bị thiệt hại, hoặc khởi đầu bằng việc kiểm kê các tài sản sau đó xem xét các mối đe dọa có thể gây ra thiệt hại, cả hai phương pháp đều dẫn đến việc ghép đôi tài-sản-mối-đedọa mà sau đó đều cần được đánh giá rủi ro. Cả hai phương pháp tiếp cận đều đáng giá, và tổ chức nên thay đổi hoặc luân phiên các quy trình đánh giá r ủi ro của mình giữa hai phương pháp này. Khi t ập trung trước tiên vào các m ối đe dọa, một loạt các vấn đề nguy hại có thể được cân nhắc mà không bị giới hạn trong bối cảnh của tài sản. Tuy nhiên, việc này có thể dẫn đến việc thu thập thông tin về các mối đe dọa mà tổ chức không cần phải bận tâm đến chúng vì chúng không có các tài sản hoặc lỗ hổng mà mối đe dọa tập trung vào. Khi tập trung trước tiên vào tài sản, toàn bộ nguồn lực của tổ chức có thể được khám phá mà không bị giới hạn bởi bối cảnh của danh sách các mối đe dọa. Tuy nhiên, việc này có thể dẫn đến việc tiêu tốn thời gian đánh giá những tài sản có giá trị thấp và rủi ro thấp (vốn sẽ hoặc sẽ được xác định là rủi ro có thể chấp nhận được), có thể làm gia tăng thời gian tổng thể liên quan đến đánh giá rủi ro. Ý tưởng chung về một quá trình đánh giá rủi ro dựa-trên-mối-de-dọa đã được thảo luận trong Chương 1. Cuộc thảo luận về đánh giá rủi ro trong chương này sẽ tập trung vào một phương pháp tiếp cận quản lý rủi ro dựa-trên-tài-sản. HÌNH 2.2 Mối quan hệ có tinh chu trình giữa các thành phần của rủi ro 186 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Định giá Tài sản Một quá trình phân tích rủi ro dựa-trên-tài-sản hoặc được-khởi-đầu-bởi-tài-sản bằng việc kiểm kê mọi tài sản của tổ chức. Khi quá trình kiểm kê này hoàn tất, một giá trị cần được chỉ định cho từng tài sản. Việc ước lượng hoặc thẩm định từng tài sản giúp xác định tầm quan trọng hoặc mức độ quan trọng của nó đối với hoạt động kinh doanh. Nếu một tài sản không có giá trị thì không cần phải bảo vệ nó. Mục đích chính của phân tích rủi ro là đảm bảo rằng chỉ các biện pháp bảo vệ hiệu-quả-về-chi-phí mới được triển khai. Không có ý nghĩa gì khi chi 100,000 đô la để bảo vệ một tài sản chỉ có giá trị 1,000 đô la. Do đó, giá trị của một tài sản ảnh hưởng trực tiếp và định hướng cho mức độ bảo vệ và bảo mật được triển khai để bảo vệ nó. Theo nguyên tắc, chi phí hàng năm của các biện pháp bảo vệ không được vượt quá chi phí hàng năm có th ể xảy ra đối với tổn thất giá trị tài sản. Khi chi phí của một tài sản được định giá, sẽ có rất nhiều khía cạnh để cân nhắc. Mục đích của định giá tài sản là để chỉ định cho tài sản một số tiền cụ thể bao gồm cả các chi phí hữu hình và chi phí vô hình. Vi ệc xác định chính xác giá trị của một tài sản thường khá khó khăn nếu không muốn nói là không thể, nhưng tuy nhiên, một giá trị cụ thể phải được xác lập để thực hiện các phép tính toán học định lượng. (Hãy lưu ý rằng thảo luận về phân tích rủi ro định tính và định lượng ở phần sau của chương này có thể làm rõ vấn đề này, xem phần “Đánh giá/Phân tích Rủi ro”). Việc ấn định giá trị tài sản một cách không thích hợp có thể dẫn đến việc không bảo vệ được tài sản một cách hợp lý hoặc thực hiện các biện pháp bảo vệ kém khả thi về mặt tài chính . Danh sách dưới đây bao gồm các vấn đề hữu hình và vô hình góp phần vào việc định giá tài sản: ▪ Chi phí mua hàng, ▪ Chi phí phát triển, ▪ Chi phí quản lý hoặc quản trị hành chính, ▪ Chi phí bảo trì hoặc duy trì, ▪ Chi phí để mua lại tài sản, ▪ Chi phí để bảo vệ hoặc duy trì tài sản, ▪ Giá trị đối với chủ sở hữu và người dùng, ▪ Giá trị đối với các đối thủ cạnh tranh, ▪ Giá trị tài sản trí tuệ hoặc tài sản cầm cố, 187 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Định giá thị trường (giá bền vững), ▪ Chi phí thay thế, ▪ Tăng cường hoặc sụt giảm năng suất, ▪ Chi phí vận hành của sự hiện diện và tổn thất tài sản, ▪ Trách nhiệm pháp lý của việc tổn thất tài sản, ▪ Tính hữu ích, ▪ Mối quan hệ với nghiên cứu và phát triển. Việc chỉ định hoặc xác định giá trị của tài sản đối với tổ chức có thể giải quyết được một số yêu cầu bởi ▪ Việc đóng vai trò như nền tảng để thực hiện phân tích chi phí/lợi ích của việc bảo vệ tài sản khi tiến hành lựa chọn biện pháp bảo vệ, ▪ Việc đóng vai trò như một phương tiện để đánh giá tính-hiệu-quả-chi-phí của biện pháp bảo vệ và biện pháp ứng phó, ▪ Việc mang lại giá trị cho những mục đích đảm bảo và xác lập nên một giá trị ròng tổng thể hoặc giá trị ròng cho tổ chức, ▪ Việc giúp cho các nhà quản lý cấp cao hiểu được một cách chính xác về những gì đang gặp rủi ro trong tổ chức, ▪ Việc ngăn chặn sự sơ suất trong thẩm định/chăm sóc thích hợp và khuyến khích sự tuân thủ các yêu cầu pháp lý, các quy định trong ngành và các chính sách bảo mật nội bộ. Nếu một quá trình phân tích dựa-trên-mối-đe-dọa hoặc được-khởi-đầu-bằng-mốiđe-dọa được thực hiện, sau đó tổ chức kiểm kê các mối đe dọa và xác định lỗ hổng của các tài sản so với những mối đe dọa này, việc định giá tài sản sẽ diễn ra. Xác định các Mối đe dọa và Lỗ hổng Một phần thiết yếu của quá trình quản lý rủi ro là xác định và kiểm tra các mối đe dọa. Việc này liên quan đ ến việc tạo ra một danh sách toàn diện cà mối đe dọa khả dĩ đối với các tài sản đã được xác định của tổ chức. Danh sách này nên bao gồm các tác nhân đe dọa cũng như các sự kiện đe dọa. Hãy lưu ý rằng các mối đe dọa có thể đến từ bất cứ đâu. Các mối đe dọa đối với CNTT không chỉ giới hạn trong các khái niệm hoặc nguồn tài nguyên CNTT. Khi tổng hợp một 188 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống danh sách các mối đe dọa, hãy chắc chắn rằng bạn đã xem xét các mối đe dọa từ một loạt các nguồn. Để có một danh sách mở rộng và chính thức về các ví dụ, khái niệm và thể loại mối đe dọa, hãy tham khảo Ấn phẩm Đặc biệt (Spcial Publication) của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) (SP) 800-30r1 Phụ lục D, “Các nguồn đe dọa” và Phụ lục E, “Sự kiện đe dọa”. Để biết thêm về mô hình mối đe dọa, hãy xem Chương 1. Trong hầu hết các trường hợp, một nhóm thay vì một cá nhân phải thực hiện đánh giá và phân tích r ủi ro. Ngoài ra, các thành viên trong nhóm nên đến từ các bộ phận khác nhau trong tổ chức. Thông thường, sẽ không đòi hỏi rằng tất cả các thành viên trong nhóm phải là chuyên gia bảo mật hoặc thậm chí là quản trị viên mạng/hệ thống. Sự đa dạng của nhóm dựa trên nhân khẩu học của tổ chức sẽ giúp xác định và giải quyết một cách toàn diện tất cả các mối đe dọa và rủi ro có thể xảy ra. Kỵ binh Tư vấn Đánh giá rủi ro là một quá trình có mức độ liên quan rất nhiều, chi tiết, phức tạp và kéo dài. Thông thường, việc phân tích rủi ro không thể được xử lý một cách thích hợp chỉ bởi các nhân viên hiện tại do quy mô, phạm vi hoặc trách nhiệm pháp lý của rủi ro, do đó, rất nhiều tổ chức mời các chuyên gia tư vấn quản lý rủi ro đến để thực hiện công việc này. Việc này mang đến trình độ chuyên môn cao, không làm sa lầy nhân viên và có thể là một phép đo đáng tin cậy hơn về rủi ro trong thế-giới-thực. Nhưng ngay cả các nhà tư vấn quản lý rủi ro cũng không thực hiện việc đánh giá và phân tích r ủi ro chỉ trên giấy tờ, họ thường sử dụng phần mềm đánh giá rủi ro. Phần mềm này hợp lý hóa nhiệm vụ tổng thể, cung cấp kết quả đáng tin cậy hơn và tạo ra các báo cáo tiêu chuẩn hóa được chấp nhận bởi các công ty bảo hiểm, hội đồng quản trị, v.v…. 189 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Đánh giá/Phân tích Rủi ro Quản lý rủi ro là trách nhiệm chủ yếu của các quản lý cấp cao hơn. Tuy nhiên, các nhà quản lý trên thường chỉ định tác vụ phân tích rủi ro thực tế và mô hình hóa biện pháp ứng phó rủi ro cho một nhóm từ các bộ phận CNTT và bảo mật. Kết quả từ công việc của họ sẽ được đệ trình như là một đề xuất cho các nhà quản lý cấp trên, những người sẽ đưa ra quyết định sau cùng về việc biện pháp ứng phó nào sẽ được triển khai bởi tổ chức. Trách nhiệm của các nhà quản lý cấp trên là khởi đầu và hỗ trợ cho phân tích và đánh giá rủi ro bằng cách xác định phạm vi và mục đích của nỗ lực này. Mọi quá trình đánh giá rủi ro, kết quả, quyết định và kết quả tác động phải được hiểu rõ và được phê duyệt bởi các nhà quản lý cấp trên như một yếu tố trong việc mang lại sự thẩm định/chăm sóc thích đáng khôn ngoan. Tất cả hệ thống CNTT đều có rủi ro. Tất cả mọi tổ chức đều có rủi ro. Mọi nhiệm vụ được thực hiện bởi một nhân viên đều có rủi ro. Không có cách nào có thể loại bỏ 100% của tất cả các rủi ro. Thay vào đó, các nhà quản lý cấp trên phải quyết định rằng những rủi ro nào là có thể chấp nhận được và rủi ro nào không. Việc xác định những rủi ro nào là có thể chấp nhận được đòi hỏi những quá trình đánh giá rủi ro và tài sản phức tạp và chi tiết, đồng thời tìm hiểu kỹ lưỡng ngân sách, kiến thức chuyên môn và kinh nghiệm trong nội bộ, điều kiện kinh doanh của tổ chức, và rất nhiều yếu tố nội bộ và bên ngoài khác. Những gì được xem là có thể chấp nhận được đối với với một tổ chức lại không thể được xét theo cùng một cách thức đối với tổ chức khác. Ví dụ, bạn có thể nghĩ rằng việc mất 100 đô la là một tổn thất đáng kể và có ảnh hưởng đến ngân sách cá nhân hàng tháng của bạn nhưng những người giàu có thậm chí còn không nhận ra là họ đã mất hàng trăm thậm chí hàng nghìn đô la. Rủi ro là mang tính cá nhân, hoặc ít nhất, cụ thể đối với một tổ chức dựa trên tài sản của họ, mối đe dọa của họ, tác nhân đe dọa của họ, và dung sai rủi ro của họ. Khi một bản kiểm kê các mối đe dọa và tài sản (hoặc tài sản và mối đe dọa) đã được phát triển, sau đó từng cặp tài-sản-mối-đe-dọa phải được đánh giá một cách riêng lẻ và rủi ro liên quan được tính toán hoặc đánh giá. Có hai phương pháp luận đánh giá rủi ro chính: định tính và định lượng. Phân tích rủi ro định 190 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống lượng chỉ định số liệu bằng đô la thực tế cho sự tổn thất của tài sản và dựa trên các phép tính toán học. Phân tích rủi ro định tính ấn định các giá trị chủ quan và vô hình cho việc tổn thất tài sản và tính đến các quan điểm, cảm xúc, trực giác, sở thích, ý tưởng và phản ứng cảm xúc. Cả hai phương pháp đều cần thiết để có một cái nhìn hoàn chỉnh về rủi ro của tổ chức. Hầu hết các môi trường đều sử dụng một kết hợp cả hai phương pháp đánh giá r ủi ro để có được một cái nhìn cân bằng về các mối quan tâm bảo mật của họ. Mục đích của đánh giá rủi ro là để xác định những rủi ro (dựa trên các cặp tàisản-mối-đe-dọa) và xếp hạng chúng theo thứ tự của tầm quan trọng. Việc sắp xếp thứ tự ưu tiên tầm quan trọng của rủi ro là điều cần thiết để định hướng cho tổ chức trong việc tối ưu hóa việc sử dụng những nguồn tài nguyên hạn chế của mình vào việc bảo vệ để chống lại những rủi ro đã được xác định, từ quan trọng nhất cho đến chỉ cao hơn một chút so với ngưỡng chấp thuận rủi ro. Hai phương pháp tiếp cận đánh giá rủi ro (định tính và định lượng) có thể được xem là những khái niệm hoặc các điểm đầu cuối khác nhau và tách biệt trên một thang trượt. Như đã được thảo luận trong Chương 1, một ma trận xác suất cơ bản so với thiệt hại 3 × 3 dựa trên sự hiểu biết bẩm sinh về các tài sản và các mối đe dọa và dựa vào lời tuyên bố đánh giá của chuyên gia phân tích rủi ro để quyết định xem khả năng xảy ra và mức độ nghiêm trọng là thấp, trung bình hay cao. Đây có thể là hình thức đánh giá định tính đơn giản nhất. Hình thức này đòi hỏi thời gian và nỗ lực tối thiểu. Tuy nhiên, nếu nó không mang lại được sự rõ ràng hoặc phân biệt cần thiết về mức độ sắp xếp múc ưu tiên theo tầm quan trọng thì một phương pháp tiếp cận chuyên sâu hơn nên được thực hiện. Một ma trận 5 × 5 hoặc thậm chí lớn hơn có thể được sử dụng. Tuy nhiên, mỗi lần gia tăng kích thước ma trận đòi hỏi nhiều kiến thức hơn, nhiều nghiên cứu hơn và nhiều thời gian hơn để chỉ định xác suất và mức độ nghiêm trọng thích hợp. Tại một số thời điểm, việc đánh giá chuyển từ chủ yếu là định tính chủ quan sang định lượng thực chất hơn. Một quan điểm khác về hai phương pháp tiếp cận đánh giá rủi ro là rằng một cơ chế định tính có thể được sử dụng trước tiên để xác định xem liệu một cơ chế định lượng chi tiết và tiêu tốn thời gian/nguồn lực có cần thiết hay không. Một tổ chức cũng có thể thực hiện cả hai phương pháp tiếp cận và sử dụng chúng để 191 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống điều chỉnh hoặc sửa đổi nhau, ví dụ, các kết quả định tính có thể được sử dụng để tinh-chỉnh các mối ưu tiên định lượng. Phân tích Rủi ro Định tính Phân tích rủi ro định tính nghiêng về dựa trên tình huống hơn là dựa trên tính toán. Thay vì chỉ định con số đô la chính xác cho tổn thất khả dĩ, bạn xếp hạng các mối đe dọa trên một thang đo tương đối để đánh giá rủi ro, chi phí và ảnh hưởng của nó. Vì không thể nào đánh giá rủi ro định lượng một cách thuần túy nên việc cân bằng các kết quả của phân tích định lượng là điều cần thiết. Phương pháp kết hợp phân tích định lượng và định tính thành một đánh giá cuối cùng về rủi ro của tổ chức được gọi là đánh giá kết hợp (hybrid assessment) hoặc phân tích kết hợp (hybrid analysis). Quá trình thực hiện phân tích rủi ro định tính liên quan đến khả năng phán đoán, trực giác và kinh nghiệm. Bạn có thể sử dụng rất nhiều kỹ thuật để thực hiện phân tích rủi ro định tính: ▪ Động não, ▪ Bảng câu chuyện, ▪ Các nhóm trọng tâm, ▪ Các Khảo sát, ▪ Các Bảng câu hỏi, ▪ Các Danh sách kiểm tra, ▪ Các cuộc họp một-một, ▪ Các cuộc phỏng vấn, ▪ Các kịch bản, ▪ Kỹ thuật Delphi. Việc xác định cơ chế nào được sử dụng sẽ căn cứ vào văn hóa của tổ chức và kiểu rủi ro và mối de dọa có liên quan. Một điều khá phổ biến là một số phương pháp được sử dụng một cách đồng thời và những kết quả của chúng được so sánh và đối chiếu trong báo cáo phân tích r ủi ro sau cùng cho các nhà quản lý cấp trên. Hai trong số các kỹ thuật nói trên mà bạn cần lưu ý hơn cả là kịch bản và kỹ thuật Delphi. Kịch bản Tiến trình cơ bản cho mọi cơ chế này đều liên quan đến việc tạo ra các kịch bản. Một kịch bản là một mô tả bằng văn bản về một mối đe dọa lớn đơn lẻ. Mô tả 192 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống tập trung vào cách thức một mối đe dọa được xúi giục như thế nào và những ảnh hưởng mà sự xuất hiện của nó có thể có đối với tổ chức, cơ sở hạ tầng CNTT và những tài sản cụ thể. Nói chung, các kịch bản được giới hạn trong một trang văn bản để giữ cho chúng trở nên có thể quản lý được. Đối với từng kịch bản, một số biện pháp bảo vệ được mô tả sẽ bảo vệ hoàn toàn hoặc một phần chống lại mối đe dọa chính được đề cập trong kịch bản. Sau đó, những người tham gia phân tích chỉ định mức độ đe dọa, tổn thất tiềm năng và lợi thế của từng biện pháp bảo vệ cho kịch bản. Những mức độ chỉ định này có thể đơn giản - chẳng hạn như Cao, Trung bình và Thấp, hoặc thang điểm số cơ bản từ 1 đến 10 - hoặc chúng có thể là những câu trả lời dạng tiểu luận chi tiết. Các câu trả lời từ tất cả những người tham gia sau đó được tổng hợp thành một báo cáo duy nhất được đẹ trình lên quản lý cấp trên. Để biết ví dụ về các mức xếp hạng và cấp độ tham chiếu, vui lòng xem Bảng D-3, D-4, D-5, D-6 và E-4 trong NIST SP 80030 Rev.1 tại địa chỉ csrc.nist.gov/publications/detail/sp/800 -30/rev-1/final. Tính hữu ích và hiệu lực của phân tích rủi ro định tính được cải thiện khi số lượng và sự đa dạng của những người tham gia vào quá trình đánh giá tăng lên. Bất cứ khi nào có thể, hãy bao gồm một hoặc nhiều người hơn từ mỗi cấp của hệ thống phân cấp tổ chức, từ quản lý cấp trên đến người dùng đầu cuối. Điều quan trọng nữa là phải bao gồm một phiên-chéo (cross-section) từ mỗi bộ phận, phòng ban, văn phòng hoặc chi nhánh chính. Kỹ thuật Delphi Kỹ thuật Delphi có lẽ là cơ chế chính trong danh sách trước đó mà không thể được nhận biết và được hiểu một cách tức thời. Kỹ thuật Delphi chỉ đơn giản là một quy trình phản-hồi-và-hồi-đáp ẩn danh được sử dụng để cho phép một nhóm đạt được sự đồng thuận ẩn danh. Mục đích chủ yếu của kỹ thuật này là khơi gợi những câu trả lời trung thực và không bị định kiến từ tất cả những người tham gia. Những người tham gia thường được tập trung vào một phòng họp duy nhất. Đối với mỗi yêu cầu phản hồi, mỗi người tham gia sẽ viết phản hồi của họ ra giấy hoặc thông qua các dịch vụ nhắn tin kỹ thuật số một cách ẩn danh. Kết quả được tổng hợp và trình bày cho nhóm để được đánh giá. Quá trình này được lặp lại cho đến khi đạt được sự đồng thuận. Mục tiêu hoặc mục đích của kỹ thuật Delphi là để tạo điều kiện thuận lợi cho việc đánh giá các ý tưởng, khái niệm và 193 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống giải pháp dựa trên giá trị của chúng mà không có sự phân biệt thường xảy ra dựa trên việc ý tưởng đến từ ai. Phân tích Rủi ro Định lượng Phương pháp định lượng dẫn đến các chỉ báo xác suất rõ ràng hoặc một chỉ báo bằng con số về khả năng rủi ro tương đối. Điều đó có nghĩa là kết quả sau cùng là một báo cáo có chứa các số liệu bằng tiền về mức độ rủi ro, tổn thất tiềm ẩn, chi phí của các biện pháp đối phó và giá trị của các biện pháp bảo vệ. Báo cáo này thường tương đối dễ hiểu, đặc biệt là đối với bất kỳ ai có kiến thức về bảng tính và báo cáo ngân sách. Hãy nghĩa về phân tích định lượng như là hành động chỉ định một số lượng cho rủi ro – hay nói cách khác, đặt một con số đô la lên mỗi tài sản và tác động của mối đe dọa. Tuy nhiên, một phân tích định lượng thuần túy sẽ là không đủ - không phải tất cả các yếu tố và khía cạnh của phân tích đều có thể được định lượng một cách chính xác vì một vài trong số chúng là định tính, chủ quan hoặc vô hình. Quá trình phân tích rủi ro định lượng bắt đầu bằng việc định giá tài sản và xác định mối đe dọa (có thể được thực hiện theo bất kỳ trình tự nào). Điều này sẽ dẫn đến các cặp mối-đe-dọa-tài-sản cần phải có những ước tính về khả năng gây ra thiệt hại/mức độ nghiêm trọng và tần suất/khả năng xảy ra được chỉ định hoặc được xác định. Thông tin này sau đó được sử dụng để tính toán các hàm chi phí khác nhau được sử dụng để đánh giá các biện pháp bảo vệ. Các bước hoặc giai đoạn chính trong phân tích rủi ro định lượng bao gồm (xem Hình 2.3, với các thuật ngữ và khái niệm được xác định sau danh sách các bước này): 1. Kiểm kê tài sản, và chỉ định một giá trị (giá trị tài sản [AV]). 2. Nghiên cứu từng tài sản, và tạo ra một danh sách về tất cả các mối đe dọa tiềm ẩn đối với từng tài sản riêng lẻ. Quá trình này sẽ có kết quả là các cặp tài-sản-mối-đe-dọa. 3. Đối với từng cặp tài-sản-mối-đe-dọa, tính toán hệ số phơi nhiễm (exposure factor [EF]). 4. Tính toán tổn thất đơn lẻ dự kiến (single loss expectancy – SLE) cho từng cặp tài-sản-mối-đe-dọa. 194 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 5. Thực hiện một phân tích mối đe dọa để tính toán khả năng từng mối đe dọa được hiện thực hóa trong vòng 1 năm – có nghĩa là, tỷ lệ xảy ra theo hàng năm (annualized rate of occurrence – ARO). 6. Rút ra tiềm năng tổn thất tổng thể cho từng mối đe dọa bằng cách tính toán tổn thất theo hàng năm dự kiến (annualized loss expectancy - ALE). 7. Nghiên cứu các biện pháp đối phó với từng mối đe dọa, sau đó tính toán các thay đổi đối với ARO, EF và ALE dựa trên một biện pháp đối phó được áp dụng. 8. Thực hiện phân tích chi phí/lợi ích của từng biện pháp đối phó với từng mối đe dọa cho từng tài sản. Lựa chọn biện pháp ứng phó thích hợp nhất cho từng mối đe dọa. HÌNH 2.3 Thành phần chính của phân tích rủi ro định lượng 195 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Hàm chi phí tương ứng với phân tích rủi ro định lượng bao gồm: Hệ số Phơi nhiễm (Exposure Factor – EF) Hệ số phơi nhiễm (EF) đại diện cho tỷ lệ phần trăm tổn thất mà một tổ chức sẽ trải qua nếu một tài sản cụ thể bị vi phạm bởi một rủi ro đã bị hiện thực hóa. EF cũng có thể được gọi là tổn thất tiềm ẩn. Trong hầu hết các trường hợp, một rủi ro được hiện thực hóa không dẫn đến toàn bộ tổn thất của một tài sản. EF chỉ đơn giản cho biết về tổn thất giá trị tài sản tổng thể được dự kiến do việc một rủi ro được hiện thực hóa đơn lẻ. EF thường là khá nhỏ đối với những tài sản có thể được thay thế một cách dễ dàng, ví dụ như phần cứng. Nó (EF) có thể rất lớn đối với những tài sản không thể thay thế hoặc độc quyền như các thiết kế sản phẩm hoặc một cơ sở dữ liệu khách hàng. EF được thể hiện dưới dạng tỷ lệ phần trăm. Nó được xác định bằng cách sử dụng dữ liệu nội bộ lịch sử, thực hiện phân tích mang tính thống kê, tham vấn sổ cái/đăng ký rủi ro thuê bao hoặc công khai, làm việc với các chuyên gia tư vấn, hoặc sử dụng một giải pháp phần mềm quản lý rủi ro. Tổn-thất-Đơn-lẻ Dự kiến (Single-Loss Expectancy – SLE) Tổn-thất- đơn-lẻ dự kiến (SLE) là tổn thất tiềm năng tương ứng với một mối đe dọa được hiện thực hóa đơn lẻ so đối với một tài sản cụ thể. Nó chỉ ra tổng tổn thất tiềm năng mà một tổ chức sẽ hoặc có thể sẽ gánh chịu nếu một tài sản bị thiệt hại do một mối de dọa cụ thể xảy ra. SLE được tính toán bằng cách sử dụng công thức sau: SLE = giá trị tài sản (AV) x hệ số phơi nhiễm (EF) Hoặc đơn giản hơn: SLE = AV x EF SLE được thể hiện dưới dạng giá trị đô la. Ví dụ, nếu một tài sản được định giá là 200,000 đô la và nó có tỷ lệ EF là 45% đối với một mối đe dọa cụ thể thì SLE của mối đe dọa đó đối với tài sản đó là 90,000 đô la. Không nhất thiết lúc nào cũng phải tính toán một SLE, vì ALE là giá trị cần thiết phổ biến hơn trong việc xác định mức ưu tiên theo tầm quan trọng. Do đó, đôi khi trong quá trình tính toan rủi ro, SLE có thể bị bỏ qua hoàn toàn. 196 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tỷ lệ Xảy ra Theo hàng năm (Annualized Rate of Occurrence – ARO) Tỷ lệ xảy ra theo hàng năm (ARO) là tần suất dự kiến mà cùng với đó, một mối đe dọa hoặc rủi ro cụ thể sẽ xảy ra (nghĩa là, trở thành hiện thực hóa) trong một năm đơn lẻ. ARO có thể có phạm vi từ 0.0 (zero), chỉ ra rằng mối đe dọa hoặc rủi ro sẽ không bao giờ hiện thực hóa, cho đến một con số rất lớn, chỉ ra rằng mối đe dọa hoặc rủi ro thường xuyên xảy ra. Việc tính toán ARO có thể sẽ rất phức tạp. Nó có thể được rút ra từ việc xem xét dữ liệu nội bộ lịch sử, thực hiện phân tích mang tính thống kê, tham vấn sổ cái/đăng ký rủi ro thuê bao hoặc công khai, làm việc với các chuyên gia tư vấn, hoặc sử dụng một giải pháp phần mềm quản lý rủi ro. ARO đối với một số mối đe dọa hoặc rủi ro được tính toán bằng cách nhân khả năng xảy ra của một sự kiện đơn lẻ với số lượng người dùng có thể khởi xướng mối đe dọa. ARO còn được gọi là một phép xác định xác suất. Và đây là một ví dụ: ARO của một trận động đất tại Tulsa có thể là 0.0001 trong khi ARO của một trận động đất tại San Francisco có thể là 0.03 (với cường độ 6.7 trở lên), hoặc bạn có thể so sánh ARO của một trận động đất tại Tulsa là 0.00001 với ARO của một email có vi-rút tại một văn phòng ở Tulsa là 10,000,000. Tổn thất Dự kiến Theo hàng năm (Annua lized Loss Expectancy – ALE) Tổn thất dự kiến theo hàng năm (ALE) là tổn thất hàng năm tiềm năng của tất cả những trường hợp mà một mối đe dọa cụ thể được hiện thực hóa để chống lại một tài sản cụ thể. ALE được tính toán bằng cách sử dụng công thức sau: ALE = tổn thất dự kiến đơn lẻ (SLE) x tỷ lệ xảy ra hàng năm (ARO) Hoặc: ALE = giá trị tài sản (AV) x hệ số phơi nhiễm (EF) x tỷ lệ xảy ra hàng năm (ARO) Hoặc đơn giản hơn nữa: ALE = SLE x ARO Hoặc: ALE = AV x EF x ARO 197 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Ví dụ, nếu SLE của một tài sản là 90,000 đô la và ARO đ ối với một mối đe dọa cụ thể (chẳng hạn như mất toàn bộ nguồn điện) là 0.5 thì ALE là 45,000 đô la. Nếu ARO đối với một mối đe dọa cụ thể (chẳng hạn như tài khoản người dùng bị xâm phạm) là 15 đối với cùng tài sản thì ALE sẽ là 1,350,000 đô la. Nhiệm vụ tính toán EF, SLE, ARO và ALE cho m ọi tài sản và mọi mối đe dọa/rủi ro là một nhiệm vụ nan giải. May mắn thay, các công cụ phần mềm đánh giá rủi ro định lượng có thể đơn giản hóa và tự động hóa phần lớn quá trình này. Những công cụ này tạo ra một bản kiểm kê tài sản cùng với các giá trị và sau đó, bằng cách sử dụng các ARO đã được chỉ định trước cùng với một số lựa chọn tùy chỉnh (ngành nghề, vị trí địa lý, các thành phần CNTT, v.v…), tạo ra các báo cáo phân tích rủi ro. Khi một ALE được tính toán đối với từng cặp tài-sản-mối-đe-dọa, sau đó toàn bộ tập hợp nên được sắp xếp theo ALE từ lớn nhất đến nhỏ nhất. Mặc dù con số thực tế của ALR không phải là một con số tuyệt đối (nó là sự pha trộn của giá trị vô hình và hữu hình nhân với dự đoán về tổn thất trong tương lai nhân với dự đoán về khả năng xảy ra trong tương lai), nó vẫn có giá trị tương đối. ALE lớn nhất chính là vấn đề lớn nhất mà tổ chức đang phải đối mặt và do đó là rủi ro đầu tiên cần được giải quyết trong ứng phó rủi ro. Phần “Chi phí so với Lợi ích của các Biện pháp kiểm soát Bảo mật”, nằm ở phần sau của chương này, sẽ thảo luận về các công thức khác nhau liên quan đ ến phân tích rủi ro định lượng mà bạn nên quen thuộc. Cả cơ chế phân tích rủi ro định lượng và định tính đều mang lại những kết quả hữu ích. Tuy nhiên, mỗi kỹ thuật lại liên quan đến một phương pháp duy nhất để đánh giá cùng một nhóm tài sản và rủi ro. Sự thẩm định cẩn trọng đòi hỏi phải sử dụng cả hai phương pháp để có được một quan điểm cân bằng về rủi ro. Bảng 2.1 mô tả những lợi ích và bất lợi của cả hai hệ thống này. 198 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống BẢNG 2.1 So sánh phân tích rủi ro định tính và định lượng Đặc tính Định tính Định lượng Sử dụng các hàm toán học Không Có Sử dụng phân tích chi phí/lợi ích Có thể Có Đòi hỏi sự ước lượng Có Đôi khi Hỗ trợ việc tự động hóa Không Có Liên quan đến một lượng lớn thông tin Không Có Khách quan Ít hơn Nhiều hơn Về cơ bản là dựa vào ý kiến Có Không Đòi hỏi thời gian và nỗ lực đáng kể Thỉnh thoảng Có Mang lại những kết quả hữu ích và ý có nghĩa Có Có Tại thời điểm này, quá trình quản lý rủi ro đang chuyển đổi từ đánh giá rủi ro sang ứng phó rủi ro. Đánh giá rủi ro được sử dụng để xác định rủi ro và xác lập các ưu tiên theo tầm quan trọng, và sau đó, ứng phó rủi ro được sử dụng để xác định biện pháp phòng thủ tốt nhất cho từng rủi ro đã được xác định. Các Biện pháp ứng phó với Rủi ro Bất kể đánh giá rủi ro định tính hay định lượng đã được thực hiện, có rất nhiều khía cạnh của ứng phó rủi ro áp dụng như nhau cho cả hai phương pháp tiếp cận. Khi phân tích rủi ro đã hoàn tất, các nhà quản lý phải giải quyết từng rủi ro cụ thể. Có một số biện pháp ứng phó rủi ro khả dĩ, bao gồm: ▪ Giảm nhẹ hoặc giảm thiểu, ▪ Chỉ định hoặc chuyển tiếp, ▪ Ngăn chặn, ▪ Chấp thuận, ▪ Từ chối hoặc bỏ qua. Tất cả những biện pháp ứng phó rủi ro này đều liên quan đến khẩu vị rủi ro và dung sai (khả năng chịu đựng) rủi ro của một tổ chức. Khẩu vị rủi ro (risk 199 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống appetite) là tổng số rủi ro mà một tổ chức sẵn lòng gánh chịu trên tổng hợp toàn bộ tài sản. Công suất rủi ro (risk capacity) là mức độ rủi ro mà một tổ chức có khả năng gánh chịu. Khẩu vị rủi ro mong muốn của một tổ chức có thể lớn hơn công suất thực tế. Dung sai rủi ro (risk tolerance) là tổng số hoặc mức độ rủi ro mà một tổ chức sẽ chấp nhận trên từng cặp tài-sản-mối-đe-dọa. Việc này thường liên quan đến một đích nhắm rủi ro, vốn là một mức rủi ro được ưa thích đối với một cặp tài-sản-mối-đe-dọa cụ thể. Một giới hạn rủi ro (risk limit) là mức rủi ro tối đa vượt trên ngưỡng mục tiêu rủi ro sẽ được chấp nhận trước khi những hành động quản lý rủi ro tiếp theo được thực hiện. Bạn cần phải nắm được những thông tin dưới đây về các biện pháp ứng phó rủi ro khả thi: Giảm nhẹ Rủi ro (Risk Mitigation) Giảm thiểu rủi ro, hoặc giảm nhẹ rủi ro, là việc triển khai các biện pháp bảo vệ, các biện pháp kiểm soát bảo mật, và các biện pháp đối phó để giảm thiểu và/hoặc loại bỏ các lỗ hổng hoặc ngăn chặn mối đe dọa. Việc triển khai mã hóa và sử dụng tường lửa là những ví dụ phổ biến về giảm nhẹ hoặc giảm thiểu rủi ro. Việc loại bỏ một rủi ro riêng lẻ đôi khi là có thể đạt được nhưng thông thường, một số rủi ro vẫn còn tồn tại thậm chí sau khi những nỗ lực giảm nhẹ hoặc giảm thiểu đã được áp dụng. Chỉ định Rủi ro (Risk Assignment) Chỉ định rủi ro hoặc chuyển tiếp rủi ro (transferring risk) là đặt trách nhiệm về tổn thất do một rủi ro trên một thực thể hoặc tổ chức khác. Việc mua bảo hiểm truyền thống hoặc bảo hiểm an ninh mạng và thuê ngoài là những hình thức phổ biên về việc chỉ định hoặc chuyển tiếp rủi ro. Cũng được gọi là sự chỉ định rủi ro hoặc sự chuyển tiếp rủi ro. Ngăn chặn Rủi ro (Risk Deterrence) Ngăn chặn rủi ro là quá trình triển khai các biện pháp ngăn chặn đối với những kẻ vi phạm bảo mật và chính sách. Mục đích là để thuyết phục một tác nhân đe dọa không tiến hành tấn công. Một số ví dụ bao gồm triển khai kiểm toán, camera an ninh, và các biểu ngữ cảnh báo, sử dụng nhân viên bảo vệ, và khiến cho tác nhân đe dọa biết rằng tổ chức sẵn sàng hợp tác với các cơ quan có thẩm quyền và truy tố những kẻ tham gia vào hoạt động tội phạm an ninh mạng. 200 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tránh Rủi ro (Risk Avoidance) Tránh rủi ro là quá trình lựa chọn các phương án thay thế hoặc những hành động ít liên kết với rủi ro hơn phương án mặc định, phổ biến, nhanh chóng hoặc rẻ tiền. Ví dụ, việc chọn cách bay đến một đích đến thay vì lái xe đến đó là một hình thức tránh rủi ro. Một ví dụ khác là đặt doanh nghiệp ở Arizona thay vì Florida đ ể tránh các cơn bão. Rủi ro được tránh bằng cách loại bỏ nguyên nhân của rủi ro. Một nhà lãnh đạo doanh nghiệp chấm dứt nỗ lực kinh doanh vì nó không còn phù hợp với các mục tiêu của tổ chức và rằng tỷ lệ rủi ro cao so với phần thưởng cao cũng là một ví dụ về việc tránh rủi ro. Chấp nhận Rủi ro (Risk Acceptance) Việc chấp nhận rủi ro (accepting risk), hay chấp nhận rủi ro (acceptance of risk) là kết quả sau khi một phân tích chi phí/lợi ích cho thấy rằng chi phí cho biện pháp đối phó sẽ vượt quá chi phí tiềm năng của tổn thất do rủi ro gây ra. Điều này cũng có nghĩa là các nhà quản lý phải thống nhất để chấp thuận những hậu quả và tổn thất khi rủi ro được hiện thực hóa. Trong hầu hết các trường hợp, việc chấp thuận rủi ro đòi hỏi một tuyên bố rõ ràng để chỉ ra lý do tại sao một biện pháp bảo vệ đã không được triển khai, ai chịu trách nhiệm cho quyết định đó, và ai sẽ chịu trách nhiệm cho tổn thất nếu như rủi ro được hiện thực hóa, thường là dưới hình thức một tài liệu được ký duyệt bởi nhà quản lý cấp cao. Từ chối Rủi ro (Risk Rejection) Một biện pháp ứng phó có khả năng không thể được chấp nhận đối với rủi ro là từ chối rủi ro (reject risk) hoặc bỏ qua rủi ro (ignore risk). Việc phủ nhận rằng một rủi ro đang tồn tại và hy vọng rằng nó sẽ không bao giờ trở thành hiện thực là không hợp lệ hoặc không có hiệu lực hoặc không phải là biện pháp ứng phó thận trọng/thẩm định kỹ lưỡng đối với rủi ro. Việc từ chối hoặc bỏ qua rủi ro có thể được coi là tội bất cẩn trước tòa. 201 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Luật pháp và Tuân thủ Mọi tổ chức đều cần phải xác minh rằng hoạt động và các chính sách của mình là hợp pháp và tuân thủ các chính sách bảo mật, nghĩa vụ pháp lý trong ngành, hợp đồng, và các quy định đã nêu của họ. Việc kiểm toán là điều cần thiết để kiểm tra tính tuân thủ, hay còn được gọi là kiểm tra tính tuân thủ. Xác minh rằng một hệ thống đang tuân thủ các luật lệ, quy định, đường cơ sở, hướng dẫn, tiêu chuẩn, thực tiễn tốt nhất, hợp đồng và chính sách là một phần quan trọng để duy trì tính bảo mật trong bất kỳ môi trường nào. Kiểm tra sự tuân thủ đảm bảo rằng tất cả các yếu tố cần thiết và bắt buộc của một giải pháp bảo mật đã được triển khai một cách thích hợp và đang hoạt động như được mong đợi. Đây là tất cả những cân nhắc quan trọng khi lựa chọn chiến lược ứng phó với rủi ro. Rủi ro cố hữu là mức độ rủi ro tự nhiên, bẩm sinh hoặc mặc định đang tồn tại trong môi trường, hệ thống hoặc sản phẩm trước khi bất kỳ nỗ lực quản lý rủi ro nào được thực hiện. Rủi ro cố hữu có thể tồn tại do chuỗi cung ứng, hoạt động của nhà phát triển, thiết kế và kiến trúc của hệ thống hoặc cơ sở kiến thức và kỹ năng của một tổ chức. Rủi ro cố hữu còn được gọi là rủi ro ban đầu (initial risk) hoặc rủi ro khởi đầu. Đây là rủi ro được xác định bởi quá trình đánh giá rủi ro. Một khi các biện pháp bảo vệ, các biện pháp kiểm soát bảo mật và các biện pháp đối phó được triển khai, rủi ro còn lại được gọi là rủi ro tồn dư. Rủi ro tồn dư bao gồm các mối đe dọa đối với những tài sản cụ thể mà các nhà quản lý cấp trên chọn không triển khai biện pháp ứng phó. Nói cách khác, rủi ro tồn dư là rủi ro mà các nhà quản lý đã lựa chọn chấp nhận hơn là giảm thiểu nó. Trong hầu hết các trường hợp, sự hiện diện của rủi ro tồn dư chỉ ra rằng phân tích chi phí/lợi ích cho thấy rằng các biện pháp bảo vệ đang sẵn có không phải là các biện pháp ngăn chặn hiệu quả về chi phí. Tổng rủi ro là lượng rủi ro mà một tổ chức sẽ phải đối mặt nếu không có biện pháp bảo vệ nào được triển khai. Công thức mang tính khái niệm cho tổng rủi ro như sau: 202 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống các mối đe dọa x lỗ hổng x giá trị tài sản = tổng rủi ro Sự khác biệt giữa rủi ro tổng thể và rủi ro tồn dư được gọi là khoảng cách kiểm soát. Khoảng cách kiểm soát là lượng rủi ro được giảm thiểu bằng cách triển khai các biện pháp bảo vệ. Công thức mang tính khái niệm đối với rủi ro tồn dư như sau: tổng rủi ro - khoảng cách kiểm soát = rủi ro tồn dư. Như với quản lý rủi ro nói chung, việc xử lý rủi ro không phải là quy trình một lần. Thay vào đó, tính bảo mật phải được duy trì và tái xác nhận một cách liên tục. Trong thực tế, việc lặp lại các quá trình đánh giá rủi ro và ứng phó với rủi ro là chức năng cần thiết để đánh giá tính hoàn chỉnh và hiệu quả của chương trình bảo mật theo thời gian. Ngoài ra, nó giúp xác định vị trí của các phụ thuộc và những khu vực nơi mà sự thay đổi diễn ra. Vì bảo mật thay đổi theo thời gian nên việc tái đánh giá trên cơ s ở định kỳ là điều thiết yếu để duy trì tính bảo mật hợp lý. Rủi ro kiểm soát là rủi ro do việc triển khai biện pháp đối phó vào một môi trường. Hầu hết các biện pháp bảo vệ, biện pháp kiểm soát bảo mật và biện pháp đối phó đều là một loại công nghệ nào đó. Không có công nghệ nào là hoàn hảo và không có bảo mật nào là hoàn hảo, vì vậy có một số lỗ hổng liên quan đến chính bản thân biện pháp kiểm soát. Mặc dù một biện pháp kiểm soát có thể làm giảm nguy cơ của mối đe dọa đối với tài sản, nhưng nó cũng có thể tạo ra nguy cơ đe dọa mới có thể làm tổn hại đến chính bản thân biện pháp kiểm soát đó. Do đó, đánh giá và ứng phó rủi ro phải là một hoạt động lặp đi lặp lại, tự nhìn lại chính mình để thực hiện các cải tiến liên tục. Chi phí so với Lợi ích của các Biện pháp kiểm soát Bảo mật Thường thì các tính toán bổ sung có liên quan đến biện pháp ứng phó rủi ro khi thực hiện đánh giá rủi ro định tính. Những tính toán này liên quan đến đánh giá toán học về chi phí/lợi ích của một biện pháp bảo vệ. Đối với từng rủi ro được xác định theo thứ tự ưu tiên về tầm quan trọng, các biện pháp bảo vệ được cân nhắc dựa trên khả năng giảm tổn thất và lợi ích tiềm năng của chúng. Đối với mỗi cặp tài-sản-mối-đe-dọa (nghĩa là, rủi ro đã xác định), một quá trình kiểm kê các biện pháp bảo vệ tiềm năng và sẵn có phải được thực hiện. Điều này có 203 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thể bao gồm việc điều tra thị trường, tham khảo ý kiến của các chuyên gia và xem xét các khuôn khổ, quy định và hướng dẫn bảo mật. Sau khi một danh sách các biện pháp bảo vệ cho mỗi rủi ro đã được tạo ra hoặc có được, các biện pháp bảo vệ đó nên được đánh giá về lợi ích và chi phí của chúng tương quan với cặp tài-sản-mối-đe-dọa. Đây là đánh giá chi phí/lợi ích của các biện pháp bảo vệ. Các biện pháp bảo vệ, biện pháp kiểm soát bảo mật và các biện pháp đối phó chủ yếu sẽ làm giảm rủi ro thông qua việc giảm tỷ lệ xâm phạm tiềm ẩn (nghĩa là, ARO). Tuy nhiên, một số biện pháp bảo vệ cũng sẽ làm giảm số lượng hoặc mức độ nghiêm trọng của thiệt hại (nghĩa là, EF). Đối với những biện pháp bảo vệ chỉ làm giảm ARO, số lượng tổn thất của một sự kiện được hiện thực hóa đơn lẻ (nghĩa là, SLE) là như nhau khi có hoặc không có biện pháp bảo vệ. Tuy nhiên, đối với những biện pháp bảo vệ đồng thời làm giảm EF, bất kỳ sự kiện nào được hiện thực hóa đơn lẻ sẽ gây ra ít thiệt hại hơn nếu không có biện pháp bảo vệ. Dù bằng cách nào, việc giảm ARO và có khả năng giảm EF sẽ dẫn đến ALE nhỏ hơn với biện pháp bảo vệ so với khi không có. Do đó, ALE tiềm năng này cùng với biện pháp bảo vệ nên được tính toán (ALE = AV x EF x ARO). Sau đó, chúng ta có thể coi ALE rủi ro cặp tài-sản-mối-đe-dọa ban đầu là ALE1 (hoặc ALE trướckhi-được-bảo-vệ) và ALE dành riêng cho bi ện pháp bảo vệ là ALE2 (hoặc ALE sau-khi-được-bảo-vệ). Một ALE2 nên được tính toán cho từng biện pháp bảo vệ tiềm năng đối với từng cặp tài-sản-mối-đe-dọa. Biện pháp tốt nhất trong số các biện pháp bảo vệ có thể có sẽ giảm ARO xuống bằng 0, mặc dù điều này rất khó xảy ra. Bất kỳ biện pháp bảo vệ nào được lựa chọn để triển khai sẽ khiến tổ chức phải tốn chi phí. Nó có thể không phải là chi phí mua hàng, nó có thể là chi phí do mất năng suất, đào t ạo lại, thay đ ổi trong quy trình nghiệp vụ hoặc các chi phí cơ hội khác. Một ước tính chi phí hàng năm cho biện pháp bảo vệ hiện diện trong tổ chức là cần thiết. Ước tính này có thể được gọi là chi phí hàng năm của biện pháp bảo vệ (annual cost of the safeguard - ACS). Một số yếu tố phổ biến có ảnh hưởng đến ACS, bao gồm: ▪ Chi phí mua sắm, phát triển và giấy phép, ▪ Chi phí triển khai và tùy chỉnh, ▪ Chi phí vận hành, bảo trì, quản trị hành chính hàng năm, v.v…, 204 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Chi phí sửa chữa và nâng cấp hàng năm, ▪ Cải thiện hoặc mất năng suất, ▪ Những thay đổi đối với môi trường, ▪ Chi phí kiểm nghiệm và đánh giá. Giá trị của tài sản cần được bảo vệ xác định khoản chi tiêu tối đa cho các cơ chế bảo vệ. Bảo mật phải có hiệu-quả-về-chi-phí, và do đó, sẽ là không khôn ngoan khi chi tiêu nhiều hơn (xét về mặt tiền mặt hoặc nguồn tài nguyên) vào việc bảo vệ một tài sản hơn là giá trị của nó [tài sản] đối với tổ chức. Nếu chi phí của biện pháp đối phó lớn hơn giá trị của tài sản (nghĩa là, chi phí của rủi ro), biện pháp bảo vệ không nên được xem là một lựa chọn hợp lý. Ngoài ra, nếu ACS lớn hơn ALE1 (nghĩa là, t ổn thất hàng năm tiềm năng của một tài sản gây ra bởi một mối đe dọa) thì biện pháp bảo vệ không phải là một giải pháp có hiệu-quả-về-chi-phí. Nếu không có lựa chọn biện pháp bảo vệ nào hiệu-quả-vềchi-phí thì việc chấp thuận rủi ro có thể là lựa chọn duy nhất còn lại. Khi bạn biết được chi phí hàng năm tiềm năng của một biện pháp bảo vệ, sau đó bạn có thể ước lượng lợi ích của biện pháp bảo vệ đó nếu được áp dụng cho một cơ sở hạ tầng. Tính toán sau cùng trong quá trình này là tính toán chi phí/lợi ích, hoặc phân tích chi phí/lợi ích. Tính toán này được sử dụng để xác định xem liệu một biện pháp bảo vệ có thực sự cải thiện bảo mật mà không tốn quá nhiều chi phí hay không. Để xác định liệu biện pháp bảo vệ có công bằng về mặt tài chính hay không, hãy sử dụng công thức sau: [ALE trước-khi-biện-pháp-bảo-vệ - ALE sau-khi-biện-pháp-bảo-vệ] - chi phí bảo vệ hàng năm (ACS) = giá trị của biện pháp tự vệ đối với công ty Nếu kết quả là âm, biện pháp bảo vệ không phải là lựa chọn chịu trách nhiệm về mặt tài chính. Nếu kết quả là dương thì giá trị đó là khoản tiết kiệm hàng năm mà tổ chức của bạn có thể thu được bằng cách triển khai biện pháp bảo vệ vì tỷ lệ xảy ra không phải là một đảm bảo cho sự xảy ra. Nếu nhiều biện pháp bảo vệ dường như có kết quả chi phí/lợi ích dương thì biện pháp bảo vệ có lợi ích lớn nhất là phương án hiệu quả nhất về chi phí. Khoản tiết kiệm hoặc tổn thất hàng năm từ một biện pháp tự vệ không nên là yếu tố duy nhất được xem xét khi đánh giá các bi ện pháp bảo vệ. Bạn cũng nên 205 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống xem xét các vấn đề về trách nhiệm pháp lý và chăm sóc thich đáng/thẩm định. Trong một số trường hợp, việc mất tiền trong việc triển khai biện pháp tự vệ sẽ có ý nghĩa hơn là chịu rủi ro về trách nhiệm pháp lý trong trường hợp tài sản bị tiết lộ hoặc mất mát. Trong quá trình xem xét lại, để thực hiện phân tích chi phí/lợi ích của biện pháp bảo vệ, bạn phải tính toán ba yếu tố sau: ▪ ALE trước-biện-pháp-bảo-vệ đối với một cặp tài-sản-mối-đe-dọa, ▪ ALE sau-biện-pháp-bảo-vệ tiềm năng đối với một cặp tài-sản-mối-đe-dọa, ▪ ACS (chi phí hàng năm của biện pháp bảo vệ). Với những yếu tố này, cuối cùng thì b ạn có thể có được một giá trị cho công thức chi phí/lợi ích đối với biện pháp bảo vệ cụ thể so với một rủi ro cụ thể đối với một tài sản cụ thể: (ALE trước-biện-pháp-bảo-vệ - ALE sau-biện-pháp-bảo-vệ) – ACS Hoặc, thậm chí đơn giản hơn: (ALE1 – ALE2) – ACS Biện pháp đối phó với giá trị kết quả lớn nhất từ công thức chi phí/lợi ích này hợp lý nhất về mặt kinh tế để triển khai cho cặp tài-sản-mối-đe-dọa cụ thể. Điều quan trọng là cần công nhận rằng với mọi phép tính toán được sử dụng trong quá trình đánh giá r ủi ro định lượng (Bảng 2.2), giá trị cuối cùng được sử dụng cho quá trình thiết lập mức ưu tiên và lựa chọn. Bản thân những giá trị không hoàn toàn phản ảnh hết những chi phí hoặc tổn thất do vi phạm bảo mật trong-thế-giới-thực. Đây là điều hiển nhiên vì mức độ phỏng đoán, phân tích mang tính thống kê, và dự đoán xác suất cần thiết trong quá trình. Khi bạn đã tính toán được một chi phí/lợi ích cho từng biện pháp bảo vệ đối với từng cặp tài-sản-mối-đe-dọa, sau đó bạn phải sắp xếp những giá trị này. Trong hầu hết các trường hợp, chi phí/lợi ích với giá trị cao nhất chính là biện pháp bảo vệ tốt nhất để triển khai cho rủi ro cụ thể đó đối với một tài sản cụ thể. Tuy nhiên, cũng giống như tất cả những điều khác trong thế giới thực, đây chỉ là một phần của quá trình đưa-ra-quyết-định. Mặc dù rất quan trọng và thường là yếu tố định hướng chủ yếu nhưng nó không phải là yếu tố duy nhất của dữ 206 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống liệu. Các hạng mục khác bao gồm chi phí thực tế, ngân sách bảo mật, khả năng tương thích với các hệ thống hiện có, cơ sở kỹ năng/kiến thức của nhân viên CNTT, và tính sẵn có của sản phẩm cũng như các vấn đề chính trị, quan hệ đối tác, xu hướng thị trường, mốt nhất thời, tiếp thị, hợp đồng và chủ nghĩa thiên vị. Là một phần của quản lý cấp cao hoặc thậm chí là nhân viên CNTT, bạn có trách nhiệm nắm lấy hoặc sử dụng tất cả dữ liệu và thông tin sẵn có để đưa ra quyết định bảo mật tốt nhất cho tổ chức của mình. Để thảo luận thêm về các vấn đề về biện pháp bảo vệ, biện pháp kiểm soát bảo mật và lựa chọn biện pháp đối phó, hãy xem phần “Lựa chọn và Triển khai Biện pháp đối phó”, nằm ở phần sau của chương này. BẢNG 2.2 Các công thức phân tích rủi ro định lượng Khái niệm Công thức hoặc ý nghĩa Giá trị tài sản (AV) $ Hệ số phơi nhiễm (EF) % Tổn thất dự kiến đơn lẻ (SLE) SLE = AV x EF Tỷ lệ xảy ra theo hàng năm (ARO) # [số lần xảy ra]/năm Tổn thất dự kiến theo hàng năm (ALE) ALE = SLE x ARO hoặc ALE = AV x EF x ARO Chi phí hàng năm cho biện pháp bảo vệ (ACS) $/năm Giá trị hoặc lợi ích của biện pháp bảo vệ (nghĩa là phương trình chi phí/lợi ích) (ALE1 – ALE2) - ACS 207 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Ôi trời, quá nhiều tính toán Đúng vậy, phân tích rủi ro định lượng liên quan rất nhiều đến toán học. Những câu hỏi tính toán trong kỳ thi CISSP rất có khả năng liên quan đến phép nhân cơ bản. Rất có thể, bạn sẽ được hỏi các câu hỏi định nghĩa, ứng dụng và tổng hợp khái niệm trong kỳ thi. Điều này có nghĩa là bạn cần biết định nghĩa của các phương trình/công thức và giá trị (Bảng 2.2), ý nghĩa của chúng là gì, tại sao chúng lại quan trọng và cách chúng được sử dụng để mang lại lợi ích cho một tổ chức như thế nào. Hầu hết các tổ chức đều có ngân sách hạn chế và quá-hữu-hạn để hoạt động. Vì vậy, việc có được sự bảo mật tốt nhất với chi phí đó là một phần thiết yếu của quản lý bảo mật. Để quản lý chức năng bảo mật một cách hiệu quả, bạn phải đánh giá ngân sách, các chỉ số về lợi ích và hiệu suất cũng như những nguồn lực cần thiết cho từng biện pháp kiểm soát bảo mật. Chỉ sau khi đánh giá kỹ lưỡng, bạn mới có thể xác định các biện pháp kiểm soát nào là cần thiết và có lợi, không chỉ cho bảo mật mà còn cho lợi nhuận của bạn. Nói chung, lý do tổ chức đã không được bảo vệ khỏi một mối đe dọa hoặc rủi ro không thể chấp nhận được chỉ là vì thiếu vốn không phải là một lý do hợp lý. Toàn bộ các tùy chọn biện pháp bảo vệ cần được xem xét trong mối tương quan với ngân sách hiện tại. Sự thỏa hiệp hoặc điều chỉnh các ưu tiên có thể là điều cần thiết để giảm rủi ro tổng thể xuống mức có thể chấp nhận được với những nguồn lực sẵn có. Hãy nhớ rằng bảo mật tổ chức phải dựa trên một đề án kinh doanh, hợp lý về mặt pháp lý và phù hợp một cách hợp lý với các khuôn khổ, quy định và thực tiễn tốt nhất về bảo mật. Lựa chọn và Triển khai các Biện pháp đối phó Việc lựa chọn một biện pháp đối phó, biện pháp bảo vệ hoặc biện pháp kiểm soát (nói ngắn gọn là biện pháp kiểm soát bảo mật) trong lĩnh vực quản lý rủi ro phụ thuộc rất nhiều vào kết quả phân tích chi phí/lợi ích. Tuy nhiên, bạn nên cân nhắc một vài yếu tố khác khi đánh giá giá tr ị hoặc sự thích đáng của một biện pháp kiểm soát bảo mật: ▪ Chi phí của biện pháp đối phó nên ít hơn giá trị của tài sản. ▪ Chi phí của biện pháp đối phó nên ít hơn lợi ích của biện pháp đối phó. 208 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Kết quả của biện pháp đối phó được áp dụng nên khiến cho chi phí của một cuộc tấn công đối với kẻ xâm nhập lớn hơn lợi ích có được từ cuộc tấn công. ▪ Biện pháp đối phó nên cung cấp được một giải pháp cho một vấn đề thực tế và đã được xác định. (Đừng sử dụng biện pháp đối phó chỉ vì chúng đang sẵn có, được quảng cáo, hoặc nghe có vẻ hợp lý). ▪ Lợi ích của biện pháp đối phó không nên phụ thuộc vào tính bí mật của nó. Bất kỳ biện pháp đối phó khả thi nào cũng có thể trụ vững trước sự tiết lộ công khai và sự giám sát của công chúng và do đó, duy trì được sự bảo vệ ngay cả khi được biết đến. ▪ Lợi ích của biện pháp đối phó phải có thể kiểm tra và xác minh được. ▪ Biện pháp đối phó phải cung cấp sự bảo vệ nhất quán và thống nhất đối với tất cả người dùng, hệ thống, giao thức, v.v… ▪ Biện pháp đối phó nên có ít hoặc không có phụ thuộc để giảm các lỗi do sự phân tầng. ▪ Biện pháp đối phó cần phải có sự can thiệp tối thiểu của con người sau khi đã được triển khai và cấu hình ban đầu. ▪ Các biện pháp đối phó nên được chống giả mạo. ▪ Biện pháp đối phó chỉ nên có quyền ghi đè cho các nhân viên vận hành có đặc quyền [hàm ý rằng chỉ có những nhân viên vận hành có đặc quyền mới có quyền ghi đè lên các biện pháp đối phó]. ▪ Biện pháp đối phó nên cung cấp các tùy chọn chế độ fail-safe và/hoặc failsecure. Hãy lưu ý rằng bảo mật nên được thiết kế để hỗ trợ và kích hoạt các tác vụ và chức năng nghiệp vụ. Do đó, các biện pháp đối phó và biện pháp bảo vệ cần phải được đánh giá trong bối cảnh của một quy trình nghiệp vụ. Nếu không có đề án kinh doanh rõ ràng đối với một biện pháp bảo vệ, nó có lẽ không phải là một lựa chọn bảo mật hiệu quả. Các biện pháp bảo mật, biện pháp đối phó và biện pháp bảo vệ có thể được triển khai về mặt quản lý hành chính, logic/kỹ thuật hoặc vật lý. Ba thể loại cơ chế bảo mật này nên được triển khai theo cách thức phòng-thủ-có-chiều-sâu được phân lớp khái niệm để mang lại lợi ích tối đa (Hình 2.4). Ý tưởng này dựa trên 209 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống khái niệm rằng các chính sách (một phần của các biện pháp kiểm soát hành chính) định hướng tất cả các khía cạnh của bảo mật và do đó hình thành lớp bảo vệ ban đầu xung quanh tài sản. Tiếp theo, các biện pháp kiểm soát logic và kỹ thuật cung cấp khả năng bảo vệ chống lại các cuộc tấn công và khai thác luận lý. Sau đó, các biện pháp kiểm soát vật lý cung cấp khả năng bảo vệ chống lại các cuộc tấn công vật lý trong thế giới thực chống lại cơ sở vật chất và thiết bị. HÌNH 2.4 Các thể loại kiểm soát bảo mật trong một triển khai kiểu phòng-thủcó-chiều-sâu Hành chính Thể loại biện pháp kiểm soát hành chính là các chính sách và thủ tục được định nghĩa bởi một chính sách bảo mật của tổ chức và các quy định hoặc yêu cầu khác. Đôi khi chúng còn được gọi là các biện pháp kiểm soát quản lý, các biện pháp kiểm soát thuộc cấp quản lý hoặc các biện pháp kiểm soát mang tính thủ tục. Những biện pháp kiểm soát này tập trung vào giám sát nhân sự và thực tiễn của doanh nghiệp. Các ví dụ về biện pháp kiểm soát hành chính bao g ồm các chính sách, thủ tục, thực tế tuyển dụng, kiểm tra lý lịch, phân loại và ghi nhãn dữ liệu, nỗ lực đào tạo và nâng cao nhận thức về bảo mật, báo cáo và đánh giá, giám sát công việc, kiểm soát nhân sự và kiểm tra. 210 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Kỹ thuật hoặc Logic Thể loại biện pháp kiểm soát kỹ thuật hoặc biện pháp kiểm soát logic liên quan đến các cơ chế phần cứng hoặc phần mềm được sử dụng để quản lý quyền truy cập và cung cấp bảo vệ cho các nguồn tài nguyên và hệ thống CNTT. Các ví dụ về biện pháp kiểm soát logic hoặc kỹ thuật bao gồm các phương pháp xác thực (chẳng hạn như mật khẩu, thẻ thông minh và sinh trắc học), mã hóa, giao diện bị ràng buộc, danh sách kiểm soát truy cập, giao thức, tường lửa, bộ định tuyến, hệ thống phát hiện xâm nhập (IDS) và mức cắt. Vật lý Các biện pháp kiểm soát vật lý là các cơ chế bảo mật tập trung vào việc bảo vệ cơ sở vật chất và các đối tượng trong thế giới thực. Các ví dụ về kiểm soát vật lý bao gồm nhân viên bảo vệ, hàng rào, máy dò chuyển động, cửa bị khóa, cửa sổ được niêm phong, đèn chiếu sáng, bảo vệ cáp, khóa máy tính xách tay, huy hiệu, thẻ quẹt, chó bảo vệ, máy quay video, tiền sảnh kiểm soát truy cập và báo động. Các kiểu Biện pháp kiểm soát có thể Áp dụng được Thuật ngữ biện pháp kiểm soát đề cập đến một phạm vi rất rộng các biện pháp kiểm soát thực hiện những nhiệm vụ như đảm bảo rằng chỉ có những người dùng được cấp phép mới có thể đăng nhập và ngăn chặn những người dùng trái phép truy cập vào tài nguyên. Các biện pháp kiểm soát giảm thiểu một loạt các loại rủi ro bảo mật thông tin. Bạn luôn muốn ngăn chặn bất kỳ loại vấn đề hoặc sự cố bảo mật nào bất cứ khi nào có thể. Tất nhiên, điều này không phải lúc nào cũng có thể xảy ra, và các sự kiện không mong muốn sẽ xảy ra. Khi chúng xảy ra, bạn sẽ muốn phát hiện các sự kiện càng sớm càng tốt. Và một khi bạn phát hiện một sự kiện, bạn muốn khắc phục nó. Khi bạn đọc các mô tả về biện pháp kiểm soát, hãy lưu ý rằng một số biện pháp được liệt kê dưới dạng ví dụ về nhiều kiểu biện pháp kiểm soát truy cập. Ví dụ, hàng rào (hoặc thiết bị xác-định-chu-vi) được đặt xung quanh một tòa nhà có thể là một biện pháp kiểm soát phòng ngừa (ngăn cản ai đó tiếp cận khu phức 211 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống hợp của tòa nhà về mặt vật lý) và/hoặc biện pháp kiểm soát ngăn chặn (ngăn cản ai đó cố gắng tiếp cận). Ngăn ngừa Một biện pháp kiểm soát ngăn ngừa (preventive control) (còn gọi là preventative control) được triển khai để ngăn cản hoặc ngăn chặn việc những hoạt động không mong muốn hoặc trái phép xảy ra. Ví dụ về kiểm soát ngăn ngừa bao gồm hàng rào, khóa, xác thực, tiền sảnh kiểm soát truy cập, các hệ thống cảnh báo, phân tách nhiệm vụ, luân chuyển công việc, ngăn chặn mất mát dữ liệu (DLP), kiểm nghiệm xâm nhập, các phương pháp kiểm soát truy cập, mã hóa, kiểm toán, các chính sách bảo mật, đào tạo nâng cao nhận thức về bảo mật , phần mềm chống phần mềm độc hại, tường lửa và các hệ thống ngăn chặn xâm nhập (IPS). Hãy lưu ý rằng không bao giờ có các cơ chế hoặc biện pháp kiểm soát bảo mật hoàn hảo. Tất cả chúng đều có những vấn đề có thể cho phép một tác nhân đe dọa tiếp tục gây ra thiệt hại. Các biện pháp kiểm soát có thể có các lỗ hổng, có thể bị tắt đi, có thể tránh được, có thể bị làm cho quá tải, có thể bị vượt qua, có thể bị lừa bằng cách mạo danh, có thể có các cổng hậu, có thể bị cấu hình sai, hoặc có các vấn đề khác. Do đó, sự không hoàn hảo đã biết này của các biện pháp kiểm soát bảo mật riêng lẻ được giải quyết bằng cách sử dụng một chiến lược phòng-thủ-có-chiều-sâu. Ngăn cản Một biện pháp kiểm soát ngăn cản (deterrence control) được triển khai để làm nản lòng những nỗ lực vi phạm chính sách bảo mật. Các biện pháp kiểm soát ngăn ngừa và ngăn cản là tương tự nhau, tuy nhiên các biện pháp kiểm soát ngăn cản thường phụ thuộc vào việc các cá nhân được thuyết phục không thực hiện hành động không mong muốn. Một số ví dụ bao gồm các chính sách, đào tạo nâng-cao-nhận-thức-về-bảo-mật, khóa, hàng rào, huy hiệu bảo mật, nhân viên bảo vệ, tiền sảnh kiểm soát truy cập, và các camera an ninh. 212 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Nhận diện (Phát hiện) Biện pháp kiểm soát nhận diện (detective control) được triển khai để khám phá hoặc phát hiện ra hoạt động không mong muốn hoặc hoạt động trái phép. Biện pháp kiểm soát nhận diện hoạt động sau khi đã xảy ra trong thực tế và có thể khám phá hoạt động chỉ sau khi nó đã xảy ra. Ví dụ về các biện pháp kiểm soát nhận diện bao gồm nhân viên bảo vệ, máy dò chuyển động, ghi âm và xem xét các sự kiện được camera an ninh hoặc CCTV ghi lại, luân chuyển công việc, kỳ nghỉ bắt buộc, dấu vết kiểm toán, lỗ hổng bảo mật hoặc honeynet, hệ thống phát hiện xâm nhập (IDS), các báo cáo vi phạm, giám sát và xem xét người dùng và điều tra sự cố. Bù trừ Biện pháp kiểm soát bù trừ (compensating control) được triển khai để cung cấp các tùy chọn khác nhau đối với các biện pháp kiểm soát hiện có khác để hỗ trợ việc thực thi và hỗ trợ các chính sách bảo mật. Chúng có thể là bất kỳ biện pháp kiểm soát nào được sử dụng bên cạnh hoặc thay thế cho một biện pháp kiểm soát khác. Chúng có thể là một phương tiện để cải thiện tính hiệu quả của biện pháp kiểm soát chính hoặc là tùy chọn thay thế hoặc chuyển đổi dự phòng trong trường hợp biện pháp kiểm soát chính bị lỗi. Ví dụ, nếu biện pháp kiểm soát ngăn ngừa không ngăn chặn được việc xóa tập tin thì một bản sao lưu có thể là biện pháp kiểm soát bù trừ, cho phép khôi phục lại tập tin đó. Và đây là một ví dụ khác: nếu hệ thống phòng cháy chữa cháy của một tòa nhà bị lỗi và tòa nhà xảy ra hỏa hoạn khiến cho nó bị hư hại đến mức không thể ở được thì một biện pháp kiểm soát bù trừ sẽ có một kế hoạch khôi phục sau thảm họa (DRP) với một địa điểm xử lý thay thế sẵn sàng để hỗ trợ hoạt động của công việc . Khắc phục Biện pháp kiểm soát khắc phục (corrective control) điều chỉnh môi trường để hệ thống trở lại hoạt động bình thường sau khi xảy ra hoạt động không mong muốn hoặc hoạt động trái phép. Nó cố gắng khắc phục bất kỳ vấn đề nào do sự cố bảo mật. Các biện pháp kiểm soát khắc phục có thể rất đơn giản, chẳng hạn như chấm dứt hoạt động độc hại hoặc khởi động lại hệ thống. Chúng cũng bao gồm các giải pháp chống phần mềm độc hại có thể loại bỏ hoặc cách ly vi-rút, kế hoạch sao lưu và khôi phục để đảm bảo rằng dữ liệu bị mất có thể được khôi 213 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống phục và hệ thống ngăn chặn xâm nhập (IPS) có thể thay đổi môi trường để ngăn chặn một cuộc tấn công đang diễn ra. Biện pháp kiểm soát được triển khai để sửa chữa hoặc khôi phục tài nguyên, chức năng và năng lực sau một vi phạm chính sách bảo mật. Ví dụ bao gồm cài đặt một lò xo trên cửa để nó sẽ đóng và khóa lại, đồng thời sử dụng các công cụ kiểm-tra-tính-toàn-vẹn của tập tin, chẳng hạn như sigverif từ Windows, vốn sẽ thay thế các tập tin khởi động bị hư hỏng sau mỗi sự kiện khởi động để bảo vệ tính ổn định và bảo mật của Hệ điều hành đã được khởi động. Khôi phục Biện pháp kiểm soát khôi phục (recovery control) là một phần mở rộng của biện pháp kiểm soát khắc phục nhưng có các khả năng nâng cao hoặc phức tạp hơn. Một biện pháp kiểm soát khôi phục cố gắng sửa chữa hoặc khôi phục lại nguồn tài nguyên, chức năng và năng lực sau một vi phạm chính sách bảo mật. Các biện pháp kiểm soát khôi phục thường giải quyết các sự kiện gây ra thiệt hại đáng kể hơn so với các biện pháp kiểm soát khắc phục, đặc biệt khi các vi phạm bảo mật có thể đã xảy ra. Ví dụ về kiểm soát khôi phục bao gồm sao lưu và khôi phục, hệ thống ổ đĩa có khả năng chịu lỗi, hình ảnh hệ thống, phân cụm máy chủ, phần mềm chống phần mềm độc hại và tạo bóng (shadowing) của cơ sở dữ liệu hoặc máy ảo. Trong mối tương quan với tính liên tục của hoạt động kinh doanh và khôi phục sau thảm họa, các biện pháp kiểm soát khôi phục có thể bao gồm các vị trí nóng, ấm và lạnh, các cơ sở vật chất xử lý luân phiên, các phòng dịch vụ, các thỏa thuận tương hỗ, các nhà cung cấp đám mây, xoay vòng các trung tâm điều hành di động và các giải pháp đa địa điểm. Chỉ thị Biện pháp kiểm soát chỉ thị (directive control) được triển khai để định hướng, giới hạn hoặc kiểm soát các hành động của các chủ thể để bắt buộc hoặc khuyến khích tính tuân thủ đối với các chính sách bảo mật. Các ví dụ về các biện pháp kiểm soát chỉ thị bao gồm các yêu cầu hoặc tiêu chí của chính sách bảo mật, các thông báo được đăng, hướng dẫn từ nhân viên an ninh, biển báo lối thoát hiểm, theo dõi, giám sát và các thủ tục. 214 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Đánh giá Biện pháp kiểm soát Bảo mật Đánh giá biện pháp kiểm soát bảo mật (security control assessment - SCA) là việc đánh giá chính thức các cơ chế riêng lẻ của cơ sở hạ tầng bảo mật so với đường cơ sở hoặc kỳ vọng về độ tin cậy. SCA có thể được thực hiện bên cạnh hoặc độc lập với một đánh giá bảo mật đầy đủ, chẳng hạn như kiểm nghiệm xâm nhập hoặc đánh giá lỗ hổng. Mục đích của SCA là để đảm bảo tính hiệu quả của các cơ chế bảo mật, đánh giá chất lượng và tính kỹ lưỡng của các quy trình quản lý rủi ro của tổ chức và tạo ra một báo cáo về điểm mạnh và điểm yếu tương đối của cơ sở hạ tầng bảo mật đã được triển khai. Kết quả của một SCA có thể xác nhận rằng một cơ chế bảo mật đã duy trì được mức độ hiệu quả đã được xác minh trước đó của nó hoặc hành động đó phải được thực hiện để giải quyết tình trạng một biện pháp kiểm soát bảo mật bị thiếu sót. Ngoài việc xác minh độ tin cậy của các biện pháp kiểm soát bảo mật, việc đánh giá nên xem xét việc liệu các biện pháp kiểm soát bảo mật có ảnh hưởng đến quyền riêng tư hay không. Một số biện pháp kiểm soát có thể cải thiện khả năng bảo vệ quyền riêng tư, trong khi những biện pháp khác trên thực tế có thể gây ra sự vi phạm quyền riêng tư. Khía cạnh quyền riêng tư của một biện pháp kiểm soát bảo mật cần được đánh giá dựa trên các quy định, nghĩa vụ hợp đồng và chính sách/cam kết về quyền riêng tư của tổ chức. Nói chung, SCA là một quy trình được triển khai bởi các cơ quan liên bang Hoa Kỳ dựa trên NIST SP 800-53 Rev. 5, có tiêu đề là “Các biện pháp kiểm soát Bảo mật và Quyền riêng tư dành cho các Tổ chức và Hệ thống Thông tin” (csrc.nist.gov/publications/detail/sp/800 -53/rev-5/final). Tuy nhiên, mặc dù đã được định nghĩa là một quy trình của chính phủ, khái niệm đánh giá độ tin cậy và hiệu quả của các biện pháp kiểm soát bảo mật nên được áp dụng bởi mọi tổ chức cam kết duy trì nỗ lực bảo mật thành công. Giám sát và Đo lường Các biện pháp kiểm soát bảo mật nên mang lại lợi ích có thể được giám sát và đo lường. Nếu những lợi ích của các biện pháp kiểm soát bảo mật không thể được định lượng, đánh giá, hoặc so sánh thì trên thực tế, nó không mang lại bất kỳ tính bảo mật nào. Một biện pháp kiểm soát bảo mật có thể cung cấp khả năng 215 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống giám sát bẩm sinh hoặc giám sát nội bộ, hoặc việc giám sát từ bên ngoài cũng có thể được yêu cầu. Bạn nên cân nhắc điều này khi lựa chọn biện pháp đối phó ban đầu. Việc đo lường tính hiệu quả của một biện pháp đối phó không phải lúc nào cũng là một giá trị tuyệt đối. Rất nhiều biện pháp đối phó đưa ra mức độ cải thiện thay vì những con số cứng nhắc cụ thể về số lượng các vụ vi phạm đã được ngăn chặn hoặc số lượng các cuộc tấn công đã bị cản trở. Thông thường, để có được các phép đo sự thành công hay thất bại của biện pháp đối phó, việc giám sát và ghi lại các sự kiện cả trước lẫn sau khi biện pháp bảo vệ được thiết lập là điều cần thiết. Những lợi ích có thể chỉ được đo lường một cách chính xác nếu thời điểm bắt đầu (nghĩa là, điểm bình thường hoặc mức rủi ro ban đầu) được biết đến. Một phần của phương trình chi phí/lợi ích có tính đến việc giám sát và đo lường biện pháp đối phó. Chỉ bởi vì một biện pháp kiểm soát bảo mật mang lại một số mức độ bảo mật được gia tăng không nhất thiết có nghĩa là lợi ích đã đạt được là tính-hiệu-quả-về-chi-phí. Một cải tiến đáng kể trong bảo mật nên được xác định để biện minh một cách rõ ràng cho khoản chi tiêu của việc triển khai biện pháp đối phó mới. Báo cáo Rủi ro và Tài liệu Báo cáo rủi ro là một nhiệm vụ trọng yếu cần thực hiện khi kết thúc quá trình phân tích rủi ro. Báo cáo rủi ro liên quan đến việc tạo ra một báo cáo rủi ro và trình bày báo cáo đó cho các bên quan tâm/có liên quan. Đ ối với rất nhiều tổ chức, báo cáo rủi ro chỉ là một mối quan tâm nội bộ, trong khi các tổ chức khác có thể có các quy định bắt buộc bên-thứ-ba báo cáo công khai về các phát hiện rủi ro của họ. Báo cáo rủi ro phải chính xác, kịp thời, toàn diện về toàn bộ tổ chức, rõ ràng và chính xác để hỗ trợ cho việc đưa ra quyết định, và phải được cập nhật thường xuyên. Một sổ đăng ký rủi ro (risk register) hoặc nhật ký rủi ro (risk log) là một tài liệu kiểm kê tất cả các rủi ro đã được xác định đối với một tổ chức hoặc hệ thống hoặc trong phạm vi một dự án riêng lẻ. Sổ đăng ký rủi ro được sử dụng để ghi lại và theo dõi các hoạt động của quản lý rủi ro, bao gồm các hoạt động sau: ▪ Nhận diện rủi ro 216 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Đánh giá mức độ nghiêm trọng và ưu tiên các rủi ro đó ▪ Chỉ định các biện pháp ứng phó để giảm thiểu hoặc loại bỏ rủi ro ▪ Theo dõi tiến trình giảm thiểu rủi ro. Sổ đăng ký rủi ro có thể đóng vai trò như một tài liệu quản lý dự án để theo dõi việc hoàn thành các hoạt động ứng phó rủi ro cũng như là một hồ sơ lịch sử về quản lý rủi ro theo thời gian. Nội dung của sổ đăng ký rủi ro có thể được chia sẻ với những người khác để tạo điều kiện đánh giá một cách thực tế hơn về các mối đe dọa và rủi ro trong thế-giới-thực thông qua việc kết hợp các hoạt động quản lý rủi ro của các tổ chức khác. Ma trận rủi ro (risk matrix) hoặc bản đồ nhiệt rủi ro (risk heat map) là một hình thức đánh giá rủi ro được thực hiện trên một đồ thị hoặc biểu đồ cơ bản. Nó đôi khi được gán nhãn là một đánh giá rủi ro định tính. Dạng đơn giản nhất của một ma trận rủi ro là lưới 3 x 3 so sánh xác suất và thiệt hại tiềm ẩn. Điều này đã được đề cập trong Chương 1. Liên tục Cải tiến Việc phân tích rủi ro được thực hiện để cung cấp cho các nhà quản lý cấp trên những thông tin chi tiết cần thiết để quyết định rằng rủi ro nào nên được giảm thiểu, rủi ro nào nên được chuyển giao, rủi ro nào nên được ngăn chặn, rủi ro nào nên tránh và rủi ro nào nên được chấp nhận. Kết quả là một so sánh chi phí/lợi ích giữa chi phí tổn thất tài sản dự kiến và chi phí của việc triển khai các biện pháp bảo vệ chống lại các mối đe dọa và lỗ hổng bảo mật. Phân tích rủi ro xác định rủi ro, định lượng tác động của các mối đe dọa và hỗ trợ việc lập ngân sách cho bảo mật. Nó giúp tích hợp các nhu cầu và mục tiêu của chính sách bảo mật với các mục tiêu và dự định kinh doanh của tổ chức. Phân tích rủi ro/đánh giá rủi ro là một thước đo “đúng lúc”. Các mối đe dọa và lỗ hổng bảo mật liên tục thay đổi và việc đánh giá rủi ro cần phải được thực hiện lại một cách định kỳ để hỗ trợ cho cải tiến liên tục. Bảo mật luôn luôn thay đổi. Do đó, bất kỳ giải pháp bảo mật nào đã được triển khai đều đòi hỏi việc cập nhật và thay đổi theo thời gian. Nếu một lộ trình cải tiến liên tục không được cung cấp bởi một biện pháp đối phó đã được chọn, nó 217 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống nên được thay thế bằng một biện pháp khác mang lại những cải tiến có thể mở rộng đối với bảo mật Một chương trình quản lý rủi ro doanh nghiệp (enterprise risk management – ERM) có thể được đánh giá bằng cách sử dụng Mô hình Trưởng thành Rủi ro (Risk Maturity Model – RMM). Một RMM đánh giá các chỉ số và các hoạt động then chốt của một quát trình quản lý rủi ro trưởng thành, bền vững và có thể lặp lại được. Có một số các hệ thống RMM, và mỗi hệ thống chỉ định các phương tiện khác nhau để đạt được năng lực quản lý rủi ro lớn hơn. Nói chung, chúng thường liên quan tới việc đánh giá mức độ trưởng thành của rủi ro so với một mô hình bao gồm 5-cấp-độ (tương tự như những gì về Mô hình Trưởng thành Năng lự [Capability Maturity Model – CMM], xem Chương ư0, “Bảo mật Phát triển Phần mềm”). Các cấp độ RMM điển hình bao gồm: 1. Đặc biệt – Một điểm khởi đầu hỗn loạn mà từ đó, mọi tổ chức khởi đầu quá trình quản lý rủi ro. 2. Sơ bộ - Những nỗ lực lỏng lẻo được thực hiện để tuân theo các quy trình quản lý rủi ro, nhưng từng bộ phận có thể thực hiện đánh giá rủi ro một cách riêng biệt. 3. Đã được xác định – Một khuôn khổ rủi ro phổ biến hoặc đã được tiêu chuẩn hóa được áp dụng trên quy mô toàn-bộ-tổ-chức. 4. Đã được tích hợp – Hoạt động quản lý rủi ro được tích hợp vào các quy trình nghiệp vụ, các thước đo được sử dụng để thu thập dữ liệu hiệu quả, và rủi ro được coi là một phần tử trong các quyết định chiến lược của doanh nghiệp. 5. Đã được tối ưu – Quản lý rủi ro tập trung vào việc đạt được các mục tiêu hơn là chỉ ứng phó với các mối đe dọa từ bên ngoài, hoạch định chiến lược được tăng cường hướng tới thành công trong kinh doanh thay vì ch ỉ tránh các sự cố, và các bài học kinh nghiệm được tái tích hợp vào quá trình quản lý rủi ro. Nếu bạn hứng thú với việc tìm hiểu nhiều hơn về RMM, có một nghiên cứu khá thú vị về nhiều hệ thống RMM và nỗ lực tìm ra một RMM chung từ các thành phần phổ biến. Xem “Developing a generic risk maturity model (GRMM) for evaluating risk in construction project (tạm dịch - Phát triển một mô hình rủi ro 218 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống trưởng thành chung)” để đánh giá quản lý rủi ro trong các dự án xây dựng) tại địa chỉ www.tandfonline.com/doi/full/10.1080/13669877.2019.1646309 . Một lĩnh vực rủi ro thường bị bỏ qua là các thiết bị cũ kỹ, vốn có thể đã bị EOL và/hoặc EOSL: ▪ Hết-vòng-đời (End-of-life – EOL): là thời điểm mà tại đó một nhà sản xuất không còn sản xuất một sản phẩm nữa. Dịch vụ và hỗ trợ có thể vẫn tiếp tục trong một khoảng thời gian sau khi EOL nhưng không có phiên b ản mới nào sẽ được đưa ra để bán hoặc phân phối. Một sản phẩm đã EOL nên được lập kế hoạch thay thế trước khi nó bị lỗi hoặc bị hết-hạn-hỗ-trợ (endof-support – EOS) hoặc hết-vòng-đời-dịch-vụ (end-of-service-life – EOSL). ▪ EOL đôi khi được nhận biết hoặc được sử dụng tương đương với EOSL. Hết-vòng-đời-dịch-vụ (end-of-service-life – EOSL) hoặc hết-hạn-hỗ-trợ (end-of-support – EOS) là những hệ thống không còn nhận được các bản cập nhật và sự hỗ trợ từ nhà cung cấp. Nếu một tổ chức vẫn tiếp tục sử dụng hệ thống EOSL thì nguy cơ bị xâm phạm là rất cao vì mọi hoạt động khai thác [lỗ hổng] trong tương lai sẽ không bao giờ được vá hoặc khắc phục. Điều quan trọng nhất là phải loại bỏ các hệ thống EOSL để duy trì một môi trường an toàn. Ban đầu, có vẻ như không có hiệu-quả-về-chi-phí hoặc không thực tế khi loại bỏ một giải pháp vẫn đang hoạt động được chỉ vì nhà cung cấp đã chấm dứt sự hỗ trợ. Tuy nhiên, những nỗ lực quản lý bảo mật mà bạn sẽ phải bỏ ra có thể sẽ vượt xa chi phí phát triển và triển khai một sự thay thế dựa-trên-hệ-thống hiện đại. Ví dụ, Adobe Flash Player đã đạt đến EOSL vào ngày 31 tháng 12 năm 2020 và nên đư ợc gỡ bỏ theo khuyến cáo của Adobe. Các Khuôn khổ Rủi ro Một khuôn khổ rủi ro (risk framework) là một hướng dẫn hoặc một công thức về cách rủi ro được đánh giá, giải quyết và giám sát như thế nào. NIST đã thiết lập Khuôn khổ Quản lý Rủi ro (Risk Management Framework - RFM) và Khuôn khổ An ninh mạng (Cybersecurity Framework – CSF). Cả hai đều là những hướng dẫn của chính phủ Hoa Kỳ đối với việc thiết lập và duy trì bảo mật, nhưng CSF được thiết kế cho cơ sở hạ tầng trọng yếu và các tổ chức thương mại, trong khi RMF 219 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống xác lập các yêu cầu bắt buộc cho các cơ quan liên bang. RMF đư ợc thiết lập năm 2010 và CSF – 2014. CSF dựa trên một khuôn khổ cốt lõi cấu thành từ 5 chức năng: Nhận diện, Bảo vệ, Phát hiện, Ứng phó và Khôi phục. CSF không phải là một danh sách kiểm tra hoặc một thủ tục – nó là một chỉ thị các hoạt động vận hành được thực hiện trên cơ sở liên tục để hỗ trợ và cải thiện bảo mật theo thời gian. CSF là một hệ thống cải tiến hơn là một quy trình quản lý rủi ro hoặc cơ sở hạ tầng bảo mật của riêng nó. RMF, được định nghĩa bởi NIST trong SP 800-37 Rev.2 (tại địa chỉ trang web csg.nist.gov/publications/detail/sp/800 -37/rev-2/final), thiết lập nên các yêu cầu bảo mật bắt buộc dành cho các cơ quan liên bang. Đây là m ột khuôn khổ rủi ro chính được tham chiếu bởi kỳ thi CISSP. RMF có 6 giai đo ạn có tính chu kỳ (xem Hình 2.5): Chuẩn bị để thực thi RMF từ quan điểm cấp độ tổ chức và cấp độ hệ thống bằng cách xác lập một bối cảnh và các ưu tiên đối với việc quản lý rủi ro bảo mật và quyền riêng tư. Phân loại hệ thống và thông tin được xử lý, lưu trữ, và truyền tải bởi hệ thống dựa trên một phân tích về tác động của sự mất mát. Lựa chọn một bộ các biện pháp kiểm soát ban đầu đối với hệ thống và điều chỉnh các biện pháp kiểm soát khi cần thiết để giảm thiểu rủi ro đến một mức có thể chấp nhận được dựa trên một đánh giá rủi ro. Triển khai các biện pháp kiểm soát và mô tả cách các biện pháp kiểm soát được triển khai trong phạm vi hệ thống và môi trường hoạt động của nó. Đánh giá cac biện pháp kiểm soát để xác định xem liệu các biện pháp kiểm soát có được triển khai một cách chính xác hay không, có đang vận hành như đã dự định hay không, và tạo ra những kết quả tác động như mong muốn hay không liên quan đ ến việc đáp ứng các yêu cầu bảo mật và quyền riêng tư. 220 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Cấp phép cho hệ thống hay các biện pháp kiểm soát phổ biến dựa trên một xác định rằng rủi ro đối với các hoạt động và tài sản của tổ chức, với các cá nhân và tổ chức khác và quốc gia là có thể chấp nhận được. Giám sát hệ thống và các biện pháp kiểm soát tương ứng trên cơ sở liên tục để bao gồm việc đánh giá tính hiệu quả của các biện pháp kiểm soát, lập thành tài liệu về những thay đổi đối với hệ thống và môi trường hoạt động, và báo cáo về tình hình bảo mật và quyền riêng tư của hệ thống. HÌNH 2.5 Các phần tử của khuôn khổ quản lý rủi ro (RMF) (từ NIST SP 800-37 Rev. 2, Hình 2) Sáu giai đoạn sẽ được thực hiện theo trình tự và lặp lại trong toàn bộ vòng đời của tổ chức. RMF được dự định như một quy trình quản lý rủi ro để xác định và ứng phó với các mối đe dọa. Việc sử dụng RMF sẽ dẫn đến việc thiết lập một cơ sở hạ tầng bảo mật và một quá trình cải thiện liên tục môi trường được bảo vệ. Có nhiều chi tiết đáng kể hơn về RMF trong ấn phẩm chính thức của NIST, chúng tôi khuyến khích bạn đọc lại toàn bộ ấn phẩm này để có cái nhìn đầy đủ về RMF. Phần lớn thông tin trong các phần quản lý rủi ro trước đây trong chương này có nguồn gốc từ RMF. 221 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Một hướng dẫn quan trọng khác đối với quản lý rủi ro là tài liệu ISO/IEC 31000 “Hướng dẫn - Quản lý rủi ro” (Risk management - Guidelines). Đây là một cái nhìn tổng quan cấp-cao về ý tưởng quản lý rủi ro mà nhiều người sẽ được hưởng lợi khi đọc nó. Bạn có thể tìm thấy phiên bản trực tuyến tại www.iso.org/obp/ui/#iso:std:iso:31000:ed -2:v1:en. Hướng dẫn ISO này nhằm dự định sẽ hữu ích cho bất kỳ loại hình tổ chức nào, cho dù là chính phủ hay khu vực tư nhân. Một hướng dẫn đồng hành khác, ISO/IEC 31004 “Quản lý rủi ro Hướng dẫn triển khai implementation of ISO 31000” ISO (Risk 31000) management (tại – địa Guidance chỉ for trang the web www.iso.org/standard/56610.html) cũng có thể đáng được quan tâm, cùng với ISO/IEC 27005, “Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý rủi ro an toàn thông tin” (Information technology – Security techniques – Information security risk management ) (tại địa chỉ trang web www.iso.org/standard/75281.html). RMF của NIST là trọng tâm chính của kỳ thi CISSP, tuy nhiên bạn cũng có thể muốn xem xét những khuôn khổ quản lý rủi ro khác để sử dụng trong đời thực. Hãy cân nhắc những điều dưới đây khi tìm kiếm trong tương lai: ▪ Ủy ban các Tổ chức Bảo trở (COSO) về Quản lý Doanh nghiệp của Ủy ban Treadway – Khuôn khổ được Tích hợp ▪ Khuôn khổ Rủi ro CNTT của ISACA ▪ Đánh giá Mối đe dọa, Tài sản và Lỗ hổng Nghiêm trọng về mặt Vận hành (Operationally Critical Threat, Asset, and Vulnerability Evaluation - OCTAVE) ▪ Phân tích các Yếu tố của Rủi ro Thông tin (Factor Analysis of Information Risk – FAIR) ▪ Để Đánh giá Rủi ro Tác nhân Đe doạn (Threat Agent Risk Assessment – TARA). nghiên cứu thêm, bạn sẽ tìm thấy một bài viết (www.csoonline.com/article/2125140/it-risk-assessment- hữu ích tại đây: frameworks-real- world-experience.html). Việc hiểu rằng có một số khuôn khổ được công nhận rõ ràng và việc lựa chọn một khuôn khổ phù hợp với yêu cầu và phong cách của tổ chức bạn là điều rất quan trọng. 222 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Kỹ thuật Xã hội Kỹ thuật xã hội là một hình thức tấn công khai thác bản chất và hành vi của con người. Con người là một mắt xích rất yếu trong bảo mật vì họ có thể mắc sai lầm, bị lừa gây ra thiệt hại hoặc cố tình vi phạm bảo mật của công ty. Các cuộc tấn công kỹ thuật xã hội khai thác những đặc điểm của con người như niềm tin cơ bản vào người khác, mong muốn được hỗ trợ hoặc có xu hướng thể hiện. Điều quan trọng là phải xem xét các rủi ro mà con người đại diện đối với tổ chức của bạn và thực hiện các chiến lược bảo mật để giảm thiểu và xử lý những rủi ro đó. Các cuộc tấn công kỹ thuật xã hội có hai hình thức chính: thuyết phục ai đó thực hiện một hoạt động trái phép hoặc thuyết phục ai đó tiết lộ thông tin bí mật. Với mọi trường hợp trong kỹ thuật xã hội, kẻ tấn công sẽ cố gắng thuyết phục nạn nhân thực hiện một số hoạt động hoặc tiết lộ một phần thông tin mà họ [nạn nhân] không nên làm. Kết quả của một cuộc tấn công thành công là sự rò rỉ thông tin hoặc kẻ tấn công được cấp quyền truy cập luận lý hoặc vật lý vào một môi trường được bảo mật. Dưới đây là một số kịch bản ví dụ về các cuộc tấn công kỹ thuật xã hội phổ biến: ▪ Một trang web tuyên bố cung cấp quyền truy cập tạm thời miễn phí vào các sản phẩm và dịch vụ của mình, tuy nhiên, nó đòi hỏi sự sửa đổi trình duyệt web và/hoặc tường lửa để tải xuống phần mềm truy cập. Những sửa đổi này có thể làm suy giảm các biện pháp bảo vệ bảo mật hoặc khuyến khích nạn nhân cài đặt các đối tượng trình trợ giúp trình duyệt độc hại (browser helper đối tượngs - BHO) (còn được gọi là plug-in, tiện ích mở rộng, tiện ích bổ sung – [plug-in, extensions, add-on). ▪ Bộ phận hỗ trợ kỹ thuật nhận được cuộc gọi từ một người tự xưng là giám đốc bộ phận hiện đang tham gia một cuộc họp kinh doanh ở một thành phố khác. Người gọi nói rằng đã quên mật khẩu của họ và cần đặt lại mật khẩu để họ có thể đăng nhập từ xa để tải xuống một bài thuyết trình quan trọng. ▪ Một người trông giống như một kỹ thuật viên sửa chữa tuyên bố là đã nhận được một cuộc gọi dịch vụ cho một thiết bị bị trục trặc trong tòa nhà. “Kỹ thuật viên” chắc chắn rằng thiết bị chỉ có thể được truy cập từ bên trong 223 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống khu vực văn phòng làm việc của bạn và yêu cầu được cấp quyền truy cập để sửa chữa hệ thống. ▪ Nếu một nhân viên nhận được thông báo từ ai đó yêu cầu nói chuyện với đồng nghiệp bằng tên và hiện tại hoặc trước đây không có nhân viên đó đang làm việc cho tổ chức, đây có thể là một mưu mẹo để tiết lộ tên gọi của nhân viên thực tế hoặc thuyết phục bạn “cung cấp hỗ trợ” vì người gọi đã không có được thông tin chính xác. ▪ Khi một liên hệ trên diễn đàn thảo luận hỏi các câu hỏi về cá nhân, chẳng hạn như học vấn, lịch sử và sở thích của bạn, họ có thể tập trung vào việc tìm hiểu đáp án cho các câu hỏi đặt lại mật khẩu. Một vài trong số những ví dụ kể trên cũng có thể là những sự kiện hợp pháp và lành tính, nhưng bạn có thể thấy cách chúng có thể che giấu động cơ và mục đích của một kẻ tấn công như thế nào. Các kỹ sư xã hội cố gắng che giấu và ẩn đi ý định thực sự của họ bằng cách khiến cho cuộc tấn công của họ trông có vẻ bình thường và điển hình nhất có thể. Bất cứ khi nào một vi phạm bảo mật xảy ra, một cuộc điều tra nên được tiến hành để xác định xem điều gì đã bị ảnh hưởng và liệu cuộc tấn công có đang tiếp tục diễn ra hay không. Nhân viên nên đư ợc đào tạo lại để phát hiện và tránh các cuộc tấn công kỹ thuật xã hội tương tự trong tương lai. Mặc dù các cuộc tấn công kỹ thuật xã hội chủ yếu tập trung vào con người nhưng kết quả của một cuộc tấn công có thể là tiết lộ tài liệu riêng tư hoặc bí mật, thiệt hại vật chất đối với cơ sở vật chất hoặc truy cập từ xa vào môi trường CNTT. Do đó, bất kỳ vi phạm kỹ thuật xã hội đã cố gắng hoặc thành công nào đều phải được điều tra một cách kỹ lưỡng và được ứng phó. Những phương pháp bảo vệ để chống lại kỹ thuật xã hội bao gồm: ▪ Đào tạo nhân sự về các cuộc tấn công kỹ thuật xã hội và các nhận biết những dấu hiệu phổ biến. ▪ Yêu cầu xác thực khi thực hiện các hành động đối với mọi người khi trao đổi qua điện thoại. ▪ Xác định những thông tin bị hạn chế sẽ không bao giờ được truyền đạt qua điện thoại hoặc thông qua các giao tiếp dạng văn bản thô chẳng hạn như email tiêu chuẩn, 224 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Luôn xác minh thông tin đăng nhập của một nhân viên sửa chữa và xác nhận rằng một cuộc gọi dịch vụ thực tế đã được thực hiện bởi nhân sự đã được ủy quyền. ▪ Không bao giờ tuân theo các hướng dẫn của một email mà không xác minh thông tin với ít nhất hai nguồn đáng tin cậy và độc lập. ▪ Luôn luôn thận trọng khi giao dịch với bất kỳ ai mà bạn không biết hoặc không nhận ra, dù gặp trực tiếp, qua điện thoại hay qua Internet/mạng. Nếu một số nhân viên báo cáo về cùng một sự kiện kỳ quặc, chẳng hạn như một cuộc gọi hoặc email thì một cuộc điều tra nên xem xét nội dung của người liên hệ là gì, ai đã khởi xướng nó và dự định hoặc mục đích là gì. Biện pháp phòng thủ quan trọng nhất chống lại các cuộc tấn công kỹ thuật xã hội là giáo dục người dùng và đào tạo nâng cao nhận thức. Một liều lượng đủ lành mạnh của sự hoang tưởng và nghi ngờ sẽ giúp người dùng phát hiện ra hoặc nhận thấy nhiều nỗ lực tấn công mạng xã hội hơn so với khi không có sự chuẩn bị như vậy. Việc đào tạo nên bao gồm nhập vai và diễn tập nhiều ví dụ về các hình thức tấn công kỹ thuật xã hội khác nhau. Tuy nhiên, hãy nh ớ rằng những kẻ tấn công liên tục thay đổi phương pháp tiếp cận và cải thiện phương tiện tấn công của chúng. Vì vậy, việc cập nhật các phương tiện tấn công kỹ thuật xã hội mới được phát hiện cũng là điều cần thiết để bảo vệ chống lại mối đe dọa tập trung vào con người này. Người dùng nên nhận được sự đào tạo khi họ lần đầu tiên gia nhập tổ chức, và họ nên nhận được những khóa đào tạo nhắc lại định kỳ, kể cả đây chỉ là một email từ quản trị viên hoặc nhân viên đào tạo nhắc nhở họ về các mối đe dọa. Các Nguyên tắc Kỹ thuật Xã hội Kỹ thuật xã hội hoạt động khá tốt bởi vì chúng ta là con người. Những nguyên tắc của các cuộc tấn công kỹ thuật xã hội được thiết kế để tập trung vào những khía cạnh khác nhau của bản chất con người và tận dụng ưu thế của chúng. Mặc dù không phải mọi mục tiêu đều khuất phục trước mọi cuộc tấn công nhưng phần lớn chúng ta đều dễ bị tổn thương với một hoặc nhiều nguyên tắc kỹ thuật xã hội dưới đây. 225 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Thẩm quyền Thẩm quyền là một kỹ thuật có hiệu quả bởi vì hầu hết mọi người đều có khả năng sẽ phản hồi lại với thẩm quyền bằng sự phục tùng. Bí quyết ở đây là thuyết phục mục tiêu rằng kẻ tấn công là người có thẩm quyền hợp lệ bên trong hoặc bên ngoài [tổ chức]. Một số kẻ tấn công tuyên bố thẩm quyền của họ bằng lời nói, và những kẻ khác ra vẻ quyền lực bằng cách mặc trang phục hoặc đồng phục. Một ví dụ là một email được gửi bằng email giả mạo của CEO, trong đó người lao động được thông báo rằng họ phải truy cập một công cụ định vị tài nguyên chung (universal resource locator - URL)/chỉ báo nguồn lực toàn cầu (universal resource indicator - URI) cụ thể để điền vào một tài liệu nhân sự quan trọng. Phương pháp này hoạt động khi nạn nhân làm theo một cách mù quáng các hướng dẫn được cho là của người có thẩm quyền. Sự đe dọa Đe dọa đôi khi có thể được coi là một hình thức phái sinh của nguyên tắc thẩm quyền. Đe dọa sử dụng thẩm quyền, sự tự tin hoặc thậm chí là mối đe dọa gây ra thiệt hại để thúc đẩy ai đó làm theo mệnh lệnh hoặc hướng dẫn. Thông thường, sự đe dọa tập trung vào việc khai thác sự không chắc chắn trong một tình huống mà chỉ thị rõ ràng về hoạt động hoặc phản ứng đã không được xác định. Một ví dụ là sự mở rộng trên email tài liệu Nhân sự và CEO trước đây để bao gồm một tuyên bố tuyên bố rằng nhân viên sẽ phải đối mặt với hình phạt nếu họ không điền vào biểu mẫu một cách kịp thời. Hình phạt có thể là mất ngày thứ Sáu bình thường, bị loại khỏi Taco vào thứ Ba, giảm lương hoặc thậm chí là chấm dứt hợp đồng. Sự đồng thuận Sự đồng thuận hoặc bằng chứng xã hội là hành vi lợi dụng xu hướng tự nhiên của một người để bắt chước những gì người khác đang làm hoặc được coi là đã làm trong quá khứ. Ví dụ, các nhân viên pha chế thường bỏ tiền vào lọ tiền boa của họ để khiến cho dịch vụ trông có vẻ được đánh giá cao bởi những người khách trước đó. Theo nguyên tắc kỹ thuật xã hội, kẻ tấn công cố gắng thuyết 226 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống phục nạn nhân rằng một hành động hoặc phản ứng cụ thể là cần thiết để phù hợp với các chuẩn mực xã hội hoặc các sự kiện xảy ra trước đó. Một ví dụ là kẻ tấn công tuyên bố rằng một nhân viên hiện đang không có mặt tại văn phòng đã hứa là sẽ giảm giá lớn khi mua hàng và giao dịch phải xảy ra ngay bây giờ với bạn, với tư cách là nhân viên bán hàng. Sự khan hiếm Sự khan hiếm là một kỹ thuật được sử dụng để thuyết phục ai đó rằng một đối tượng có giá trị cao hơn dựa trên sự khan hiếm của đối tượng. Điều này có thể liên quan đến sự tồn tại của chỉ một số ít mặt hàng đã được sản xuất hoặc cơ hội hạn chế, hoặc rằng phần lớn hàng tồn kho đã được bán và chỉ còn lại một số ít các mặt hàng. Một ví dụ là một kẻ tấn công tuyên bố rằng chỉ còn hai vé tham d ự trận đấu cuối cùng của đội bạn yêu thích và sẽ thật tiếc nếu ai đó tận hưởng trận đấu hơn là bạn. Nếu bạn không nắm bắt chúng ngay bây giờ, cơ hội sẽ mất đi. Nguyên tắc này thường gắn liền với nguyên tắc khẩn cấp. Sự quen thuộc Sự quen thuộc hoặc yêu thích (liking) như một nguyên tắc kỹ thuật xã hội cố gắng khai thác niềm tin bản chất của một người vào điều vốn đã quen thuộc. Kẻ tấn công thường cố gắng tỏ ra có liên hệ hoặc mối quan hệ chung với mục tiêu, chẳng hạn như bạn bè hoặc kinh nghiệm chung, hoặc sử dụng vẻ ngoài để lấy (giả mạo) danh tính của công ty hoặc người khác. Nếu mục tiêu tin rằng một tin nhắn là từ một thực thể đã biết, chẳng hạn như bạn bè hoặc ngân hàng của họ, thì nhiều khả năng họ sẽ tin tưởng vào nội dung và thậm chí hành động hoặc phản hồi. Một ví dụ là kẻ tấn công sử dụng cuộc tấn công bằng hình ảnh (vishing) trong khi giả mạo ID người gọi như là văn phòng bác sĩ của họ. Sự tin tưởng Sự tin tưởng như một nguyên tắc kỹ thuật xã hội liên quan đến việc kẻ tấn công làm việc để phát triển mối quan hệ với nạn nhân. Quá trình này có thể chỉ mất vài giây hoặc kéo dài vài tháng, nhưng cuối cùng kẻ tấn công cố gắng sử dụng 227 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống giá trị của mối quan hệ (sự tin tưởng của nạn nhân đối với kẻ tấn công) để thuyết phục nạn nhân tiết lộ thông tin hoặc thực hiện hành động vi phạm bảo mật của công ty. Một ví dụ là một kẻ tấn công tiếp cận bạn khi bạn đang đi bộ dọc theo con phố, khi chúng xuất hiện để nhặt một tờ 100 đô la từ mặt đất. Kẻ tấn công nói rằng vì hai người đã đứng gần khi số tiền được tìm thấy nên hai người nên chia đôi. Chúng sẽ hỏi bạn rằng bạn có muốn thay đổi hay chia đôi số tiền nhặt được. Vì kẻ tấn công đã để bạn giữ tiền trong khi chúng đi xung quanh để tìm người đánh mất nó, điều này có thể đã tạo niềm tin vào người lạ này để bạn sẵn sàng rút tiền mặt trong ví của mình và đưa cho chúng. Nhưng bạn đã không nhận ra việc này cho đến sau đó, khi tờ 100 đô la này là tiền giả và bạn đã bị bắt. Tính khẩn cấp Tính khẩn cấp thường đi kèm với sự khan hiếm, bởi vì nhu cầu hành động nhanh chóng tăng lên do sự khan hiếm cho thấy nguy cơ bỏ lỡ lớn hơn. Tính khẩn cấp thường được sử dụng như một phương pháp để nhận được một phản hồi nhanh chóng từ mục tiêu trước khi họ có đủ thời gian để cân nhắc kỹ lưỡng hoặc từ chối tuân thủ. Một ví dụ là kẻ tấn công sử dụng phương thức lừa đảo hóa đơn thông qua xâm phạm email doanh nghiệp (business enterprise compromise - BEC) để thuyết phục bạn thanh toán hóa đơn ngay lập tức vì một dịch vụ kinh doanh thiết yếu sắp bị cắt hoặc công ty sẽ bị báo cáo với cơ quan thu phí. Khai thác Thông tin Khai thác thông tin (elliciting information) là hoạt động thu thập hoặc tổng hợp thông tin từ hệ thống hoặc con người. Trong bối cảnh kỹ thuật xã hội, nó được sử dụng như một phương pháp nghiên cứu để tạo ra một lý do hiệu quả hơn. Lý do là một mệnh đề sai được tạo ra để nghe có vẻ đáng tin cậy nhằm thuyết phục bạn hành động hoặc phản hồi theo cách có lợi cho kẻ tấn công. Bất kỳ và mọi kỹ thuật xã hội được đề cập trong chương này đều có thể được sử dụng như một vũ khí để gây thiệt hại cho nạn nhân được nhắm mục tiêu và như một phương tiện để có thêm thông tin (hoặc quyèn truy cập). Vì vậy, kỹ thuật xã hội là một công cụ của cả quá trình do thám và tấn công. Dữ liệu được thu thập thông qua 228 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống kỹ thuật xã hội có thể được sử dụng để hỗ trợ cho một cuộc tấn công vật lý hoặc logic/kỹ thuật. Bất kỳ phương tiện hoặc phương pháp nào mà theo đó, một kỹ sư xã hội có thể thu thập thông tin từ mục tiêu là khai thác thông tin. Bất kỳ sự kiện hoặc sự thật hoặc chi tiết nào có thể được tổng hợp, thu thập hoặc lượm lặt từ mục tiêu đều có thể được sử dụng để tạo thành một nguyên do đáng tin cậy và đầy đủ hơn hoặc một câu chuyện sai sự thật, do đó có thể làm gia tăng cơ hội thành công của cấp độ hoặc giai đoạn tiếp theo của một cuộc tấn công. Có thể cho rằng rất nhiều cuộc tấn công mạng tương tự như các cuộc tấn công chiến tranh thực tế. Kẻ tấn công càng biết nhiều về kẻ thù được nhắm mục tiêu thì kế hoạch tấn công càng hiệu quả hơn. Việc bảo vệ chống lại các sự kiện khai thác thông tin thường bao gồm các biện pháp phòng ngừa tương tự như các biện pháp phòng ngừa được sử dụng để chống lại kỹ thuật xã hội. Chúng bao gồm phân loại thông tin, kiểm soát sự di chuyển của dữ liệu nhạy cảm, theo dõi các hành vi cố gắng lạm dụng, đào tạo nhân viên và báo cáo bất kỳ hoạt động đáng ngờ nào cho nhóm bảo mật. Thêm trước Thêm trước là việc bổ sung thêm một thuật ngữ, biểu thức hoặc cụm từ vào phần bắt đầu hoặc tiêu đề của một số giao tiếp khác. Thông thường việc thêm trước được sử dụng để tinh chỉnh thêm hoặc xác lập nguyên do của một cuộc tấn công kỹ thuật xã hội, chẳng hạn như thư rác, lừa đảo, và phishing. Một kẻ tấn công có thể đặt trước một thông điệp tấn công bằng RE: hoặc FW: (tương ứng chỉ ra “có liên quan đến” và “đã được chuyển tiếp”) để khiến cho người nhận nghĩ rằng giao tiếp là phần tiếp tục của một cuộc hội thoại trước đó thay vì liên hệ lần đầu tiên của một kẻ tấn công. Những thuật ngữ thêm trước thường-được-sửdụng là EXTERNAL, PRIVATE và INTERNAL. Các cuộc tấn công thêm trước cũng có thể được sử dụng để đánh lừa các bộ lọc, chẳng hạn như bộ lọc thư rác, phần mềm chống phần mềm độc hại, tường lửa và các hệ thống phát hiện xâm nhập (IDS). Điều này có thể được thực hiện với SAFE, FILTERED, AUTHORIZED, VERIFIED, CONFIRMED ho ặc APPROVED, trong số 229 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống rất nhiều thuật ngữ khác nữa. Thậm chí có thể xen vào các giá trị tiêu đề email thay thế, chẳng hạn như “X-Spam-Category: LEGIT” hoặc “X-Spam-Condition: SAFE”, và điều này có thể đánh lừa các bộ lọc thư rác và bộ lọc lạm dụng. Phishing Phishing là một hình thức tấn công kỹ thuật xã hội tập trung vào việc đánh cắp thông tin xác thực hoặc thông tin nhận dạng từ bất kỳ mục tiêu tiềm năng nào. Nó có nguồn gốc từ “câu cá” để lấy thông tin. Phishing có thể được thực hiện theo nhiều cách bằng cách sử dụng nhiều phương tiện truyền thông khác nhau, bao gồm cả email và web, trong các tương tác mặt-đối-mặt hoặc qua điện thoại, và thậm chí thông qua các phương ti ện liên lạc truyền thống hơn, chẳng hạn như bưu điện hoặc các gói chuyển phát nhanh. Những kẻ tấn công gửi email lừa đảo một cách bừa bãi dưới dạng thư rác, mà không cần biết ai sẽ nhận được chúng, nhưng với một hy vọng rằng có một số người dùng sẽ phản hồi. Đôi khi, các email lừa đảo thông báo cho người dùng về một vấn đề không có thật và nói rằng nếu người dùng không thực hiện hành động thì công ty sẽ khóa tài khoản của người dùng. Địa chỉ email “From” thường bị giả mạo để trông có vẻ hợp pháp, nhưng địa chỉ email “Reply To” là một tài khoản do kẻ tấn công kiểm soát. Các cuộc tấn công tinh vi bao gồm một liên kết đến một trang web giả trông có vẻ hợp pháp nhưng lại nắm bắt thông tin xác thực và chuyển những thông tin này cho kẻ tấn công. Đôi khi, mục tiêu của phishing là cài đặt phần mềm độc hại trên hệ thống của người dùng. Thông điệp có thể bao gồm tập tin đính kèm bị nhiễm hoặc liên kết đến trang web cài đặt phần tải xuống drive-by độc hại mà người dùng không hề hay biết. Một tải về drive-by là một kiểu phần mềm độc hại tự cài đặt chính bản thân nó mà người dùng không hề hay biết khi người dùng ghé thăm một trang web. Các tải về drive-by lợi dụng những lỗ hổng trong trình duyệt hoặc trong các plug-in. 230 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Nếu một thông điệp tuyên bố rằng nó đến từ một nguồn đã biết, chẳng hạn như một trang web được truy cập một cách thường xuyên, người dùng nên truy cập trang web được đề cập bằng cách sử dụng một dấu trang được tạo sẵn hoặc bằng cách tìm kiếm trang web theo tên. Nếu, sau khi truy cập vào tài khoản của họ trên trang web, một thông điệp trùng lặp sẽ không xuất hiện trong hệ thống cảnh báo hoặc tin nhắn trực tuyến thì thông điệp ban đầu có thể làm một cuộc tấn công hoặc là thông điệp giả mạo. Bất kỳ giao tiếp sai lệch nào như vậy nên được báo cáo cho tổ chức được nhắm mục tiêu, và sau đó thông điệp sẽ bị xóa. Nếu cuộc tấn công liên quan đến tổ chức hoặc người sử dụng lao động của bạn, nó cũng nên được báo cáo cho nhóm bảo mật ở đó. Các tổ chức nên cân nhắc những hậu quả và rủi ro gia tăng từ việc cấp cho người lao động quyền truy cập vào email cá nhân và mạng xã hội thông qua các hệ thống của công ty gây ra. Một số công ty đã chọn chặn quyền truy cập vào liên lạc Internet cá nhân trong khi sử dụng thiết bị của công ty hoặc phải thông qua các kết nối mạng do-công-ty-kiểm-soát. Điều này làm giảm rủi ro cho tổ chức ngay cả khi một cá nhân không thể chống lại cuộc tấn công lừa đảo của chính bản thân họ [nghĩa là cuộc tấn công nhắm đến những tài khoản của cá nhân nhân viên, không phải tài khoản của công ty – người dịch]. Mô phỏng phishing là một công cụ được sử dụng để đánh giá khả năng của nhân viên để chống lại hoặc bị rơi vào chiến dịch lừa đảo. Người quản lý bảo mật hoặc người kiểm tra xâm nhập tạo ra một cuộc tấn công lừa đảo để mỗi cú nhấp của nạn nhân đều được chuyển hướng đến một thông báo rằng thông điệp lừa đảo là một mô phỏng và họ có thể cần tham gia khóa đào tạo bổ sung để tránh việc bị tấn công thực sự. Spear Phishing Spear phishing là một hình thức tấn công phishing được nhắm mục tiêu hơn khi thông điệp được tạo ra và điều hướng một cách cụ thể nhắm đến một nhóm các cá nhân. Thông thường, những kẻ tấn công sử dụng một cơ sở dữ liệu khách hàng bị đánh cắp để gửi những thông điệp giả mạo được tạo ra để trông giống như một giao tiếp đến từ doanh nghiệp bị xâm phạm nhưng với địa chỉ nguồn sai lệch và các URI/URL không chính xác. Hy v ọng của kẻ tấn công là rằng một 231 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ai đó, người thực sự có mối quan hệ trực tuyến/kỹ thuật số với một tổ chức có khả năng sẽ rơi vào giao tiếp bị giả mạo đó. Mọi khái niệm và biện pháp phòng thủ đã được thảo luận trong phần trước đó, “Phishing”, đều áp dụng được cho spear phishing. Spear phishing cũng có thể được tạo ra để trông như thể nó đến từ một CEO hoặc lãnh đạo cấp trên của một tổ chức. Phiên bản này của spear phishing còn được gọi là xâm phạm email doanh nghiệp (business email compromise – BEC). BEC thường tập trung vào việc thuyết phục các thành viên của bộ phận tài chính hoặc kế toán chuyển tiền hoặc thanh toán hóa đơn dựa trên những hướng dẫn trông có vẻ như bắt nguồn từ ông chủ, nhà quản lý hoặc giám đốc điều hành. BEC đã lừa đảo trót lọt hàng tỷ đô la từ các tổ chức trong vài năm qua. BEC còn được gọi là lừa đảo CEO (CEO fraud) hoặc giả mạo CEO (CEO spoofing). Như với hầu hết các hình thức kỹ thuật xã hội, các biện pháp phòng thủ đối với spear phishing đòi hỏi những điều sau đây: ▪ Gán nhãn thông tin, dữ liệu, và tài sản theo giá trị, tầm quan trọng hoặc độ nhạy cảm của chúng ▪ Đào tạo nhân viên về cách xử lý đúng đắn những tài sản đó căn cứ vào nhãn dán của chúng ▪ Yêu cầu làm rõ hoặc xác nhận bất kỳ hành động nào trông có vẻ bất thường, ngoài quy trình, hoặc ngược lại, quá rủi ro đối với tổ chức. Một số khái niệm lạm dụng cần phải lưu ý là yêu cầu thanh toán hóa đơn (bill/invoice) bằng thẻ quà tặng trả trước, thay đổi chi tiết hệ thống cáp điện (đặc biệt là vào phút cuối) hoặc yêu cầu mua sản phẩm không điển hình cho người yêu cầu và cần gấp. Khi tìm cách xác nhận một BEC đang bị nghi ngờ, đừng sử dụng cùng một phương tiện liên lạc mà BEC đã sử dụng. Hãy gọi điện thoại đến văn phòng của họ, nhắn tin vào điện thoại di động của họ hoặc sử dụng dịch vụ nhắn tin nội bộ đã được công ty phê duyệt. Việc thiết lập một liên hệ “ngoài-dải-băng-tần” thứ hai với người yêu cầu sẽ xác nhận thêm thông điệp đó là hợp pháp hay giả mạo. 232 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Whaling Whaling là một hình thức spear phishing được nhắm mục tiêu vào các cá nhân có giá trị cao một cách cụ thể (theo chức danh, theo ngành, từ báo đài, v.v…), chẳng hạn như CEO hoặc giám đốc điều hành cấp-C khác, quản trị viên hoặc khách hàng có giá trị ròng cao. Các cuộc tấn công whaling đòi hỏi nhiều thời gian hơn để nghiên cứu, lập kế hoạch và phát triển từ phía những kẻ tấn công để đánh lừa nạn nhân. Đó là bởi vì những nhân sự cấp cao này thường nhận thức rõ rằng họ là một mục tiêu có giá trị cao. Các câu hỏi trong kỳ thi không phải lúc nào cũng sử dụng chính xác những thuật ngữ đúng cho một chủ đề cụ thể. Khi thuật ngữ tốt nhất cho một khái niệm đã không được sử dụng hoặc không hiện diện, hãy xem xét xem liệu một thuật ngữ rộng hơn hoặc bao hàm hơn có thể đã được sử dụng để thay thế hay không. Ví dụ: nếu có đề cập đến một cuộc tấn công email chống lại một CEO để cố gắng đánh cắp bí mật thương mại nhưng không đề cập đến whaling, thì bạn có thể coi đó là một ví dụ về spear phishing. Spear phishing là một khái niệm rộng hơn trong khi whaling là một ví dụ hoặc phiên bản cụ thể hơn. Có nhiều mối quan hệ chacon hoặc tập-hợp-cha-tập-hợp-con giữa các chủ đề trong kỳ thi CISSP. Vì vậy, hãy để ý mẹo hay tính năng này trong cả khi luyện tập và trong đề thi. Smishing Lừa đảo qua Dịch vụ Tin nhắn Ngắn (Short Message Service – SMS) hay smishing (Thư rác thông qua tin nhắn tức thời – Spam over instant messaging – SPIM) là một cuộc tấn công kỹ thuật xã hội xảy ra thông qua các dịch vụ tin nhắn văn bản tiêu chuẩn. Có một số mối de dọa smishing để xem xét, bao gồm: ▪ Những tin nhắn văn bản yêu cầu phản hồi hoặc trả lời. Trong một số trường hợp, những tin nhắn trả lời có thể kích hoạt một sự kiện nhồi nhét (cramming). Nhồi nhét là khi một khoản phí sai hoặc trái phép được đưa vào gói dịch vụ di động của bạn. 233 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Các tin nhắn văn bản có thể bao gồm siêu liên kết/URI/URL đến một trang web lừa đảo hoặc giả mạo hoặc kích hoạt việc cài đặt mã độc hại. ▪ Tin nhắn văn bản có thể chứa các tiền đề để bạn tham gia vào một cuộc hội thoại. ▪ Tin nhắn văn bản có thể bao gồm số điện thoại. Luôn luôn tìm hiểu một số điện thoại trước khi gọi nó, đặc biệt là từ một nguồn không được xác định. Có những số điện thoại có cấu trúc tương tự như số nội hạt hoặc trong nước nhưng thực tế có thể là điện thoại đường dài và không được bao gồm trong dịch vụ hoặc gói cước gọi điện thoại của bạn và việc gọi chúng có thể gây ra cước phí kết nối và cước phí gọi cho mỗi phút khá cao. Mặc dù smishing đề cập đến các cuộc tấn công dựa-trên-SMS nhưng đôi khi nó có thể được sử dụng để chỉ các cuộc tấn công tương tự diễn ra thông qua Dịch vụ Tin nhắn Đa phuong tiện (Multimedia Messaging Service – MMS), Dịch vụ Giao tiếp Phong phú (Rich Communicatio Services – RMS), Google Hangouts, Android Messeger, Facebook Messenger, WeChat, Apple/iPhone iMessage, WhatsApp, Slack, Discord, Microsoft Teams, v.v… Vishing Vishing (nghĩa là, lừa đảo bằng giọng nói) hoặt SpIT (Thư rác qua Điện thoại Internet – Spam over Internet Telephony) là hành vi lừa đảo (phishing) được thực hiện thông qua bất kỳ hệ thống giao tiếp điện thoại hoặc âm thanh nào. Điều này bao gồm các tuyến điện thoại truyền thống, các dịch vụ Thoại-qua-IP (Voice-over-IP - VoIP), và điện thọai di động. Hầu hết các kỹ sư xã hội thực hiện các chiến dịch vishing sử dụng công nghệ VoIP để hỗ trợ các cuộc tấn công của chúng. VoIP cho phép kẻ tấn công ở bất cứ nơi đâu trên thế giới, gọi điện miễn phí cho nạn nhân và có thể giả mạo hoặc mạo danh ID người gọi gốc của họ. Các cuộc gọi vishing có thể thể hiện một ID người gọi hoặc một số điện thoại từ bất kỳ nguồn nào mà kẻ tấn công nghĩ có thể khiến cho nạn nhân trả lời cuộc gọi. 234 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Spam Spam (thư rác) là bất kỳ kiểu email nào không được mong muốn và/hoặc không được yêu cầu. Nhưng spam không chỉ là những quảng cáo không mong muốn, nó cũng có thể bao gồm những nội dung độc hại và các véc-tơ tấn công. Spam thường được sử dụng như phương tiện chuyên chở của các cuộc tấn công kỹ thuật xã hội. Thư rác thực sự là một vấn đề vì một số lý do: ▪ Một số thư rác mang theo mã đ ộc hại chẳng hạn như vi-rút, bom logic, ransomware, hoặc Trojan. ▪ Một số thư rác mang theo các cuộc tấn công kỹ thuật xã hội (hay còn được gọi là thông điệp đánh lừa). ▪ Những email không mong muốn làm lãng phí thời gian của bạn khi bạn phải sắp xếp chúng để tìm kiếm những thông điệp hợp pháp. ▪ Thư rác làm tiêu tốn tài nguyên Internet: dung lượng lưu trữ, chu kỳ tính toán, và thông lượng. Biện pháp đối phó chủ yếu chống lại thư rác là một bộ lọc thư rác. Những bộ lọc email này có thể kiểm tra tiêu đề, chủ đề và nội dung của một thông điệp để tìm kiếm những từ khóa hoặc cụm từ để xác định xem nó [thông điệp] có phải là kiểu thư rác đã biết hay không và sau đó thực hiện những hành động thích hợp để loại bỏ, cách lý hoặc chặn thông điệp. Phần mềm chống thư rác là một biến thể về chủ đề của phần mềm chống phần mềm độc hại. Nó đặc biệt theo dõi các giao tiếp qua email để tìm kiếm thư rác và các hình thức email không mong muốn khác nhằm ngăn chặn các trò lừa bịp, đánh cắp danh tính, lãng phí tài nguyên và khả năng phân phối phần mềm độc hại. Phần mềm chống thư rác thường có thể được cài đặt trên các máy chủ email để bảo vệ toàn bộ tổ chức cũng như trên các hệ thống máy khách cục bộ để lọc bổ sung từ phía người dùng. Ngoài ứng dụng khách hoặc bộ lọc thư rác phía-máy-khách còn có các công cụ chống thư rác dành cho doanh nghiệp, bao gồm Khuôn khổ Chính sách Người gửi (Sender Policy Framework - SPF), Thư Được xác định bằng Khóa Miền (Domain Keys Identified Mail - DKIM) và Báo cáo Xác thực và Tuân thủ Thông điệp Miền 235 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống (Domain Message Authentication Reporting and Conformance - DMARC) (xem Chương 12, “Truyền thông An toàn và Tấn công mạng”). Một vấn đề quan trọng khác cần giải quyết khi quản lý thư rác là email bị giả mạo. Một email giả mạo (spoofed email) là một email có địa chỉ bị nguồn giả mạo hoặc mạo danh. DMARC được sử dụng để lọc các tin nhắn giả mạo. Thư rác thường được kết hợp với email, nhưng thư rác cũng tồn tại trong tin nhắn tức thời (IM), SMS, USENET (Giao th ức Truyền tải Tin tức Mạng [Netork News Transfer Protocol - NNTP]) và nội dung web (chẳng hạn như các thảo luận theo chuỗi, diễn đàn, bình luận và blog). Việc không chặn được thư rác cho phép nó gây ra lãng phí tài nguyên, tiêu t ốn băng thông, khiến người lao động mất tập trung khỏi các hoạt động có năng suất và có khả năng khiến người dùng và hệ thống tiếp xúc với phần mềm độc hại. Nhìn lén qua vai (Shoulder Surfing) Nhìn lén qua vai (shoulder surfing) thường là một hình thức kỹ thuật xã hội trực tiếp hoặc trong thế giới thực. Lướt qua vai xảy ra khi ai đó có khả năng nhìn được bàn phím của người dùng hoặc xem được màn hình của họ. Thông thường, hoạt động nhìn lén qua vai được ngăn chặn bằng cách phân chia các nhóm nhân viên theo mức độ nhạy cảm và hạn chế quyền tiếp cận các khu vực nhất định của tòa nhà bằng cách sử dụng cửa có khóa. Ngoài ra, người dùng không nên hướng màn hình của họ để có thể bị nhìn thấy qua cửa sổ (từ bên ngoài) hoặc lối đi/cửa ra vào (đối với các vấn đề bên trong). Và họ không nên làm việc trên dữ liệu nhạy cảm khi ở trong những không gian công cộng. Các trường mật khẩu phải che dấu các ký tự khi chúng được nhập vào. Một biện pháp bảo vệ khác chống lại nhìn lén qua vai là sử dụng các bộ lọc màn hình, giới hạn trường nhìn thấy chủ yếu ở hướng vuông góc. Lừa đảo Hóa đơn (Invoice Scams) Lừa đảo hóa đơn (invoice scam) là các cuộc tấn công kỹ thuật xã hội thường cố gắng đánh cắp tiền từ một tổ chức hoặc cá nhân thông qua việc xuất trình hóa đơn giả, thường theo sau là những lời dụ dỗ mạnh mẽ để thanh toán [hóa đơn]. Những kẻ tấn công thường cố gắng nhắm mục tiêu vào các thành viên c ủa bộ phận tài chính hoặc của nhóm kế toán. Một số trò lừa đảo hóa đơn thực sự là 236 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống những trò lừa đảo trá hình. Kỹ sư xã hội cũng có khả năng sử dụng phương pháp lừa đảo hóa đơn thông qua một kết nối thoại. Cuộc tấn công này tương tự như một số hình thức của khái niệm BEC. Trong thực tế, một số trò gian lận hóa đơn được kết hợp với BEC để hóa đơn được gửi cho nhân viên kế toán trông có vẻ dường như đã được đi gửi từ CEO. Sự đan xen của các yếu tố tấn công này làm gia tăng thêm tính hợp pháp cho hóa đơn, do đó có cao trong khả năng thuyết phục mục tiêu thanh toán hóa đơn. Để bảo vệ chống lại các trò gian lận hóa đơn, người lao động phải được thông báo về các kênh thích hợp mà thông qua đó, họ sẽ nhận được hóa đơn và các phương tiện để xác nhận rằng bất kỳ hóa đơn nào thực sự hợp lệ. Cần phải có sự tách biệt về nhiệm vụ giữa những nhân viên đặt hàng sản phẩm và dịch vụ và những người thanh toán các hóa đơn. Hai nhóm này cũng nên có m ột nhóm thứ ba để kiểm tra và quản lý các hoạt động của họ. Mọi thương vụ mua lại tiềm năng phải được người giám sát xem xét và phê duyệt, sau đó thông báo về việc mua lại được gửi từ người giám sát đến bộ phận tài khoản phải trả. Khi hóa đơn đến nơi, chúng phải được so sánh với hóa đơn dự kiến dựa trên các giao dịch mua lại được được phê duyệt. Bất kỳ hóa đơn nào không được mong đợi hoặc bất thường khác phải kích hoạt một cuộc thảo luận trực tiếp với người giám sát hoặc người điều hành tài chính khác. Việc phát hiện ra bất kỳ hóa đơn gian lận nào nên được báo cáo cho các cơ quan chức năng. Chuyển phát kỹ thuật số và chuyển phát bưu điện các hóa đơn lừa đảo được coi là một tội phạm gian lận và trộm cắp tiềm ẩn. Việc gửi các hóa đơn sai thông qua Bưu điện Hoa Kỳ cũng có thể bị coi là gian lận bưu chính. Lừa bịp (Hoax) Lừa bịp (hoax) là một dạng kỹ thuật xã hội được thiết kế để thuyết phục các mục tiêu thực hiện một hành động sẽ gây ra các vấn đề hoặc làm giảm bảo mật CNTT của họ. Một trò lừa bịp có thể là một email thông báo một số mối đe dọa sắp xảy ra đang lan truyền trên Internet và rằng bạn phải thực hiện một số nhiệm vụ nhất định để tự bảo vệ mình. Trò lừa bịp thường tuyên bố rằng nếu không thực hiện hành động nào sẽ dẫn đến thiệt hại. Nạn nhân có thể được hướng dẫn xóa các tập tin, thay đổi cài đặt của các cấu hình hoặc cài đặt phần 237 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống mềm bảo mật gian lận, dẫn đến việc Hệ điều hành bị xâm nhập, Hệ điều hành không-khởi-động được hoặc giảm khả năng của các biện pháp bảo vệ bảo mật của họ. Ngoài ra, các email lừa bịp thường khuyến khích nạn nhân chuyển tiếp tin nhắn đến tất cả các địa chỉ liên hệ của họ để “truyền bá thông tin”. Tin nhắn Hoax thường bị giả mạo mà không có một nguồn gốc có thể xác minh được. Bất cứ khi nào bạn gặp phải một trò lừa bịp tiềm ẩn hoặc chỉ lo ngại rằng một mối đe dọa đã được tuyên bố là có thật, hãy tiến hành một nghiên cứu. Một số nơi tuyệt vời để kiểm tra thông tin lừa bịp hoặc tra cứu tin nhắn bị nghi ngờ là trò lừa bịp của bạn là https://www.snopes.com và https://phishtank.com . Mạo danh và Giả mạo Mạo danh (impersonation) là hành động chiếm danh tính của một người khác. Điều này có thể diễn ra trực tiếp, qua điện thoại, qua email, bằng cách đăng nhập vào tài khoản của ai đó hoặc thông qua bất kỳ phương tiện giao tiếp nào khác. Mạo danh cũng có thể được gọi là giả dạng (masquerading), giả mạo và thậm chí là gian lận danh tính. Trong một số trường hợp, mạo danh (impersonation) được định nghĩa là một cuộc tấn công tinh vi và phức tạp hơn, trong khi giả mạo (masquerading) mang tính nghiệp dư và đơn giản hơn. Sự khác biệt này được nhấn mạnh ở sự khác biệt giữa việc thuê trang phục Elvis (nghĩa là giả dạng) cho một bữa tiệc so với việc trở thành người đóng giả Elvis trong sự nghiệp. Các biện pháp bảo vệ chống lại việc mạo danh tại vị trí thực tế có thể bao gồm việc sử dụng huy hiệu truy cập và nhân viên bảo vệ, đồng thời yêu cầu xuất trình và xác minh ID ở tất cả các lối vào. Nếu nhân viên không điển hình đến thăm một cơ sở, chuyến viếng thăm phải được sắp xếp trước và các nhân viên bảo vệ được cung cấp thông báo hợp lý và xác nhận rằng một người không phải là nhân viên sẽ đến thăm. Tổ chức mà khách viếng thăm đến từ đó phải cung cấp chi tiết nhận dạng, bao gồm cả giấy tờ tùy thân có hình ảnh. Khi người đó đến, danh tính của họ phải được so sánh với thông tin nhân dạng đã được cung cấp. Trong hầu hết các môi trường an ninh, khách truy cập không được phép chuyển vùng một cách tự do. Thay vào đó, một người hộ tống phải đi cùng với khách trong toàn bộ thời gian của họ trong phạm vi bảo mật của công ty. 238 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Theo đuôi và Hậu thuẫn (Tailgating và Piggybacking) Theo đuôi (tailgating) xảy ra khi một thực thể trái phép có được quyền tiếp cận một cơ sở theo ủy quyền của một nhân viên hợp lệ nhưng họ không biết điều đó. Cuộc tấn công này có thể xảy ra khi một nhân viên sử dụng thông tin xác thực hợp lệ của họ để mở khóa và mở cửa, sau đó bước vào tòa nhà và cửa đóng lại, tạo cơ hội cho kẻ tấn công ngăn việc cửa đóng lại và đột nhập mà nạn nhân không nhận ra. Theo đuôi là một cuộc tấn công không phụ thuộc vào sự đồng thuận của nạn nhân - chỉ là họ không biết gì về những gì xảy ra phía sau khi họ bước vào một tòa nhà. Mỗi và mọi lần người dùng mở khóa hoặc mở cửa, họ nên đảm bảo rằng cửa đã được đóng và khóa lại trước khi bước đi. Chỉ riêng hành động này cũng đã giúp loại bỏ việc theo đuôi, nhưng nó đòi hỏi nhân viên phải thay đổi hành vi của họ. Ngoài ra còn có áp lực xã hội để giữ cho cửa mở cho ai đó đang đi phía sau bạn, nhưng phép lịch sự này không nên được mở rộng để bao gồm các điểm truy nhập an ninh, thậm chí ngay cả khi bạn nghĩ rằng bạn biết về người đang đi phía sau mình. Chính sách của công ty nên tập trung vào việc thay đổi hành vi của người dùng hướng đến tính bảo mật cao hơn, nhưng phải thừa nhận rằng hoạt động chống lại những bản chất của con người là rất khó khăn. Do đó, một phương tiện khác để thực thi việc bảo vệ chống lại sự theo đuôi nên được triển khai. Chúng có thể bao gồm sử dụng kiểm soát truy cập, tiền sảnh (trước đây còn được gọi là bẫy người – mantrap), camera an ninh, và nhân viên b ảo vệ. Các camera an ninh đóng vai trò như một biện pháp răn đe hơn là ngăn chặn, nhưng việc có được một bản ghi về các sự kiện theo đuôi có thể giúp truy tìm được thủ phạm cũng như xác định chính xác những nhân viên nào cần được đào tạo thêm về bảo mật. Một nhân viên an ninh có thể quan sát một lối ra vào để đảm bảo rằng chỉ có những nhân viên hợp lệ mới được phép đi qua trạm kiểm soát an ninh. Một vấn đề tương tự như việc theo đuôi là việc hậu thuẫn. Hậu thuẫn (piggybacking) xảy ra khi một thực thể trái phép có quyền truy cập vào một cơ sở dưới sự cho phép của một nhân viên hợp pháp bằng cách lừa nạn nhân đưa ra sự đồng ý. Điều này có thể xảy ra khi kẻ đột nhập giả vờ cần được hỗ trợ 239 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống bằng cách cầm một chiếc hộp lớn hoặc nhiều giấy tờ và yêu cầu ai đó “giữ cửa”. Mục đích của kẻ xâm nhập là đánh lạc hướng nạn nhân trong khi kẻ tấn công giành được quyền truy cập để ngăn việc nạn nhân nhận ra rằng kẻ tấn công không cung cấp thông tin đăng nhập của chính họ. Mưu đồ này phụ thuộc vào bản chất tốt của hầu hết mọi người là tin vào cái cớ đó, đặc biệt là khi họ dường như đã “hành xử phù hợp với một vị trí” (dress the part). Khi ai đó yêu cầu hỗ trợ mở cửa an toàn, người dùng nên yêu cầu bằng chứng về sự ủy quyền hoặc đề nghị thay mặt họ quẹt thẻ truy cập của chính người đó. Hoặc, nhân viên nên chuyển hướng người đó đến lối ra vào chính được kiểm soát bởi nhân viên bảo vệ hoặc gọi nhân viên bảo vệ để xử lý tình huống. Ngoài ra, việc sử dụng tiền sảnh kiểm soát ra vào, cửa-quay và camera an ninh cũgn rất hữu ích để ứng phó với việc hậu thuẫn này. Các biện pháp kiểm soát này làm giảm thiểu nguy cơ bị người ngoài đánh lừa để đi vào các khu vực an toàn của bạn. Nhử mồi Khi không thể xâm nhập trực tiếp về mặt hoặc các nỗ lực không thành công, kẻ thù có thể sử dụng kỹ thuật đánh lừa để gửi phần mềm độc hại vào các hệ thống nội bộ. Đánh lừa là khi kẻ tấn công [cố tình] đánh rơi thẻ USB, đĩa quang hoặc thậm chí là ví tiền ở vị trí mà nhân viên có thể gặp phải. Hy vọng của kẻ tấn công là nhân viên sẽ cắm ổ USB hoặc đưa đĩa vào máy tính làm việc, nơi phần mềm độc hại sẽ tự động lây nhiễm vào hệ thống. Ví thường có ghi chú trong đó với URL hoặc địa chỉ IP cùng với thông tin đăng nhập. Hy vọng là nạn nhân sẽ truy cập trang web từ một máy tính đang làm việc và bị lây nhiễm bởi sự kiện drive-by-download hoặc bị lừa bởi một trang web lừa đảo. Lục lọi Đồ phế thải Lục lọi đồ phế thải (dumpster diving) là hành động lục lọi thùng rác, thiết bị hủy [tài liệu] hoặc những vị trí bị bỏ hoang để có được những thông tin về một tổ chức hoặc cá nhân được nhắm mục tiêu. Những vật phẩm thường thu thập được bao gồm các lịch cũ, các danh sách cu ộc gọi, các ghi chú cuộc họp viết tay, các biểu mẫu bị loại bỏ, các hộp đựng sản phẩm, hướng dẫn người dùng, 240 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống giấy dán ghi chú, báo cáo in ấn, và các bảng kiểm tra từ máy in. Bất cứ thứ gì có giá trị nội bộ hoặc độ nhạy cảm nhỏ đều là một kho báu cần phải được khám phá thông qua việc lục lọi đồ phế thải. Các tài liệu thu thập được thông qua việc lục lọi đồ phế thải có thể được sử dụng để tạo ra một cái cớ đáng tin cậy hơn. Để ngăn chặn việc lục lọi đồ phế thải, hoặc ít nhất là giảm giá trị của nó đối với kẻ tấn công, tất cả các tài liệu nên được cắt nhỏ và/hoặc thiêu hủy trước khi bị loại bỏ. Ngoài ra, không có phương tiện lưu trữ nào được bỏ vào thùng rác, hãy sử dụng kỹ thuật hoặc dịch vụ hủy bỏ an toàn. Xử lý phương tiện lưu trữ an toàn thường bao gồm đốt, cắt nhỏ hoặc băm nhỏ. Gian lận Danh tính Gian lận danh tính (identity fraud) và đánh cắp danh tính (identity theft) là những thuật ngữ thường được sử dụng thay thế cho nhau. Trên thực tế, Bộ Tư pháp Hoa Kỳ (US Deparment of Justice - DoJ) tuyên bố rằng “Đánh cắp danh tính và gian lận danh tính là các thuật ngữ được sử dụng để chỉ tất cả các loại tội phạm trong đó một người nào đó lấy cắp và sử dụng sai dữ liệu cá nhân của người khác theo một cách thức nào đó có liên quan đến gian lận hoặc lừa dối, thường là để đạt được những lợi ích kinh tế” (www.justice.gov/criminal- fraud/identity-theft/identity-theft-and-identity-fraud). Gian lận danh tính và đánh cắp danh tính có thể vừa là mục đích của một cuộc tấn công kỹ thuật xã hội (nghĩa là, để đánh cắp PII) vừa là một công cụ được sử dụng để tiếp tục sự thành công của một cuộc tấn công kỹ thuật xã hội. Tuy nhiên, điều quan trọng là phải nhận ra rằng mặc dù chúng ta có thể sử dụng các thuật ngữ như những từ đồng nghĩa (đặc biệt là trong các cuộc trò chuyện thông thường), nhưng giá trị sẽ cao hơn khi hiểu chúng khác nhau như thế nào. Đánh cắp danh tính là hành vi đánh cắp danh tính của một người nào đó. Cụ thể, điều này có thể đề cập đến hành động thu thập hoặc khai thác thông tin ban đầu trong đó tên người dùng, email, mật khẩu, câu trả lời cho các câu hỏi bí mật, số thẻ tín dụng, số An sinh Xã hội (Social Security number) , mã số dịch vụ chăm sóc sức khỏe và các dữ kiện liên quan khác bị đánh cắp hoặc nói cách khác, bị lấy đi bởi kẻ tấn công. Vì vậy, định nghĩa đầu tiên về hành vi trộm cắp 241 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống danh tính là hành vi trộm cắp thông tin xác thực và thông tin về tài khoản hoặc vị thế tài chính của một ai đó. Định nghĩa thứ hai về hành vi trộm cắp danh tính là khi những thông tin xác thực và thông tin chi tiết bị đánh cắp đó được sử dụng để chiếm đoạt tài khoản của ai đó. Điều này cũng có thể bao gồm việc đăng nhập vào tài khoản của họ trên một dịch vụ trực tuyến, tính phí sai vào thẻ tín dụng, thẻ ATM hoặc thẻ ghi nợ của họ[sử dụng trái phép các loại thẻ của nạn nhân], viết séc sai vào tài khoản séc của họ hoặc mở một hạn mức tín dụng mới dưới danh nghĩa của nạn nhân bằng cách sử dụng số An sinh Xã hội của họ. Khi kẻ tấn công đánh cắp và sử dụng thông tin đăng nhập của nạn nhân, điều này được gọi là chiếm đoạt thông tin đăng nhập (credential hijacking). Định nghĩa thứ hai về hành vi trộm cắp danh tính này cũng rất giống với định nghĩa về gian lận danh tính. Gian lận là khi bạn khẳng định một điều gì đó không đúng với sự thật. Gian lận danh tính là khi bạn giả mạo rằng bạn là người khác thông qua việc sử dụng thông tin bị đánh cắp từ nạn nhân. Gian lận danh tính là hành vi mạo danh tội phạm hoặc cố ý lừa dối để thu lợi cá nhân hoặc tài chính. Các ví dụ về gian lận danh tính bao gồm nhận việc làm theo số An sinh Xã hội của người khác, bắt đầu dịch vụ điện thoại hoặc các tiện ích dưới tên của người khác hoặc sử dụng bảo hiểm sức khỏe của người khác để nhận được các dịch vụ y tế. Bạn có thể coi hành vi trộm cắp danh tính và gian lận danh tính là một hình thức lừa đảo. Lừa đảo (spoofing) là bất kỳ hành động nào để che giấu danh tính hợp lệ, thường bằng cách sử dụng danh tính của một ai đó khác. Ngoài khái niệm lừa đảo tập-trung-vào-con-người (nghĩa là, gian lận danh tính), giả mạo là một chiến thuật phổ biến của tin tặc để chống lại công nghệ. Tin tặc thường giả mạo địa chỉ email, địa chỉ IP, địa chỉ kiểm soát truy cập phương tiện (MAC), thông tin liên lạc Giao thức Phân giải Địa chỉ (ARP), mạng Wi-Fi, trang web, ứng dụng điện thoại di động, v.v… Những chủ đề này và các chủ đề liên-quan-đến-giả-mạo khác được đề cập ở những nơi khác trong quyển sách này. Đánh cắp danh tính và gian lận danh tính cũng liên quan đến việc mạo danh. Mạo danh là hành động sử dụng danh tính của một người nào đó. Điều này có 242 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thể được thực hiện bằng cách đăng nhập vào tài khoản của họ bằng những thông tin đăng nhập đã bị đánh cắp hoặc tự xưng là người khác khi đang sử dụng điện thoại. Những khái niệm này và các khái niệm mạo danh khác đã được đề cập trước đó trong phần “Mạo danh và giả dạng”. Là nạn nhân hiện tại hoặc trong tương lai của hành vi trộm cắp/gian lận danh tính, bạn nên thực hiện các hành động để giảm bớt các lỗ hổng, gia tăng cơ hội phát hiện các cuộc tấn công như vậy và cải thiện khả năng phòng thủ của mình trước loại hành động bất công này. Để biết them thông tin về các biện pháp bảo vệ này, hãy tham khảo www.usa.gov/identity-theft và www.consumer.ftc.gov/articles /0235-identity-theftprotection-services. Typo Squatting Lỗi đánh máy (typo squatting) là một phương pháp được sử dụng để nắm bắt và chuyển hướng lưu lượng truy cập khi người dùng nhập nhầm tên miền hoặc địa chỉ IP của một tài nguyên đã định. Đây là một cuộc tấn công kỹ thuật xã hội lợi dụng khả năng nhập sai của một người khi nhập tên miền hoặc tên miền đủ điều kiện (FQDN) hoặc địa chỉ. Một kẻ phá hoại trang web ác ý sẽ dự đoán lỗi chính tả URL và sau đó đăng ký những tên miền đó để chuyển hướng lưu lượng truy cập đến trang web của chính họ. Điều này có thể được thực hiện để cạnh tranh hoặc cho những mục đích ác ý. Các biến thể được sử dụng đối với lỗi đánh máy bao gồm các lỗi chính tả phổ biến (chẳng hạn như googel.com), lỗi đánh máy (chẳng hạn như gooogle.com), các bi ến thể của tên hoặc từ (ví dụ, số nhiều, như trong googles.com) và các tê n miền cấp cấp-trên-cùng (top-level domain TLD) (chẳng hạn như google.edu). Chiếm đoạt URL (URL hijacking) cũng có thể đề cập đến hoạt động hiển thị một liên kết hoặc quảng cáo trông giống như một sản phẩm, dịch vụ hoặc trang web nổi-tiếng nhưng khi được nhấp vào, sẽ chuyển hướng người dùng đến một vị trí, dịch vụ hoặc sản phẩm khác thay thế. Việc này có thể được thực hiện bằng cách đăng các trang (sites/pages) và khai thác tối ưu hóa công cụ tìm kiếm (SEO) để làm cho nội dung của bạn xuất hiện cao hơn trong kết quả tìm kiếm hoặc thông qua việc sử dụng phần mềm quảng cáo thay thế các quảng cáo và liên kết hợp pháp với các liên kết dẫn đến các vị trí thay thế hoặc vị trí độc hại. 243 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Clickjacking là một phương tiện để chuyển hướng cú nhấp chuột hoặc lựa chọn của người dùng trên trang web đến một mục tiêu thay thế, thường là độc hại thay vì vị trí dự kiến và được mong muốn. Điều này có thể được thực hiện thông qua một số kỹ thuật. Một số kỹ thuật thay đổi mã của trang web gốc để đưa vào tập lệnh sẽ tự động thay thế URL hợp lệ bằng URL thay thế tại thời điểm cú nhấp chuột hoặc lựa chọn xảy ra. Một phương tiện khác là bổ sung thêm một lớp phủ, một khung hoặc bản đồ hình ảnh vô hình hoặc được ẩn trên trang đang được hiển thị. Người dùng nhìn thấy trang gốc nhưng bất kỳ cú nhấp chuột hoặc lựa chọn nào sẽ bị khung nổi bắt lại và chuyển hướng đến mục tiêu độc hại. Clickjacking có thể được sử dụng để thực hiện các cuộc tấn công lừa đảo (phishing), chiếm quyền điều khiển và tấn công trên-đường-đi. Chiến dịch gây Ảnh hưởng Các chiến dịch gây ảnh hưởng (influence campaigns) là các cuộc tấn công bằng kỹ thuật xã hội nhằm hướng dẫn, điều chỉnh hoặc thay đổi quan điểm của công chúng. Mặc dù các cuộc tấn công như vậy có thể được thực hiện bởi tin tặc chống lại các cá nhân hoặc tổ chức nhưng hầu hết các chiến dịch gây ảnh hưởng dường như được thực hiện bởi các quốc-gia chống lại kẻ thù nước ngoài thực sự hoặc được họ nhận thức. Các chiến dịch gây ảnh hưởng được liên kết với việc phát tán thông tin sai lệch, tuyên truyền, thông tin không chính xác, “tin giả” và thậm chí cả hoạt động doxing. Thông tin gây hiểu lầm, không đầy đủ, lừa đảo và bị thay đổi có thể được sử dụng như một phần của chiến dịch tạo ảnh hưởng để điều chỉnh nhận thức của người đọc và người xem đối với các khái niệm, suy nghĩ và hệ tư tưởng của người có ảnh hưởng. Những chiến thuật này đã từng được sử dụng bởi những kẻ xâm lược trong rất nhiều thế kỷ để khiến một người dân chống lại chính phủ của họ. Trong thời đại thông tin kỹ thuật số hiện nay, các chiến dịch tạo ảnh hưởng thậm chí còn dễ tiến hành hơn bao giờ hết và một số thủ phạm là người trong nước. Các chiến dịch gây ảnh hưởng hiện đại không cần dựa vào việc phân phối tài liệu đã được in ấn mà vẫn có thể truyền trực tiếp thông tin tuyên truyền đến các mục tiêu. 244 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Doxing là việc thu thập thông tin về một cá nhân hoặc một tổ chức (cũng có thể bao gồm cả các chính phủ và quân đội) để tiết lộ dữ liệu đã được thu thập một cách công khai nhằm mục đích xâu chuỗi nhận thức của mục tiêu. Doxing có thể bao gồm việc giữ lại thông tin mâu thuẫn với bài tường thuật đã được dự định của kẻ tấn công. Doxing có thể bịa đặt hoặc thay đổi thông tin để đưa ra các cáo buộc sai trái đối với mục tiêu. Thật không may, doxing là một công cụ rất hiệu quả để chống lại các cá nhân và tổ chức được phát triển bởi tin tặc, những người theo chủ nghĩa hacktivist, các nhà báo và chính phủ. Cuộc chiến Hỗn hợp Các quốc gia đã không còn giới hạn các cuộc tấn công của mình vào những kẻ thù thực tế hoặc đã được nhận thức bằng cách sử dụng những vũ khí động năng truyền thống. Giờ đây họ [các quốc gia] kết hợp các chiến thuật quân sự cổ điển với những năng lực hiện đại, bao gồm kỹ thuật xã hội, các chiến dịch gây ảnh hưởng kiểu kỹ thuật số, những nỗ lực chiến tranh tâm lý học, các chiến thuật chính trị, và những năng lực chiến tranh mạng. Đây còn được gọi là một cuộc chiến hỗn hợp (hybrid warfare). Một số thực thể sử dụng thuật ngữ chiến tranh phi tuyến tính (nonlinear warfare) để chỉ khái niệm này. Điều quan trọng là phải thừa nhận rằg các quốc gia sẽ sử dụng bất kỳ công vụ hoặc vũ khí nào sẵn có đối với họ khi họ cảm thấy bị đe dọa hoặc quyết định họ sẽ phải tấn công phủ đầu. Với việc sử dụng các chiến thuật chiến tranh hỗn hợp, rủi ro cho mỗi cá nhân sẽ lớn hơn nhiều so với các trận chiến trong quá khứ. Giờ đây, với chiến tranh mạng và các chiến dịch gây ảnh hưởng, mọi người đều có thể bị nhắm mục tiêu và có khả năng bị tổn hại. Hãy lưu ý rằng thiệt hại không chỉ là vật chất trong chiến tranh hỗn hợp, nó cũng có thể gây tổn hại đến danh tiếng, tài chính, cơ sở hạ tầng kỹ thuật số và các mối quan hệ. Để có cái nhìn thấu đáo hơn về chiến tranh hỗn hợp, hãy đọc báo cáo “Chiến tranh Hỗn hợp” của Văn phòng Giải trình Chính phủ Hoa Kỳ (United States Government Accountability Office) tại www.gao.gov/products/gao-10-1036. 245 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống “Cyberwrfare: Origins, Motivations and What You Can Do in Response” (tạm dịch Chiến tranh mạng: Nguồn gốc, Động cơ và Bạn Có thể Làm gì để Ứng phó) là một tài liệu hữu ích để bạn có thể xem xét tại www.globalknowledge.com/us-en/resource- library/white-papers/cyberwarfare-origins-motivations-and-whatyou-can-do-in-response. Phương tiện truyền thông Xã hội Phương tiện truyền thông xã hội đã trở thành một vũ khí trong tay các quốc gia khi họ tiến hành thực hiện các phần tử của chiến tranh hỗn hợp để chống lại các mục tiêu của họ. Trong thập kỷ vừa qua, chúng tôi đã nhận thấy bằng chứng về việc một số quốc gia, bao gồm cả quốc gia của chúng tôi, tham gia vào các ch iến dịch ảnh hưởng dựa-trên-phương-tiện-truyền-thông xã hội. Bạn nên nhận ra rằng bạn không thể chỉ giả định rằng nội dung bạn đang thấy trên mạng xã hội là chính xác, hợp lệ hoặc hoàn chỉnh. Ngay cả khi được trích dẫn bởi bạn bè của bạn, khi được tham khảo trên các phương tiện truyền thông đại chúng, khi trông có vẻ dường như phù hợp với kỳ vọng của chính bạn, bạn phải hoài nghi về mọi thứ đến với bạn thông qua các thiết bị truyền thông kỹ thuật số của bạn. Việc sử dụng và lạm dụng phương tiện truyền thông xã hội của các đối thủ nước ngoài và trong nước đã đưa khái niệm tấn công kỹ thuật xã hội lên một cấp độ hoàn toàn mới. Một nguồn tuyệt vời để tìm hiểu về cách thức để không bị rơi vào trường hợp thông tin sai lệch bị phát tán qua Internet là loạt “Navigating Digital Information” (t ạm dịch: Điều hướng Thông tin Kỹ thuật số) trên kênh YouTube CrashCourse: www.youtube.com/playlist?list=PL8dPuuaLjXtN07XYqqWSKpPrtND iCHTzU. Nhân viên có thể dễ dàng lãng phí thời gian và tài nguyên hệ thống bằng cách tương tác với phương tiện truyền thông xã hội khi nhiệm vụ đó không phải là một phần trong bản mô tả công việc của họ. Chính sách người dùng được có thể được chấp thuận (AUP) của công ty phải chỉ ra rằng người lao động cần tập 246 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống trung vào công việc trong khi làm việc hơn là dành thời gian cho các nhiệm vụ cá nhân hoặc không-liên-quan-đến-công-việc. Phương tiện truyền thông xã hội có thể là một phương tiện mà tại đó, người lao động cố ý hoặc vô tình phân phát dữ liệu nội bộ, bí mật, độc quyền hoặc PII cho người bên ngoài. Điều này có thể được thực hiện bằng cách nhập tin nhắn hoặc tham gia vào các cuộc trò chuyện mà trong đó họ tiết lộ thông tin bí mật. Điều này cũng có thể được thực hiện bằng cách phân phát hoặc xuất bản các tài liệu nhạy cảm. Các biện pháp ứng phó với các vấn đề mạng xã hội có thể bao gồm việc chặn truy cập vào các trang web truy ền thông xã hội bằng cách thêm khối IP vào tường lửa và bộ lọc phân giải cho các truy vấn Hệ thống Tên Miền (DNS). Những người lao động vi phạm cần bị khiển trách, thậm chí là chấm dứt hợp đồng lao động. Xác lập và Duy trì một Chương trình Nâng cao nh ận thức, Giáo dục và Đào tạo về Bảo mật Việc triển khai thành công một giải pháp bảo mật đòi hỏi những thay đổi trong hành vi của người dùng. Những thay đổi này chủ yếu bao gồm những sửa đổi trong các hoạt động công việc thường ngày để tuân theo các tiêu chuẩn, hướng dẫn, và thủ tục bắt buộc bởi chính sách bảo mật. Điều chỉnh hành vi liên quan đến một số cấp độ học tập của người dùng. Để phát triển và quản lý việc giáo dục, đào tạo và nâng cao nhận thức về bảo mật, tất cả các đề mục liên quan của việc chuyển giao kiến thức phải được xác định một cách rõ ràng và các chương trình trình bày, công bố, điều phối và triển khai phải được tạo ra. Nâng cao nhận thức Điều kiện tiên quyết đối với [chương trình] đào tạo bảo mật là nâng cao nhận thức (awareness). Mục đích của việc nâng cao nhận thức là đưa vấn đề bảo mật lên hàng đầu và biến nó trở thành một thực thể được công nhận đối với người dùng. Nhận thức thiết lập nên một đường cơ sở hoặc nền tảng chung về sự hiểu biết về bảo mật trong toàn bộ tổ chức và tập trung vào các chủ đề trọng yếu hoặc cơ bản và các vấn đề liên quan đến bảo mật mà tất cả nhân viên phải hiểu rõ. Nhận thức không chỉ được tạo ra thông qua hình thức bài thuyết trình trong 247 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống lớp học mà còn thông qua các nhắc nhở về môi trường làm việc như áp phích, bài báo dạng bản tin và chương trình bảo vệ màn hình. Nâng cao nhận thức, đào tạo và giáo dục được dẫn-dắt-bởi-ngườihướng-dẫn mang đến cơ hội tốt nhất để có những phản hồi theo thời-gian-thực từ những người tham gia. Nhận thức thiết lập một mẫu số chung hoặc nền tảng tiêu chuẩn tối thiểu của sự hiểu biết về bảo mật. Tất cả mọi nhân viên phải nhận thức đầy đủ về trách nhiệm bảo mật và trách nhiệm pháp lý của họ. Họ nên được đào tạo để biết những gì nên làm và những gì không nên làm. Các vấn đề mà người dùng phải nhận thức được bao gồm tránh lãng phí, gian lận và các hoạt động trái phép. Mọi thành viên của một tổ chức, từ các nhà quản lý cấp cao đến những thực tập sinh tạm thời đều cần phải có mức độ nhận thức như nhau. Chương trình nâng cao nhận thức trong một tổ chức nên được gắn liền với chính sách bảo mật, kế hoạch xử-lý-sự-cố, liên tục kinh doanh và các thủ tục khôi phục sau thảm họa. Để một chương trình nâng cao nhận thức có hiệu quả, chương trình đó ph ải tươi mới, sáng tạo và được cập nhật thường xuyên. Chương trình nâng cao nhận thức cũng nên gắn liền với sự hiểu biết về cách mà văn hóa doanh nghiệp sẽ có ảnh hưởng và tác động như thế nào đến bảo mật cho các cá nhân cũng như toàn tổ chức. Nếu nhân viên không nhận thấy việc thực thi các chính sách và tiêu chuẩn bảo mật giữa các giám đốc điều hành cấp-C, đặc biệt là ở cấp độ nhận thức, thì họ cũng có thể không cảm thấy bắt buộc phải tuân theo chúng. Đào tạo Đào tạo là việc dạy nhân viên thực hiện nhiệm vụ công việc của họ và tuân thủ chính sách bảo mật. Việc đào tạo thường được tổ chức bởi một tổ chức và được nhắm mục tiêu đến các nhóm nhân viên có ch ức năng công việc tương tự. Mọi nhân viên mới đều đòi hỏi một số cấp độ đào tạo để họ có thể tuân thủ tất cả các tiêu chuẩn, hướng dẫn và thủ tục bắt buộc bởi chính sách bảo mật. Đào tạo là một hoạt động liên tục phải được duy trì trong suốt thời gian tồn tại của tổ 248 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống chức đối với tất cả nhân viên. Nó được coi là một biện pháp kiểm soát bảo mật hành chính. Các phương pháp và kỹ thuật để trình bày nhận thức và đào tạo nên được sửa đổi và cải tiến theo thời gian để tối đa hóa lợi ích. Điều này sẽ đòi hỏi rằng các chỉ số đào tạo phải được thu thập và đánh giá. Các chương trình đào t ạo và nâng cao nhận thức có thể bao gồm kiểm tra sau-học-tập cũng như giám sát đ ể cải thiện tính nhất quán của công việc và giảm thời gian ngừng hoạt động, sự cố bảo mật hoặc sai lầm. Đây có thể coi là một đánh giá về tính hiệu quả của chương trình. Nhận thức và đào tạo thường được cung cấp trong nội bộ. Điều đó có nghĩa là những công cụ giảng dạy này được tạo ra và triển khai bởi và trong chính tổ chức. Tuy nhiên, mức phân phối kiến thức tiếp theo thường được lấy từ một nguồn bên-thứ-ba bên ngoài. Giáo dục Giáo dục là một nỗ lực chi tiết, trong đó, học viên và người dùng học được nhiều hơn những gì họ cần biết để thực hiện nhiệm vụ công việc của mình. Giáo dục thường được kết hợp với những người dùng đang theo đuổi chứng nhận hoặc tìm kiếm sự thăng tiến trong công việc. Đây thường là một yêu cầu đối với nhân sự đang tìm kiếm các vị trí bảo mật chuyên nghiệp. Một chuyên gia bảo mật đòi hỏi những kiến thức sâu rộng về bảo mật và môi trường cục bộ cho toàn bộ tổ chức chứ không chỉ cho các nhiệm vụ công việc cụ thể của họ. Cải thiện Dưới đây là những kỹ thuật để cải thiện nhận thức và đào tạo về bảo mật: ▪ Thay đổi đích nhắm mục tiêu tạp trung vào đào tạo. Đôi khi bạn muốn tập trung vào các cá nhân, đôi khi l ại vào khách hàng, và lúc khác l ại tập trung vào tổ chức. ▪ Thay đổi xoay quanh thứ tự của chủ đề hoặc sự nhấn mạnh, có thể tập trung vào kỹ thuật xã hội trong một khóa đào tạo, sau đó trong lần kế tiếp tập trung vào bảo mật thiết bị di động và sau đó là bảo mật gia đình và du lịch. 249 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Sử dụng nhiều phương pháp trình bày khác nhau, chẳng hạn như hướng dẫn trực-tiếp, video đã ghi hình sẵn, phần mềm máy tính/mô phỏng, trải nghiệm thực tế ảo (virtual reality - VR), đào tạo ngoại-vi, các trang web tương tác hoặc đọc phần được chỉ định kể cả tài liệu học tập đã được chuẩn bị sẵn hoặc những quyển sách thương-mại (chẳng hạn như Scam Me If You Can: Simple Strategies to Outsmart Today Ripoff Artists (tạm dịch: Hãy Lừa Tôi Nếu Bạn Có thể: Các Chiến lược Đơn giản để Thông minh hơn những Nghệ sĩ Lừa đảo Ngày nay), của Frank Abagnale). ▪ Sử dụng tính năng nhập-vai bằng cách cung cấp cho người tham dự những vai trong màn tái hiện cả với tư cách là kẻ tấn công lẫn người bảo vệ, nhưng cho phép nhiều người đưa ra ý tưởng liên quan đến việc phòng thủ hoặc phản ứng lại các cuộc tấn công. Phát triển và khuyến khích các nhà vô địch bảo mật (security champions). Đây là những người dẫn đầu trong một dự án, chẳng hạn như phát triển, lãnh đạo hoặc đào tạo, để ủng hộ, hỗ trợ và khuyến khích việc áp dụng kiến thức và thực tiễn bảo mật thông qua lãnh đạo ngang hàng, thể hiện hành vi và khuyến khích xã hội. Thường thì nhà vô địch bảo mật là thành viên của một nhóm, người quyết định (hoặc được chỉ định) chịu trách nhiệm lãnh đạo việc áp dụng và tích hợp các khái niệm bảo mật vào các hoạt động công việc của nhóm. Các nhà vô địch bảo mật thường là những nhân viên không phải là nhân viên bảo mật, những người đảm nhận vai trò khuyến khích những người khác hỗ trợ và áp dụng các phương pháp và hành vi bảo mật hơn. Các nhà vô địch bảo mật thường được tìm thấy trong phát triển phần mềm, nhưng khái niệm này có thể hữu ích cho bất kỳ nhóm nhân viên nào trong bất kỳ bộ phận nào. Đào tạo và nâng cao nhận thức bảo mật có thể thường được cải thiện thông qua trò chơi hóa (gamification). Trò chơi hóa là một phương tiện để khuyến khích sự tuân thủ và tham gia bằng cách tích hợp các thành phần phổ biến của việc chơi trò chơi vào các hoạt động khác, chẳng hạn như tuân thủ bảo mật và thay đổi hành vi. Điều này có thể bao gồm việc tưởng thưởng cho các hành vi tuân thủ và hình phạt tiềm ẩn cho những hành vi vi phạm. Rất nhiều khía cạnh của chơi trò chơi (bắt nguồn từ trò chơi bài, chơi cờ, thể thao, video, v.v…) đều có thể được tích hợp trong việc đào tạo và áp dụng, chẳng hạn như ghi điểm, đạt thành 250 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống tựu hoặc giành huy hiệu, cạnh tranh/kết hợp với những người khác, tìm kiếm phần thưởng, phát triển các câu chuyện/trải nghiệm nhóm, và tránh những cạm bẫy hoặc các sự kiện tiêu cực trong trò chơi. Động lực trò chơi được áp-dụngtốt có thể dẫn đến việc cải thiện sự tham gia của người lao động vào việc đào tạo, gia tăng khả năng áp dụng các bài học của tổ chức, mở rộng khả năng hiểu cách ứng dụng của các khái niệm, quy trình làm việc hiệu quả hơn, tích hợp nhiều hoạt động nhóm hơn như nguồn lực cộng đồng và động não, gia tăng khả năng lưu giữ kiến thức, và giảm sự thờ ơ của nhân viên. Ngoài trò chơi hóa, những cách khác để cải thiện đào tạo bảo mật bao gồm các cuộc diễn tập bắtcờ, mô phỏng lừa đảo, đào tạo dựa-trên-máy-tính (CBT) và đào tạo dựa-trênvai-trò, trong số rất nhiều cách khác. Đánh giá Hiệu quả Một điều rất quan trọng nữa là thực hiện đánh giá nội dung định kỳ của tất cả mọi tài liệu đào tạo. Quá trình đánh giá giúp đảm bảo rằng các tài liệu và bài thuyết trình đào tạo phù hợp với các mục tiêu của doanh nghiệp, sứ mệnh của tổ chức và với các mục tiêu bảo mật. Việc đánh giá định kỳ các tài liệu đào tạo này cũng tạo cơ hội để điều chỉnh trọng tâm, bổ sung thêm/loại bỏ bớt các chủ đề và tích hợp các kỹ thuật đào tạo mới vào bộ tài liệu học tập. Ngoài ra, các phương pháp và kỹ thuật mới táo bạo và tinh tế để trình bày về nhận thức và đào tạo nên được triển khai để giữ cho nội dung luôn mới mẻ và phù hợp. Nếu không có đánh giá đ ịnh kỳ về mức độ phù hợp của nội dung, tài liệu sẽ trở nên cũ kỹ và nhân viên có thể sẽ phải đưa ra các hướng dẫn và thủ tục của riêng họ. Nhóm quản trị bảo mật có trách nhiệm thiết lập các quy tắc bảo mật cũng như cung cấp các phiên đào tạo và giáo dục để tiếp tục thực hiện các quy tắc đó. Việc khắc phục sự cố các vấn đề về nhân sự phải bao gồm việc xác minh rằng tất cả nhân viên đã tham gia khóa đào tạo nhận thức về các yêu cầu và hành vi bảo mật nền tảng tiêu chuẩn, đánh giá nhật ký hoạt động và nhật ký truy cập của người dùng, đồng thời xác định xem vi phạm là cố ý, bị ép buộc, vô tình hay do thiếu hiểu biết. 251 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Vi phạm chính sách xảy ra khi người dùng vi phạm quy tắc. Người dùng phải được đào tạo về các chính sách của tổ chức và biết được trách nhiệm cụ thể của họ đối với việc tuân thủ các quy tắc bảo mật đó. Nếu vi phạm xảy ra, một cuộc điều tra nội bộ sẽ đánh giá xem đó là một tai nạn hay một sự kiện cố ý. Nếu là vô tình, người lao động cần được đào tạo về cách tránh tai nạn trong tương lai, và những biện pháp đối phó mới có thể cần phải được triển khai. Nếu là có chủ ý, mức độ nghiêm trọng của vấn đề có thể dẫn đến một loạt các phản ứng, bao gồm đào tạo lại, bổ nhiệm lại và chấm dứt hợp đồng. Một ví dụ về vi phạm chính sách là việc phân phối bản thông báo nội bộ của công ty cho các đơn vị bên ngoài thông qua một bài đăng trên mạng xã hội. Tùy thuộc vào nội dung của bản ghi nhớ, đây có thể là một vi phạm nhỏ (chẳng hạn như đăng bản ghi nhớ do nội dung hài hước hoặc vô nghĩa theo người lao động) hoặc một vấn đề lớn (chẳng hạn như đăng bản ghi nhớ tiết lộ bí mật công ty hoặc thông tin cá nhân liên quan đến khách hàng). Những vi phạm chính sách của công ty không phải lúc nào cũng là do tai nạn hoặc sự sơ suất của người lao động, cũng không phải lúc nào chúng cũng là s ự lựa chọn có chủ đích độc hại. Trên thực tế, rất nhiều vụ vi phạm an ninh nội bộ của công ty là kết quả của sự thao túng có chủ đích của các bên-thứ-ba ác ý. Đánh giá tính hiệu quả của chương trình đào tạo và nâng cao nhận thức nên diễn ra trên cơ sở liên tục hoặc tiếp diễn. Đừng bao giờ giả định rằng chỉ vì một nhân viên đã được đánh dấu là tham dự hoặc hoàn thành một sự kiện đào tạo có nghĩa là họ thực tế đã học được điều gì đó hoăc s ẽ thay đ ổi được hành vi của họ. Một số phương tiện xác minh nên được sử dụng để đo lường xem việc đào tạo có mang lại lợi ích hay đang gây ra sự lãng phí thời gian và nguồn lực. Trong một số trường hợp, một bản câu hỏi ngắn hoặc một bài kiểm tra có thể được thực hiện cho người lao động ngay sau một buổi đào tạo. Một bài kiểm tra tiếp theo nên được thực hiện từ 3 đến 6 tháng sau đó để xem liệu họ [những người tham gia đào tạo]có giữ lại được những thông tin đã được trình bày trong khóa đào tạo hay không. Các nhật ký sự kiện và sự cố cần được xem xét về tỷ lệ xuất hiện các vi phạm bảo mật do các hành động và hành vi của nhân viên để xem liệu có bất kỳ sự khác biệt đáng chú ý nào về tỷ lệ xuất hiện hoặc xu hướng của các sự cố trước và sau khi đào tạo hay không. Việc đào tạo tốt (và nhân viên có 252 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thể dạy được) sẽ được xác nhận với sự khác biệt rõ rệt trong hành vi của người dùng, đặc biệt là trong việc giảm thiểu các vi phạm bảo mật. Điểm số cao trong các bài kiểm tra bảo mật tiếp theo trong nhiều tháng sau đó chứng tỏ rằng các khái niệm bảo mật vẫn được giữ lại. Sự kết hợp của các quá trình đánh giá này có thể giúp xác định xem liệu chương trình đào tạo hoặc nâng cao nhận thức có hiệu quả hay không và có đang làm giảm tỷ lệ sự cố bảo mật cũng như các chi phí quản lý và ứng phó ó liên quan hay không. Một chương trình đào tạo bảo mật được thiết kế tốt, hấp dẫn và thành công sẽ dẫn đến việc giảm chi phí quản lý sự cố bảo mật liên-quan-đến-nhân-viên có thể đo lường được, hy vọng sẽ vượt xa chi phí của chính bản thân chương trình đào tạo. Do đó, đây sẽ là một lợi nhuận đầu tư vào bảo mật tốt (return on security investment - ROSI). Tóm tắt Khi thiết kế và triển khai các giải pháp bảo mật, bạn cần phải bảo vệ môi trường của bạn khỏi các mối đe dọa tiềm ẩn từ con người. Những khía cạnh của thực tiễn tuyển dụng an toàn, định nghĩa các vai trò, thiết lập các chính sách, tuân theo các tiêu chuẩn, đánh giá các hướng dẫn, chi tiết hóa các thủ tục, thực hiện quản lý rủi ro, cung cấp đào tạo nâng cao nhận thức, và trau dồi hoạch định cấp quản lý, tất cả đều đóng góp vào việc bảo vệ tài sản [của tổ chức]. Thực tiễn tuyển dụng an toàn đòi hỏi các bản mô tả công việc chi tiết. Các bản mô tả công việc được sử dụng như một định hướng cho việc lựa chọn các ứng viên, đánh giá họ một cách thích đáng cho một vị trí. Những trách nhiệm công việc là những nhiệm vụ công việc cụ thể mà một nhân viên được yêu cầu thực hiện trên cơ sở định kỳ. Sàng lọc ứng viên tuyển dụng, kiểm tra lý lịch, kiểm tra tham chiếu, xác minh trình độ học vấn, và xác minh sự công nhận bảo mật là những yếu tố thiết yếu trong việc chứng minh rằng một ứng viên là thích hợp, đủ điều kiện, và đáng tin cậy cho một vị trí bảo mật. Quá trình giới thiệu liên quan đến việc tích hợp một nhân viên mới vào trong tổ chức, vốn bao gồm việc xã hội hóa và định hướng tổ chức. Khi một nhân viên mới được tuyển vào, họ nên ký một thỏa thuận/hợp đồng lao động và có khả 253 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống năng là một thỏa thuận không tiết lộ (NDA). Những tài liệu này xác định trách nhiệm và nghĩa vụ pháp lý của mối quan hệ giữa người lao động và tổ chức. Trong toàn bộ thời gian làm việc của nhân viên, các nhà quản lý nên xem xét hoặc đánh giá các mô tả công việc, nhiệm vụ công việc, đặc quyền và trách nhiệm đối với mọi nhân viên một cách thường xuyên. Đối với một số ngành nghề, các kỳ nghỉ bắt buộc có thể là điều cần thiết. Cấu kết và các hành vi lạm dụng đặc quyền khác có thể được giảm thiểu thông qua việc giám sát chặt chẽ các đặc quyền. Kết thúc là việc xóa bỏ danh tính của một nhân viên ra khỏi hệ thống IAM, hoặc đây có thể là một phần của quá trình thuyên chuyển nhân viên sang một bộ phận khác của tổ chức. Một chính sách chấm dứt hợp đồng là cần thiết để bảo vệ tổ chức và những nhân viên còn lại của tổ chức. Thủ tục chấm dứt nên bao gồm một cuộc phỏng vấn nghỉ việc, nhắc nhở về NDA, trả lại tài sản của công ty và vô hiệu hóa quyền truy cập mạng. Các biện pháp kiểm soát nhà cung cấp, nhà tư vấn và nhà thầu (nghĩa là SLA) được sử dụng để xác định mức hiệu suất, kỳ vọng, bồi thường và hậu quả đối với các thực thể, cá nhân hoặc tổ chức bên ngoài. Tuân thủ là hành động tuân theo hoặc tuân thủ các quy tắc, chính sách, quy định, tiêu chuẩn hoặc yêu cầu. Tuân thủ là một mối quan tâm quan trọng đối với quản trị bảo mật. Khi giải quyết vến đề về quyền riêng tư trong lĩnh vực CNTT, thường thì sẽ có một hành động cân bằng giữa quyền cá nhân và quyền hạn hoặc các hoạt động của tổ chức. Bạn phải xem xét rất nhiều vấn đề tuân thủ pháp luật và quy định có liên quan đến quyền riêng tư. Mục đích chính của quản lý rủi ro là để giảm thiểu rủi ro xuống mức có thể chấp nhận được. Việc xác định mức [rủi ro có thể chấp nhận được] này phụ thuộc vào tổ chức, giá trị tài sản và quy mô ngân sách của tổ chức đó. Phân tích/đánh giá rủi ro là quá trình mà theo đó, việc quản lý rủi ro đạt được và bao gồm kiểm kê tài sản, phân tích môi trường đối với các mối đe dọa và đánh giá từng rủi ro về khả năng xảy ra và chi phí của thiệt hại do hậu quả gây ra. Ứng phó với rủi ro 254 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống là việc đánh giá chi phí của các biện pháp đối phó khác nhau đối với từng rủi ro và tạo ra một báo cáo chi phí/lợi ích cho các biện pháp bảo vệ để trình bày cho các nhà quản lý cấp trên. Kỹ thuật xã hội là một hình thức tấn công khai thác bản chất con người và hành vi của con người. Các cuộc tấn công kỹ thuật xã hội có hai hình thức chính: thuyết phục một ai đó thực hiện một hoạt động trái phép hoặc thuyết phục một ai đó tiết lộ thông tin bí mật. Biện pháp phòng thủ hiệu quả nhất chống lại các cuộc tấn công kỹ thuật xã hội là giáo dục người dùng và đào tạo nâng cao nhận thức. Các nguyên tắc kỹ thuật xã hội phổ biến là thẩm quyền, đe dọa, đồng thuận, sự khan hiếm, sự quen thuộc, sự tin cậy và tính khẩn cấp. Khai thác thông tin là hoạt động thu thập hoặc tập hợp thông tin từ hệ thống hoặc con người. Các cuộc tấn công kỹ thuật xã hội bao gồm phishing, spear phishing, xâm phạm email doanh nghiệp (BEC), whaling, smishing, vishing, thư rác, nhìn lén qua vai, lừa đảo hóa đơn, lừa bịp, mạo danh, giả mạo, theo đuôi, hậu thuẫn, lục lọi đồ phế thải, gian lận danh tính, lỗi đánh máy và các chiến dịch gây ảnh hưởng. Để một giải pháp bảo mật được triển khai thành công, hành vi của người dùng cần phải thay đổi. Việc điều chỉnh hành vi liên quan đến một số cấp độ học tập của người dùng. Có ba cấp độ học tập thường được công nhận: nâng cao nhận thức, đào tạo và giáo dục. Các chương trình đào tạo và nâng cao nhận thức tập-trung-vào-bảo-mật cần được đánh giá lại và sửa đổi một cách thường xuyên. Một số chương trình đào tạo và nâng cao nhận thức về bảo mật có thể được hưởng lợi từ các nhà vô địch bảo mật hoặc trò chơi hóa. Những điều thiết yếu cho Kỳ thi Hiểu được rằng con người là yếu tố then chốt trong bảo mật. Con người thường được coi là phần tử yếu nhất trong bất kỳ giải pháp bảo mật nào. Bất kể biện pháp kiểm soát vật lý hoặc logic nào được triển khai, con người đều có thể khám phá ra những cách thức để tránh chúng, phá vỡ hoặc lật đổ chúng hoặc vô hiệu hóa chúng. Tuy nhiên, con ngư ời cũng có 255 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thể trở thành một tài sản bảo mật then chốt khi họ được đào tạo bài bản và có động cơ để bảo vệ không chỉ bản thân mà còn cả tình hình bảo mật của tổ chức. Biết được tầm quan trọng của bản mô tả công việc. Không có mô tả công việc sẽ không có sự thống nhất về kiểu cá nhân nên được tuyển dụng. Do đó, việc soạn thảo bản mô tả công việc là bước đầu tiên để xác định nhu cầu bảo mật liên quan đến nhân sự và trở nên có khả năng tìm kiếm những nhân viên mới. Hiểu được các tác động bảo mật của việc tuyển dụng nhân viên mới. Để lập kế hoạch bảo mật một cách đúng đắn, bạn phải có các tiêu chuẩn về mô tả công việc, phân loại công việc, nhiệm vụ công việc, trách nhiệm công việc, phòng ngừa sự cấu kết, sàng lọc ứng viên, kiểm tra lý lịch, xác minh bảo mật, thỏa thuận việc làm và thỏa thuận không tiết lộ. Bằng cách triển khai các cơ chế như vậy, bạn đảm bảo được rằng những người mới được tuyển dụng nhận thức được các tiêu chuẩn bảo mật bắt buộc, từ đó bảo vệ tài sản của tổ chức bạn. Hiểu được về giới thiệu và kết thúc. Giới thiệu là quá trình bổ sung nhân viên mới vào tổ chức bằng cách sử dụng xã hội hóa và định hướng. Kết thúc là việc xóa bỏ danh tính của một nhân viên ra khỏi hệ thống IAM sau khi người đó đã rời khỏi tổ chức. Biết được nguyên tắc đặc quyền ít nhất. Nguyên tắc về đặc quyền ít nhất nêu rõ rằng người dùng chỉ nên được cấp quyền truy cập tối thiểu cần thiết để họ có thể hoàn thành các nhiệm vụ công việc được yêu cầu hoặc trách nhiệm công việc của họ. Hiểu được sự cần thiết của một thỏa thuận không tiết lộ (NDA). NDA được sử dụng để bảo vệ thông tin bí mật trong tổ chức không bị tiết lộ bởi một nhân viên cũ. Khi một người ký vào NDA, họ đồng ý sẽ không tiết lộ bất kỳ thông tin nào được xác định là bí mật cho bất kỳ ai bên ngoài tổ chức. 256 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Biết được về sự giám sát nhân viên. Trong suốt thời gian làm việc của nhân viên, các nhà quản lý nên thường xuyên xem xét hoặc đánh giá các mô tả công việc, nhiệm vụ công việc, đặc quyền và trách nhiệm đối với mọi nhân viên. Biết được lý do tại sao các kỳ nghỉ bắt buộc là cần thiết. Các kỳ nghỉ bắt buộc từ một đến hai tuần được sử dụng để kiểm tra và xác minh các nhiệm vụ công việc và các đặc quyền của nhân viên. Điều này thường dẫn đến việc dễ dàng phát hiện ra hành vi lạm dụng, gian lận hoặc sơ suất. Biết được về UBA và UEBA. Phân tích hành vi người dùng (UBA) và phân tích hành vi người dùng và thực thể (UEBA) là những khái niệm phân tích hành vi của người dùng, chủ thể, khách truy cập, khách hàng, v.v… cho một số mục tiêu hoặc mục đích cụ thể. Hiểu được sự thuyên chuyển nhân viên. Việc thuyên chuyển nhân sự có thể được coi là một vụ sa thải/tái tuyển dụng chứ không phải là một đợt thuyên chuyển nhân sự đơn thuần. Điều này phụ thuộc vào chính sách của tổ chức và các phương tiện mà họ đã xác định để quản lý tốt nhất sự thay đổi này. Một số yếu tố giúp đưa ra quyết định sử dụng thủ tục nào bao gồm việc tài khoản người dùng có được giữ lại hay không, giấy phép sử dụng thông tin bí mật của họ có được điều chỉnh hay không, nếu trách nhiệm công việc mới của họ tương tự như vị trí trước đó và liệu một tài khoản “clean slate” cho mục đích kiểm toán ở vị trí công việc mới có cần thiết hay không. Có khả năng giải thích được các chính sách chấm dứt phù hợp. Một chính sách chấm dứt xác định những thủ tục cho việc chấm dứt [hợp đồng] một nhân viên. Nó nên bao gồm các hạng mục như luôn có nhân chứng, vô hiệu hóa quyền truy cập mạng của nhân viên và thực hiện phỏng vấn nghỉ việc. Chính sách chấm dứt hợp đồng cũng phải bao gồm việc hộ tống nhân viên bị chấm dứt hợp đồng lao động ra khỏi cơ sở và yêu cầu trả lại thẻ và huy hiệu bảo mật và tài sản của công ty. 257 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Hiểu được các biện pháp kiểm soát nhà cung cấp, nhà tư vấn và nhà thầu. Các biện pháp kiểm soát nhà cung cấp, nhà tư vấn và nhà thầu được sử dụng để xác định mức độ hiệu suất, kỳ vọng, bồi thường và hậu quả đối với các thực thể, cá nhân hoặc tổ chức bên ngoài t ổ chức chính. Thông thường, các biện pháp kiểm soát này được xác định trong tài liệu hoặc chính sách được gọi là thỏa thuận mức dịch vụ (SLA). Hiểu được sự tuân thủ chính sách. Tuân thủ là hành động tuân theo hoặc tuân thủ các quy tắc, chính sách, quy định, tiêu chuẩn hoặc yêu cầu. Tuân thủ là một mối quan tâm quan trọng đối với quản trị bảo mật. Ở cấp độ nhân sự, sự tuân thủ liên quan đến việc liệu cá nhân nhân viên có tuân theo chính sách của công ty và thực hiện nhiệm vụ công việc của họ theo các quy trình đã được xác định hay không. Biết quyền riêng tư phù hợp với lĩnh vực bảo mật CNTT như thế nào. Biết nhiều ý nghĩa/định nghĩa về quyền riêng tư, tại sao nó lại quan trọng để bảo vệ và các vấn đề xung quanh nó, đặc biệt là trong môi trường làm việc. Có khả năng xác định quản lý rủi ro tổng thể. Quá trình xác định các yếu tố có thể làm hỏng hoặc tiết lộ dữ liệu, đánh giá các yếu tố đó dựa trên giá trị của dữ liệu và chi phí của biện pháp đối phó, và triển khai các giải pháp hiệu-quả-về-chi-phí để giảm nhẹ hoặc giảm thiểu rủi ro được gọi là quản lý rủi ro. Bằng cách thực hiện quản lý rủi ro, bạn đang đặt nền tảng cho việc giảm thiểu rủi ro tổng thể. Hiểu được quá trình phân tích rủi ro và các yếu tố chính có liên quan. Phân tích rủi ro là quá trình mà theo đó, các nhà quản lý cấp trên được cung cấp thông tin chi tiết để đưa ra quyết định về việc rủi ro nào cần giảm thiểu, rủi ro nào nên được chuyển giao và rủi ro nào nên được chấp nhận. Để đánh giá đầy đủ các rủi ro và sau đó thực hiện các biện pháp phòng ngừa thích hợp, bạn phải phân tích các yếu tố sau: tài sản, định giá tài sản, các mối đe dọa, các lỗ hổng, mức độ tiếp xúc [với rủi ro], rủi ro, rủi ro đã hiện thực hóa, biện pháp bảo vệ, biện pháp đối phó, các cuộc tấn công và vi phạm. 258 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Biết cách đánh giá các mối đe dọa. Các mối đe dọa có thể bắt nguồn từ rất nhiều nguồn, bao gồm CNTT, con người và tự nhiên. Đánh giá mối đe dọa nên được thực hiện như một nỗ lực của nhóm nhằm cung cấp nhiều góc nhìn nhất. Bằng cách đánh giá các rủi ro một cách đầy đủ từ mọi góc độ, bạn giảm thiểu được khả năng dễ bị tổn thương của hệ thống. Hiểu được phân tích rủi ro định tính. Phân tích rủi ro định tính dựa nhiều vào các kịch bản hơn là tính toán. Các số liệu chính xác về tiền không được chỉ định cho các tổn thất khả dĩ, thay vào đó, các mối đe dọa được xếp hạng trên thang điểm để đánh giá rủi ro, chi phí và ảnh hưởng của chúng. Việc phân tích như vậy hỗ trợ những người chịu trách nhiệm tạo ra các chính sách quản lý rủi ro phù hợp. Hiểu kỹ thuật Delphi. Kỹ thuật Delphi chỉ đơn giản là một quá trình phản-hồi-và-hồi-đáp ẩn danh được sử dụng để đạt được sự đồng thuận. Sự đồng thuận như vậy cung cấp cơ hội cho các bên chịu trách nhiệm để đánh giá đúng rủi ro và triển khai các giải pháp. Hiểu được phân tích rủi ro định lượng. Phân tích rủi ro định lượng tập trung vào các giá trị cứng và các tỷ lệ phần trăm. Một phân tích định lượng hoàn chỉnh là không khả thi được vì các khía cạnh vô hình của rủi ro. Quá trình bao gồm việc định giá tài sản và xác định các mối đe dọa, sau đó xác định tần suất tiềm ẩn của mối đe dọa và thiệt hại có thể, dẫn đến các nhiệm vụ ứng phó rủi ro trong phân tích chi phí/lợi ích của các biện pháp bảo vệ. Có thể giải thích khái niệm về hệ số tiếp xúc (EF). EF là một yếu tố của phân tích rủi ro định lượng đại diện cho tỷ lệ phần trăm tổn thất mà một tổ chức sẽ gặp phải nếu một tài sản cụ thể bị vi phạm bởi rủi ro đã được nhận ra. Bằng cách tính toán các hệ số tiếp xúc, bạn sẽ có khả năng triển khai một chính sách quản lý rủi ro hợp lý. Biết được tổn thất đơn lẻ dự kiến (SLE) là gì và cách tính toán nó . SLE là một phần tử của phân tích rủi ro định lượng thể hiện chi phí tương 259 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ứng với một rủi ro thực tế duy nhất đối với một tài sản cụ thể. Công thức là SLE = giá trị tài sản (AV) x hệ số tiếp xúc (EF). Hiểu được tỷ lệ xuất hiện theo hàng năm (ARO). ARO là một phần tử của phân tích rủi ro định lượng thể hiện tần suất dự kiến mà một mối đe dọa hoặc rủi ro cụ thể sẽ xảy ra (nói cách khác, trở thành hiện thực) trong vòng một năm. Việc hiểu rõ hơn về AROs cho phép bạn tính toán rủi ro và thực hiện các biện pháp phòng ngừa thích hợp. Biết được tổn thất dự kiến theo hàng năm (ALE) là gì và cách tính toán nó. ALE là một phần tử của phân tích rủi ro định lượng đại diện cho chi phí hàng năm có thể có của tất cả các trường hợp của một mối đe dọa thực tế cụ thể đối với một tài sản cụ thể. Công thức là ALE = tổn thất đơn lẻ dự kiến (SLE) x tỷ lệ xuất hiện theo hàng năm (ARO). Biết được công thức đánh giá biện pháp bảo vệ. Ngoài việc xác định chi phí hàng năm của biện pháp bảo vệ, bạn phải tính ALE cho tài sản nếu biện pháp bảo vệ được triển khai. Hãy sử dụng công thức này: ALE trước khi áp dụng biện pháp bảo vệ - ALE sau khi triển khai biện pháp bảo vệ chi phí bảo vệ hàng năm = giá trị của biện pháp bảo vệ đối với công ty, hoặc (ALE1 - ALE2) - ACS. Biết được các lựa chọn để xử lý rủi ro. Giảm thiểu rủi ro, hoặc giảm nhẹ rủi ro, là việc triển khai các biện pháp bảo vệ và biện pháp đối phó. Việc chỉ định rủi ro hoặc chuyển giao rủi ro đặt chi phí tổn thất mà rủi ro đại diện cho một thực thể hoặc tổ chức khác. Mua bảo hiểm là một hình thức phân bổ hoặc chuyển giao rủi ro. Ngăn chặn rủi ro là quá trình thực hiện các biện pháp ngăn chặn đối với những kẻ vi phạm bảo mật và vi phạm chính sách. Tránh rủi ro là quá trình lựa chọn các phương án hoặc hoạt động thay thế có ít rủi ro liên quan hơn so với tùy chọn mặc định, phổ biến, nhanh chóng hoặc rẻ tiền. Chấp nhận rủi ro có nghĩa là cấp quản lý đã đánh giá phân tích chi phí/lợi ích của các biện pháp bảo vệ có thể có và xác định rằng chi phí của biện pháp đối phó lớn hơn rất nhiều so với chi phí tổn thất có thể xảy ra do rủi ro. Điều đó cũng có nghĩa là cấp quản lý đã đồng ý chấp nhận hậu quả và tổn thất nếu rủi ro xảy ra. 260 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Có thể giải thích được về tổng rủi ro, rủi ro tồn dư và khoảng cách kiểm soát. Tổng rủi ro là lượng rủi ro mà một tổ chức sẽ phải đối mặt nếu không triển khai các biện pháp bảo vệ. Để tính toán tổng rủi ro, hãy sử dụng công thức sau: các mối đe dọa x lỗ hổng x giá trị tài sản = tổng rủi ro. Rủi ro tồn đọng là rủi ro mà cấp quản lý đã chọn chấp nhận thay vì giảm thiểu. Sự khác biệt giữa tổng rủi ro và rủi ro tồn dư là khoảng cách kiểm soát, là lượng rủi ro được giảm thiểu bằng cách triển khai các biện pháp bảo vệ. Để tính toán rủi ro tồn dư, hãy sử dụng công thức sau: rủi ro tổng thể - khoảng cách kiểm soát = rủi ro tồn dư. Hiểu được các loại biện pháp kiểm soát. Thuật ngữ kiểm soát đề cập đến một loạt các biện pháp kiểm soát thực hiện các tác vụ như đảm bảo rằng chỉ những người dùng được cấp phép mới có thể đăng nhập và ngăn người dùng trái phép truy cập vào tài nguyên. Các loại biện pháp kiểm soát bao gồm phòng ngừa, ngăn chặn, thám tử, bù trừ, khắc phục, khôi phục và chỉ thị. Các biện pháp kiểm soát cũng có thể được phân loại theo cách chúng được triển khai: quản trị, logic hoặc vật lý. Hiểu được đánh giá biện pháp kiểm soát bảo mật (SCA). SCA là quá trình đánh giá chính thức các cơ chế riêng lẻ của cơ sở hạ tầng bảo mật dựa trên đường cơ sở hoặc kỳ vọng về độ tin cậy. Hiểu được về giám sát và đo lường tính bảo mật. Các biện pháp kiểm soát bảo mật phải mang lại những lợi ích có thể được giám sát và đo lường. Nếu không thể định lượng, đánh giá hoặc so sánh các lợi ích của biện pháp kiểm soát bảo mật thì nó thực sự không cung cấp bất kỳ bảo mật nào. Hiểu được báo cáo rủi ro. Báo cáo rủi ro bao gồm việc tạo ra một báo cáo rủi ro và trình bày báo cáo đó cho các bên quan tâm/có liên quan. Báo cáo rủi ro phải chính xác, kịp thời, toàn diện về toàn bộ tổ chức, rõ ràng và chính xác để hỗ trợ việc đưa ra quyết định và được cập nhật thường xuyên. 261 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Biết được sự cần thiết phải cải tiến liên tục. Bảo mật luôn thay đổi. Do đó, bất kỳ giải pháp bảo mật nào đã được triển khai đều đòi hỏi sự cập nhật và thay đổi theo thời gian. Nếu một lộ trình cải tiến liên tục không được cung cấp bởi một biện pháp đối phó được đã lựa chọn thì nó nên được thay thế bằng một phương pháp mang lại những cải tiến có thể mở rộng đối với bảo mật. Hiểu được Mô hình Trưởng thành Rủi ro (RMM). Mô hình Trưởng thành Rủi ro (RMM) là một phương tiện để đánh giá các chỉ số và hoạt động chính yếu của một quá trình quản lý rủi ro trưởng thành, bền vững và có thể lặp lại. Các cấp độ RMM bao gồm đặc biệt, sơ bộ, đã được xác định, đã được tích hợp và đã được tối ưu hóa. Biết được rủi ro bảo mật của hệ thống kế thừa. Các hệ thống kế thừa thường là một mối đe dọa bởi vì chúng có thể không nhận được các bản cập nhật bảo mật từ nhà cung cấp của chúng. End-of-life (EOL) là thời điểm nhà sản xuất không còn sản xuất sản phẩm nữa. End-of-service-life (EOSL) hoặc end-of-support (EOS) là những sản phẩm hoặc dịch vụ không còn nhận được các bản cập nhật và hỗ trợ từ nhà cung cấp. Biết được các khuôn khổ rủi ro. Khuôn khổ rủi ro là một hướng dẫn hoặc công thức về cách thức đánh giá, giải quyết và giám sát rủi ro như thế nào. Các ví dụ chính về khuôn khổ rủi ro được tham chiếu bởi kỳ thi CISSP là Khuôn khổ Quản lý Rủi ro (RMF) được NIST xác định trong SP 800-37 Rev. 2. Các khuôn khổ khác bao gồm ISO/IEC 31000, ISO/IEC 31004, COSO, Risk IT, OCTAVE , FAIR và TARA. Hiểu được kỹ thuật xã hội. Kỹ thuật xã hội là một hình thức tấn công khai thác bản chất con người và hành vi của con người. Các nguyên tắc kỹ thuật xã hội phổ biến là thẩm quyền, đe dọa, sự đồng thuận, sự khan hiếm, sụ quen thuộc, độ tin cậy và tính khẩn cấp. Các cuộc tấn công như vậy có thể được sử dụng để thu thập thông tin hoặc giành quyền truy cập thông qua việc sử dụng tạo ra nguyên cớ và/hoặc ngụy tạo. Các cuộc tấn công kỹ thuật xã hội bao gồm phishing, spear phishing, xâm nhập email doanh nghiệp (BEC), whaling, smishing, vishing, thư rác, nhìn lén qua vai, 262 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống lừa đảo hóa đơn, lừa bịp, mạo danh, giả mạo, theo đuôi, hậu thuẫn, lục lọi đồ phế thải, gian lận danh tính, lỗi đánh máy và gây ảnh hưởng đến các chiến dịch. Biết cách triển khai đào tạo và giáo dục nâng cao nhận thức về bảo mật. Trước khi quá trình đào tạo thực sự có thể diễn ra, nhận thức về bảo mật như một thực thể đã được công nhận phải được tạo ra cho người dùng. Khi việc này đã hoàn thành, việc đào tạo hoặc giảng dạy cho nhân viên thực hiện nhiệm vụ công việc của họ và tuân thủ chính sách bảo mật có thể bắt đầu. Mọi nhân viên mới đều yêu cầu một số cấp độ đào tạo để họ có thể tuân thủ tất cả các tiêu chuẩn, hướng dẫn và thủ tục do chính sách bảo mật bắt buộc. Giáo dục là một nỗ lực chi tiết hơn, trong đó học viên/người dùng học được nhiều hơn những gì họ thực sự cần biết để thực hiện các nhiệm vụ công việc của họ. Giáo dục thường được liên quan đến người dùng đang theo đuổi chứng nhận hoặc tìm kiếm việc làm. Biết được các nhà vô địch bảo mật. Thường thì nhà vô địch bảo mật là thành viên của một nhóm, người quyết định (hoặc được chỉ định) chịu trách nhiệm lãnh đạo việc thông qua và tích hợp các khái niệm bảo mật vào các hoạt động công việc của nhóm. Các nhà vô địch bảo mật thường là những nhân viên không phải là nhân viên bảo mật, những người đảm nhận vai trò khuyến khích những người khác hỗ trợ và áp dụng những phương pháp và hành vi bảo mật hơn. Hiểu về trò chơi hóa. Trò chơi hóa là một phương tiện để khuyến khích sự tuân thủ và tham gia bằng cách tích hợp các yếu tố chung của trò chơi vào các hoạt động khác, chẳng hạn như tuân thủ bảo mật và thay đổi hành vi. Biết được nhu cầu xem xét nội dung định kỳ và đánh giá hiệu quả. Điều quan trọng là phải thực hiện đánh giá nội dung định kỳ của tất cả các tài liệu đào tạo. Điều này nhằm đảm bảo rằng các tài liệu đào tạo và các bài thuyết trình phù hợp với các mục tiêu kinh doanh, sứ mệnh của tổ chức và các mục tiêu bảo mật. Một số phương tiện xác minh nên được sử 263 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống dụng để đo lường xem việc đào tạo có mang lại lợi ích hay đang gây ra lãng phí thời gian và nguồn lực. Bài tập Viết 1. Hãy kể tên của 6 biện pháp kiểm soát hành chính khác nhau được sử dụng để bảo mật nhân sự. 2. Công thức hoặc giá trị cơ bản được sử dụng trong đánh giá rủi ro định lượng là gì? 3. Hãy mô tả quy trình hoặc kỹ thuật được sử dụng đ ể đạt được sự đồng thuận ẩn danh trong quá trình đánh giá rủi ro định lượng. 4. Hãy thảo luận về nhu cầu thực hiện một đánh giá rủi ro được cân bằng. Những kỹ thuật có thể được sử dụng là gì và tại sao đây lại là điều cần thiết? 5. Các kiểu nguyên tắc kỹ thuật xã hội chính là gì? 6. Hãy kể tên một vài kiểu hoặc phương pháp kỹ thuật xã hội. Câu hỏi Đánh giá 1. Bạn được giao nhiệm vụ giám sát dự án cải thiện bảo mật cho tổ chức của bạn. Mục đích là để giảm thiểu hồ sơ rủi ro hiện tại đến một mức thấp hơn mà không phải tiêu tốn một lượng tiền bạc đáng kể. Bạn quyết định tập trung vào mối quan tâm lớn nhất đã được đề cập bởi CISO của bạn. Điều nào dưới đây có khả năng là phần tử được coi là điểm yếu nhất của tổ chức? A. Các sản phẩm phần mềm. B. Các kết nối Internet. C. Các chính sách bảo mật. D. Con người. 2. Do việc tái cơ cấu tổ chức gần đây, CEO tin rằng nhân viên mới nên được tuyển dụng để thực hiện các nhiệm vụ công việc cần thiết và hỗ trợ cho sứ mệnh và mục tiêu của tổ chức. Khi tìm cách tuyển dụng nhân viên mới, bước đầu tiên của quy trình là gì? A. Tạo ra bản mô tả công việc. B. Đặt ra phân loại vị trí. C. Sàng lọc ứng viên. 264 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống D. Yêu cầu lý lịch. 3. _________________ là quá trình bổ sung nhân viên mới vào tổ chức, để cho họ xem xét và ký các chính sách, được giới thiệu với người quản lý và đồng nghiệp, đồng thời được đào tạo về hoạt động của nhân viên và hậu cần. A. Phát hành lại. B. Giới thiệu. C. Kiểm tra lý lịch. D. Khảo sát địa điểm. 4. Sau nhiều lần đào tạo lại, một nhân viên cụ thể đã bị bắt gặp lần thứ tư khi cố gắng truy cập vào các tài liệu không liên quan đến vị trí công việc của họ. CSO quyết định đây là cơ hội cuối cùng và người lao động sẽ bị sa thải. CSO nhắc bạn rằng tổ chức có một quy trình chấm dứt chính thức cần phải được tuân thủ. Nhiệm vụ quan trọng nào sau đây cần thực hiện trong thủ tục chấm dứt hợp đồng để giảm bớt các vấn đề về bảo mật trong tương lai liên quan đến nhân viên cũ này? A. Trả lại đồ đạc cá nhân của nhân viên rời đi. B. Xem xét thỏa thuận không tiết lộ. C. Đánh giá hiệu suất của nhân viên rời đi. D. Hủy bỏ giấy phép đậu xe của nhân viên rời đi. 5. Tuyên bố nào sau đây là đúng về các biện pháp kiểm soát nhà cung cấp, nhà tư vấn và nhà thầu? A. Sử dụng xâm phạm email doanh nghiệp (BEC) là một phương tiện để đảm bảo rằng các tổ chức cung cấp dịch vụ duy trì một mức độ dịch vụ phù hợp mà nhà cung cấp dịch vụ, nhà cung cấp hoặc nhà thầu và tổ chức khách hàng đã thống nhất. B. Thuê ngoài có thể được sử dụng như một phương án ứng phó với rủi ro được gọi là sự chấp nhận hoặc khẩu vị [rủi ro]. C. Rủi ro nhiều bên tồn tại khi một số đơn vị hoặc tổ chức tham gia vào một dự án. Rủi ro hoặc các mối đe dọa thường là do những khác biệt của các mục tiêu, kỳ vọng, tiến trình, ngân sách và các ưu tiên bảo mật của những bên có liên quan. 265 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống D. Các chiến lược quản lý rủi ro được triển khai bởi một bên không gây thêm rủi ro đối với hoặc từ bên khác. 6. Hãy so khớp thuật ngữ với định nghĩa của nó: 1. Tài sản. 2. Mối đe doạ. 3. Lỗ hổng. 4. Khả năng tiếp xúc. 5. Rủi ro. I. Điểm yếu của một tài sản, hoặc sự thiếu vắng hoặc sự yếu kém của biện pháp bảo vệ hoặc biện pháp đối phó. II. Bất cứ thứ gì được sử dụng trong một quy trình hoặc nhiệm vụ kinh doanh. III. Dễ bị mất tài sản vì do mối đe dọa, có khả năng là một lỗ hổng có thể hoặc sẽ bị khai thác. IV. Khả năng xảy ra hoặc tiềm năng một mối đe dọa sẽ khai thác một lỗ hổng để gây ra thiệt hại cho tài sản và mức độ nghiêm trọng của thiệt hại có thể gây ra. V. Bất kỳ sự kiện tiềm ẩn nào có thể gây ra kết quả không mong muốn cho một tổ chức hoặc cho một tài sản cụ thể. A. A. 1 - II, 2 - V, 3 - I, 4 - III, 5 - IV. B. B. 1 - I, 2 - II, 3 - IV, 4 - II, 5 - V. C. C. 1 - II, 2 - V, 3 - I, 4 - IV, 5 - III. D. D. 1 - IV, 2 - V, 3 - III, 4 - II, 5 - I. 7. Trong quá trình thực hiện phân tích rủi ro, bạn xác định được một mối đe dọa về hỏa hoạn và một lỗ hổng của những thứ dễ cháy do không có bình chữa cháy. Dựa trên thông tin này, điều nào dưới đây là rủi ro có thể xảy ra? A. Nhiễm vi rút. B. Thiệt hại cho thiết bị. C. Hệ thống trục trặc. D. Truy cập trái phép đến thông tin mật. 8. Trong cuộc họp của ban lãnh đạo công ty và nhóm bảo mật, cuộc thảo luận đang tập trung vào việc xác định giá trị của tài sản tính bằng đô 266 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống la, kiểm kê các m ối đe dọa, dự đoán mức độ thiệt hại cụ thể của một hành vi vi phạm và xác định số lần một mối đe dọa có thể gây ra thiệt hại cho công ty. năm. Những gì đang được thực hiện? A. Đánh giá rủi ro định tính. B. Kỹ thuật Delphi. C. Tránh rủi ro. D. Đánh giá rủi ro định lượng. 9. Bạn đã thực hiện đánh giá rủi ro và xác định các mối đe dọa thể hiện mối quan tâm đáng kể nhất đối với tổ chức của bạn. Khi đánh giá các biện pháp bảo vệ, quy tắc nào cần được tuân thủ trong hầu hết các trường hợp? A. Chi phí tổn thất tài sản dự kiến hàng năm không được vượt quá chi phí hàng năm của các biện pháp bảo vệ. B. Chi phí hàng năm cho các bi ện pháp bảo vệ phải bằng giá trị của tài sản. C. Chi phí hàng năm cho các biện pháp bảo vệ không được vượt quá chi phí tổn thất giá trị tài sản dự kiến hàng năm. D. Chi phí hàng năm cho các biện pháp bảo vệ không được vượt quá 10% ngân sách dành cho bảo mật. 10. Trong một dự án quản lý rủi ro, việc đánh giá một số biện pháp kiểm soát xác định được rằng không có biện pháp nào là hiệu quả về chi phí trong việc giảm rủi ro liên quan đến một tài sản quan trọng cụ thể. Biện pháp ứng phó rủi ro nào đang được thể hiện qua tình huống này? A. Giảm nhẹ. B. Bỏ qua. C. Chấp nhận. D. Chuyển giao. 11. Trong quá trình đánh giá hàng năm về cơ sở hạ tầng bảo mật đã được triển khai của công ty, bạn đã đánh giá lại từng lựa chọn kiểm soát bảo mật. Giá trị của biện pháp bảo vệ đối với một công ty được tính như thế nào? A. ALE trước khi triển khai biện pháp bảo vệ - ALE sau khi triển khai biện pháp bảo vệ - chi phí bảo vệ hàng năm. 267 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống B. ALE trước khi triển khai biện pháp bảo vệ x ARO của biện pháp bảo vệ. C. ALE sau khi triển khai biện pháp bảo vệ + chi phí bảo vệ hàng năm - khoảng cách kiểm soát. D. Tổng rủi ro - khoảng cách kiểm soát. 12. Định nghĩa nào sau đây là hợp lệ đối với rủi ro? (Hãy chọn tất cả các đáp án đúng). A. Đánh giá xác suất, khả năng hoặc cơ hội. B. Bất kỳ điều gì loại bỏ lỗ hổng hoặc bảo vệ chống lại một hoặc nhiều mối đe dọa cụ thể. C. Rủi ro = mối đe dọa x lỗ hổng. D. Mọi trường hợp phơi nhiễm. E. Sự hiện diện của một lỗ hổng khi một mối đe dọa liên quan tồn tại. 13. Một ứng dụng web mới đã được cài đặt trên máy chủ web công cộng của công ty vào tuần trước. Trong thời gian cuối tuần qua, một tin tặc độc hại đã có thể khai thác mã web mới và giành quyền truy cập vào các tập tin dữ liệu được lưu trữ trên hệ thống. Đây là một ví dụ về vấn đề gì? A. Rủi ro cố hữu. B. Ma trận rủi ro. C. Đánh giá định tính. D. Rủi ro tồn dư. 14. Tổ chức của bạn đang thu hút một đối tác kinh doanh mới. Trong các cuộc đàm phán, bên kia xác đ ịnh một số yêu cầu về bảo mật của tổ chức bạn phải đáp ứng trước khi ký kết SLA và thỏa thuận đối tác kinh doanh (business partner agreement - BPA). Một trong số các yêu cầu là tổ chức của bạn phải chứng minh mức độ thành tích của họ trên Mô hình Trưởng thành Rủi ro (RMM). Yêu cầu cụ thể là một khuôn khổ rủi ro chung hoặc đã được tiêu chuẩn hóa phải được áp dụng trong toàn bộ tổ chức. Tổ chức của bạn đang được yêu cầu đáp ứng cấp độ nào trong số năm cấp độ RMM có thể có? A. Sơ bộ. B. Đã được tích hợp. 268 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C. Đã được xác định. D. Đã được tối ưu hóa. 15. Khuôn khổ Quản lý Rủi ro (RMF) cung cấp một quy trình có kỷ luật, có cấu trúc và linh hoạt để quản lý rủi ro về bảo mật và quyền riêng tư bao gồm phân loại bảo mật thông tin, lựa chọn, triển khai và đánh giá biện pháp kiểm soát, cấp phép hệ thống và biện pháp kiểm soát chung và giám sát liên tục. RMF có bảy bước hoặc giai đoạn. Giai đoạn nào của RMF tập trung vào việc xác định xem liệu hệ thống hoặc các biện pháp kiểm soát chung dựa trên việc xác định rằng rủi ro đối với hoạt động của tổ chức, và với tài sản, cá nhân, tổ chức khác và quốc gia là hợp lý? A. Phân loại. B. Cấp phép. C. Đánh giá. D. Giám sát. 16. Dữ liệu độc quyền của công ty bị tiết lộ trên phương tiện truyền thông xã hội công khai do CEO đăng tải. Khi điều tra, một lượng đáng kể các email tương tự đã được phát hiện đã được gửi cho các nhân viên, bao gồm các liên kết đến những trang web độc hại. Một số nhân viên báo cáo rằng họ cũng đã nhận được các tin nhắn tương tự đến tài khoản email cá nhân của họ. Những biện pháp cải tiến nào công ty nên triển khai để giải quyết vấn đề này? (Hãy chọn hai đáp án). A. Triển khai tường lửa ứng dụng web. B. Chặn quyền truy cập vào email cá nhân từ mạng công ty. C. Cập nhật máy chủ email của công ty. D. Thực hiện xác thực đa yếu tố (MFA) trên máy chủ email của công ty. E. Thực hiện đánh giá quyền truy cập của tất cả các tập tin của công ty. F. Cấm truy cập mạng xã hội trên thiết bị của công ty. 17. Quy trình hoặc sự kiện nào thường được tổ chức bởi một tổ chức và được nhắm mục tiêu đến các nhóm nhân viên có chức năng công việc tương tự nhau? 269 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống A. Giáo dục. B. Nâng cao nhận thức. C. Đào tạo. D. Chấm dứt. 18. Điều nào dưới đây có thể được phân loại là một hình thức tấn công kỹ thuật xã hội? (Hãy chọn tất cả các đáp án đúng). A. Một người dùng đăng nhập vào máy trạm của họ và sau đó quyết định lấy một lon nước ngọt từ máy bán hàng tự động ở cầu thang. Ngay sau khi người dùng rời khỏi máy trạm của họ, một người khác ngồi xuống bàn của họ và sao chép tất cả các tập tin từ một thư mục cục bộ vào một mạng chia sẻ. B. Bạn nhận được một email cảnh báo về một loại vi-rút mới nguy hiểm đang lây lan trên Internet. Thông báo cho bạn biết hãy tìm một tập tin cụ thể trên ổ cứng của bạn và xóa nó đi vì nó cho biết sự hiện diện của vi-rút. C. Một trang web tuyên bố cung cấp quyền truy cập tạm thời miễn phí vào các sản phẩm và dịch vụ của họ nhưng yêu cầu bạn thay đổi cấu hình của trình duyệt web và/hoặc tường lửa để tải xuống phần mềm truy cập. D. Một thư ký nhận được điện thoại từ một người tự xưng là khách hàng đến muộn để gặp CEO. Người gọi yêu cầu số điện thoại di động riêng của CEO để họ có thể gọi cho CEO. 19. Thông thường thì _____________ là thành viên c ủa nhóm quyết định (hoặc được chỉ định) chịu trách nhiệm dẫn dắt việc áp dụng và tích hợp các khái niệm bảo mật vào các hoạt động công việc của nhóm. _____________ thường là những nhân viên không phải là nhân viên bảo mật, những người đảm nhận vai trò khuyến khích những người khác hỗ trợ và áp dụng các biện pháp và hành vi bảo mật hơn. A. (Các) CISO. B. (Các) nhà vô địch bảo mật. C. (Các) kiểm toán viên bảo mật. D. (Các) người giám sát. 270 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 20. CSO đã bày tỏ lo ngại rằng sau nhiều năm các chương trình đào tạo và nâng cao nhận thức về bảo mật, mức độ vi phạm bảo mật nhỏ đã thực sự gia tăng. Một thành viên mới của nhóm bảo mật đã xem xét các tài liệu đào tạo và nhận thấy rằng nó đã được tạo ra cách đây 4 năm. Họ đề xuất rằng các tài liệu cần được sửa đổi để trở nên hấp dẫn hơn và bao gồm các yếu tố cho phép khả năng được công nhận, hợp tác với đồng nghiệp và cố gắng hướng tới một mục tiêu chung. Họ tuyên bố những nỗ lực này sẽ cải thiện việc tuân thủ bảo mật và thúc đẩy thay đổi hành vi bảo mật. Phương pháp tiếp cận đang được khuyến nghị là gì? A. Đánh giá hiệu quả chương trình. B. Giới thiệu. C. Thực thi tuân thủ. D. Trò chơi hóa. 271 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C h ư ơn g 3 H o ạ c h đ ịn h L iê n t ụ c K in h d oa n h CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM: ✓ Lĩnh vực 1.0: Bảo mật và Quản lý Rủi ro ▪ 1.8 Xác định, phân tích, và ưu tiên các yêu c ầu Liên tục Kinh doanh (BC) ✓ ▪ 1.8.1 Phân tích Tác động Kinh doanh (BIA) ▪ 1.8.2 Phát triển và lập thành văn bản về phạm vi và kế hoạch Lĩnh vực 7.0: Vận hành Bảo mật ▪ 7.13 Tham gia vào hoạch định và kiểm tra Liên tục Kinh doanh (BC) 272 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bất kể những dự định tốt nhất của chúng ta là gì thì những thảm họa dù là dưới hình thức này hay hình thức khác cuối cùng vẫn tấn công mọi tổ chức. Cho dù đó là thảm họa tự nhiên như các cơn bão, động đất, đại dịch hay tai họa do con người gây ra như cháy tòa nhà, vỡ ống nước hay khủng hoảng kinh tế, mọi tổ chức đều sẽ gặp phải những sự kiện đe dọa hoạt động hoặc thậm chí là sự tồn tại của họ. Các tổ chức có khả năng phục hồi đều có những kế hoạch và thủ tục để giúp giảm thiểu tác động của một thảm họa đối với việc tiếp tục hoạt động của mình và để tăng tốc độ trở lại hoạt động bình thường. Việc nhận thức được tầm quan trọng của việc lập kế hoạch cho hoạt động liên tục kinh doanh (business continuity - BC) và khôi phục sau thảm họa (disaster recovery - DR), Hiệp hội Chứng nhận Bảo mật Hệ thống Thông tin Quốc tế (ISC)2 đã đưa hai quy trình này vào trong số các mục tiêu của chương trình CISSP. Kiến thức về những chủ đề cơ bản này sẽ giúp bạn chuẩn bị cho kỳ thi và giúp bạn chuẩn bị tổ chức của mình cho những điều bất ngờ. Trong chương này, chúng ta sẽ khám phá các khái niệm đằng sau việc hoạch định liên tục kinh doanh (BCP). Chương 18, “ Hoạch định Khôi phục sau Thảm họa”, sẽ tiếp tục thảo luận và đi sâu vào các chi tiết cụ thể của các biện pháp kiểm soát kỹ thuật mà các tổ chức có thể áp dụng để khôi phục hoạt động một cách nhanh nhất có thể sau khi thảm họa xảy ra. Hoạch định Liên tục Kinh doanh Hoạch định liên tục kinh doanh (BCP) liên quan đến việc đánh giá những rủi ro đối với các quy trình của tổ chức và việc tạo ra các chính sách, kế hoạch và thủ tục để giảm thiểu tác động của những rủi ro đó có thể có đối với tổ chức nếu chúng xảy ra. BCP được sử dụng để duy trì hoạt động liên tục của một doanh 273 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống nghiệp trong tình huống khẩn cấp. Mục đích của nhà hoạch định BCP là để triển khai một sự kết hợp của các chính sách, thủ tục, và quy trình sao cho một sự kiện có khả năng gây ra gián đoạn càng có ít ảnh hưởng đến hoạt động kinh doanh càng tốt. BCP tập trung vào việc duy trì hoạt động kinh doanh với những năng lực hoặc nguồn lực cơ sở hạ tầng bị sụt giảm hoặc bị giới hạn. Miễn là tính liên tục của khả năng của tổ chức để thực hiện những tác vụ công việc tối-quan-trọng-vớisứ-mệnh vẫn được duy trì, BCP vẫn có thể được sử dụng để quản lý và khôi phục môi trường [hoạt động]. Hoạch định Liên tục Kinh doanh so với Hoạch định Khôi phục sau Thảm họa Các thí sinh CISSP thường bị nhầm lẫn về sự khác biệt giữa hoạch định liên tục kinh doanh (BCP) và hoạch định khôi phục sau thảm họa (DRP). Họ có thể cố gắng sắp xếp chúng theo một thứ tự cụ thể hoặc vạch ra một ranh giới chắc chắn giữa hai hoạt động. Thực tế của tình hình là những ranh giới này rất mờ nhạt trong đời thực và không cho phép chúng ta phân loại gọn gàng và rõ ràng. Sự khác biệt giữa hai hoạt động này là về những quan điểm. Cả hai hoạt động đều giúp tổ chức chuẩn bị cho một thảm họa. Chúng đều có ý định giữ cho vận hành liên tục, khi có thể, và khôi phục các chức năng càng nhanh càng tốt nếu xảy ra sự gián đoạn. Sự khác biệt về quan điểm là các hoạt động liên tục kinh doanh thường được tập trung về mặt chiến lược ở cấp độ cao và hướng trọng tâm của chính bản thân chúng vào các quy trình và hoạt động kinh doanh. Các kế hoạch khôi phục sau thảm họa có xu hướng mang tính chiến thuật cao hơn và mô tả các hoạt động kỹ thuật chẳng hạn như địa điểm khôi phục, sao lưu và khả năng chịu lỗi. Trong bất kỳ trường hợp nào, đừng quá lo lắng về sự khác biệt giữa hai hoạt động này. Chúng tôi vẫn chưa thấy một câu hỏi kiểm tra buộc bất kỳ ai phải vạch ra một đường thẳng giữa hai hoạt động [hàm ý phân biệt một cách rạch ròi giữa hai hoạt động – người dịch]. Điều quan trọng hơn là bạn phải hiểu được các quy trình và công nghệ liên quan đến hai lĩnh vực có liên quan này. Bạn sẽ tìm hiểu thêm về hoạch định khôi phục sau thảm họa trong Chương 18. 274 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mục đích tổng thể của BCP là để cung cấp một biện pháp ứng phó nhanh chóng, bình tĩnh và hiệu quả trong một tình huống khẩn cấp và để tăng cường năng lực của một công ty để khôi phục lại một cách nhanh chóng sau một sự kiện thảm họa. Quy trình BCP có 4 bước chính: ▪ Xác định phạm vi và hoạch định dự án, ▪ Phân tích tác động kinh doanh, ▪ Hoạch định liên tục, ▪ Phê duyệt và triển khai. Bốn phần tiếp sau đây của chương này đề cập chi tiết đến từng giai đoạn. Phần cuối cùng của chương sẽ giới thiệu một vài trong s ố các phần tử tối quan trọng mà bạn nên cân nhắc khi biên soạn tài liệu về kế hoạch liên tục kinh doanh cho tổ chức của bạn. Ưu tiên hàng đầu của BCP và DRP luôn luôn là con người. Mối quan tâm hàng đầu là việc đưa con người ra khỏi con đường thiệt hại, sau đó bạn có thể giải quyết các vấn đề về khôi phục và phục hồi CNTT. Xác định Phạm vi và Hoạch định Dự án Cũng như với bất kỳ quy trình nghiệp vụ chính thức nào khác, sự phát triển của một kế hoạch liên tục kinh doanh có khả năng phục hồi đòi hỏi việc sử dụng một phương pháp luận đã được chứng minh. Các tổ chức nên tiếp cận quy trình hoạch định với một vài mục đích cần phải lưu tâm: ▪ Thực hiện một đánh giá có cấu trúc về tổ chức của doanh nghiệp từ quan điểm hoạch định xử lý khủng hoảng. ▪ Tạo ra một nhóm BCP với sự phê duyệt từ các nhà quản lý cấp cao. ▪ Đánh giá nguồn tài nguyên sẵn có để tham gia vào các hoạt động liên tục kinh doanh. ▪ Phân tích bối cảnh pháp lý và quy định đang chi phối biện pháp ứng phó của một tổ chức với sự kiện thảm khốc. Quy trình chính xác mà bạn sử dụng sẽ phụ thuộc vào quy mô và bản chất của tổ chức của bạn và lĩnh vực kinh doanh của nó. Sẽ không có một hướng dẫn 275 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống “phù-hợp-cho-tất-cả” đối với hoạch định dự án liên tục kinh doanh. Bạn nên tham vấn các chuyên gia hoạch định dự án trong tổ chức của bạn và xác định phương pháp tiếp cận sẽ hoạt động tốt nhât trong phạm vi văn hóa của tổ chức của bạn. Mục đích của giai đoạn này là để đảm bảo rằng tổ chức dành đủ thời gian và sự quan tâm cho cả việc phát triển phạm vi dự án và lập kế hoạch và sau đó lập thành tài liệu những hoạt động này để tham chiếu trong tương lai. Đánh giá Tổ chức Một trong những trách nhiệm đầu tiên của các cá nhân chịu trách nhiệm cho việc hoạch định liên tục kinh doanh là thực hiện phân tích tổ chức kinh doanh để xác định tất cả các bộ phận và cá nhân tham gia vào trong quá trình BCP. Dưới đây là một số lĩnh vực cần phải xem xét: ▪ Các bộ phận vận hành chịu trách nhiệm về các dịch vụ cốt lõi mà doanh nghiệp cung cấp cho khách hàng của mình. ▪ Các dịch vụ hỗ trợ quan trọng, chẳng hạn như bộ phận CNTT, cơ sở vật chất và nhân viên bảo trì, và các nhóm khác chịu trách nhiệm duy trì các hệ thống để hỗ trợ cho các bộ phận vận hành. ▪ Các đội an ninh của công ty chịu trách nhiệm an ninh về mặt vật lý, vì họ thường luôn là những người phản ứng đầu tiên đối với một sự cố và cũng chịu trách nhiệm bảo vệ về mặt vật lý của cơ sở chính và cơ sở xử lý thay thế. ▪ Các giám đốc điều hành cấp cao và các cá nhân chủ chốt khác cần thiết cho sự tồn tại liên tục của tổ chức. Quá trình xác định này rất quan trọng vì hai lý do. Đầu tiên, nó cung cấp cơ sở nền tảng cần thiết để giúp xác định các thành viên tiềm năng của nhóm BCP (hãy xem phần tiếp theo). Thứ hai, nó xây dựng nền tảng cho phần còn lại của quy trình BCP. Thông thường, các cá nhân dẫn dắt nỗ lực BCP thực hiện phân tích tổ chức kinh doanh. Một số tổ chức sử dụng một nhà quản lý liên tục kinh doanh chuyên biệt để lãnh đạo những nỗ lực này, trong khi những tổ chức khác coi đó là trách 276 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống nhiệm bán-thời-gian cho một nhà lãnh đạo CNTT khác. Một trong hai phương pháp tiếp cận đều có thể chấp nhận được vì kết quả đầu ra của quá trình phân tích thường định hướng việc lựa chọn các thành viên còn lại của nhóm BCP. Tuy nhiên, việc xem xét kỹ lưỡng phân tích này nên là m ột trong những nhiệm vụ đầu tiên được giao cho nhóm BCP đầy đủ khi nhóm này được triệu tập. Đây là bước rất quan trọng vì các cá nhân thực hiện phân tích ban đầu có thể đã bỏ qua các chức năng nghiệp vụ quan trọng mà các thành viên trong nhóm BCP đ ại diện cho các bộ phận khác của tổ chức nắm được. Nếu nhóm vẫn tiếp tục mà không sửa đổi phân tích tổ chức, toàn bộ quy trình BCP có thể bị ảnh hưởng một cách tiêu cực, dẫn đến việc phát triển một kế hoạch không giải quyết hoàn toàn các nhu cầu ứng-phó-tình-huống-khẩn-cấp của toàn thể tổ chức nói chung. Khi phát triển một kế hoạch liên tục kinh doanh, hãy chắc chắn rằng bạn đã cân nhắc vị trí của cả trụ sở chính và các văn phòng chi nhánh của bạn. Kế hoạch nên tính đến một thảm họa xảy ra tại bất kỳ vị trí nào, nơi mà tổ chức của bạn đang tiến hành công việc kinh doanh của mình, bao gồm cả những vị trí vật lý của riêng bạn và những vị trí của nhà cung cấp dịch vụ đám mây của bạn. Lựa chọn Nhóm BCP Trong một số tổ chức, bộ phận CNTT và/hoặc bộ phận bảo mật chịu trách nhiệm duy nhất về việc hoạch định liên tục kinh doanh và không có bộ phận hỗ trợ hoặc vận hành nào khác cung cấp đầu vào. Những bộ phận đó thậm chí có thể còn không biết về sự tồn tại của kế hoạch cho đến khi một thảm họa xảy ra trước mắt hoặc thực sự xảy ra với tổ chức. Đây là một lỗ hổng nghiêm trọng! Sự phát triển bị cô lập của một kế hoạch liên tục kinh doanh có thể dẫn đến thảm họa theo hai cách. Thứ nhất, chính bản thân kế hoạch có thể đã không tính đến kiến thức chỉ được sở hữu bởi các cá nhân chịu trách nhiệm về hoạt động hàngngày của doanh nghiệp. Thứ hai, nó giữ cho các yếu tố vận hành “nằm trong bóng tối” đối với các chi tiết cụ thể của kế hoạch cho đến khi việc triển khai trở nên cần thiết. Hai yếu tố này có thể dẫn đến việc các đơn vị [trong doanh nghiệp] không đồng ý với các quy định của kế hoạch và không triển khai nó một 277 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống cách đúng đắn. Họ cũng từ chối các tổ chức những lợi ích đạt được từ một chương trình đào tạo và kiểm tra có cấu trúc đối với kế hoạch. Để ngăn chặn những tình huống này gây ra ảnh hưởng xấu đến quá trình BCP, các cá nhân chịu trách nhiệm về nỗ lực này nên đặc biệt lưu ý khi lựa chọn nhóm BCP. Nhóm [BCP] tối thiểu phải bao gồm các cá nhân sau: ▪ Đại diện từ mỗi bộ phận của tổ chức chịu trách nhiệm về các dịch vụ cốt lõi được thực hiện bởi việc kinh doanh [của tổ chức]. ▪ Các thành viên trong nhóm đơn vị kinh doanh từ các khu vực chức năng được xác định bởi phân tích tổ chức ▪ Các chuyên-gia-về-chủ-đề CNTT với chuyên môn kỹ thuật trong các lĩnh vực được bao hàm bởi BCP ▪ Các thành viên trong nhóm an ninh m ạng có kiến thức về quy trình BCP. ▪ Đội ngũ quản lý cơ sở vật chất và an ninh về mặt vật lý chịu trách nhiệm về nhà máy vật lý. ▪ Các luật sư quen thuộc với các trách nhiệm pháp lý, quy định và hợp đồng của công ty. ▪ Các thành viên trong nhóm nhân s ự có thể giải quyết các vấn đề về nhân sự và tác động đối với cá nhân các nhân viên. ▪ Các thành viên trong nhóm quan hệ công chúng, những người cần tiến hành lập kế hoạch tương tự về cách thức họ sẽ giao tiếp với các bên liên quan và công chúng trong trường hợp xảy ra sự gián đoạn như thế nào. ▪ Đại diện cho các nhà quản lý cấp cao với khả năng xác lập tầm nhìn, xác định ưu tiên và phân bổ nguồn lực. Mẹo để Lựa chọn một Nhóm BCP Hiệu quả Hãy lựa chọn nhóm của bạn một cách cẩn trọng. Bạn cần phải cân bằng giữa việc thể hiện các quan điểm khác biệt và việc tạo ra một nhóm với những khác biệt về tính cách cá nhân bùng nổ. Mục đích của bạn nên là tạo ra một nhóm càng đa dạng càng tốt nhưng vẫn hoạt động hài hòa với nhau. 278 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Hãy dành thời gian để suy nghĩ về tư cách thành viên của nhóm BCP và ai sẽ thích hợp với môi trường kỹ thuật, tài chính và chính trị của tổ chức của bạn. Bạn nên đưa thành viên nào vào trong nhóm? Mỗi thành viên của nhóm mang lại một quan điểm độc đáo cho quy trình BCP và cũng sẽ có những định kiến cá nhân. Ví dụ, các đại diện từ bộ phận vận hành sẽ thường coi bộ phận của họ là quan trọng nhất đối với khả năng tiếp tục tồn tại của tổ chức. Mặc dù những thành kiến này thoạt đầu trông có vẻ gây ra sự chia rẽ, người dẫn dắt nỗ lực BCP nên nắm lấy chúng và khai thác chúng một cách có hiệu quả. Nếu được sử dụng hiệu quả, các thành kiến sẽ giúp đạt được sự cân bằng lành mạnh trong kế hoạch cuối cùng khi mỗi người đại diện ủng hộ cho các nhu cầu của bộ phận của họ. Mặt khác, nếu không có sự lãnh đạo hiệu quả, những thành kiến này có thể biến thành những cuộc chiến tàn phá trên sân cỏ, làm mất trật tự nỗ lực BCP và gây hại cho toàn bộ tổ chức. Các Nhà quản lý Cấp cao và BCP Vai trò của các nhà quản lý cấp cao trong quá trình BCP rất khác nhau giữa các tổ chức. Nó phụ thuộc vào văn hóa của doanh nghiệp, sự quan tâm của các cấp quản lý đối với kế hoạch và vào môi trường pháp lý. Những vai trò quan trọng của các nhà quản lý cấp cao thường bao gồm thiết lập các ưu tiên, cung cấp nhân viên và nguồn lực tài chính, và phân xử các tranh chấp về mức độ quan trọng (tức là tầm quan trọng tương đối) của các dịch vụ. Một trong số các tác giả gần đây đã hoàn thành một công việc tư vấn BCP với một tổ chức phi-lợi-nhuận lớn. Khi bắt đầu tham gia, anh ấy đã có cơ hội ngồi lại với một trong những giám đốc điều hành cấp cao của tổ chức để cùng nhau thảo luận về những mục đích và mục tiêu của anh ấy cho công việc của họ. Trong cuộc họp đó, giám đốc điều hành cấp cao đã hỏi nhà tư vấn, “Có điều gì bạn cần ở tôi để hoàn thành cam kết này không?” Giám đốc điều hành cấp cao chắc hẳn đã mong đợi một phản hồi mang tính chiếu lệ vì đôi mắt của ông ta đã mở to khi nhà tư vấn nói, “Chà, thực tế là 279 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống vậy …” Sau đó, giám đốc điều hành đã biết được rằng sự tham gia tích cực của ông ấy vào quá trình này là rất quan trọng cho sự thành công của nó. Khi lập kế hoạch kinh doanh liên tục, trưởng nhóm BCP phải tìm kiếm và đạt được vai trò tích cực nhất có thể từ một giám đốc điều hành cấp cao. Sự hỗ trợ từ cấp-cao tường minh sẽ truyền tải tầm quan trọng của quy trình BCP đối với toàn bộ tổ chức. Nó cũng khuyến khích sự tham gia tích cực của những cá nhân, những người có thể cho rằng việc viết BCP làm lãng phí thời gian mà họ có thể dành cho các hoạt động vận hành khác. Hơn nữa, các luật lệ và quy định có thể đòi hỏi sự tham gia tích cực của các lãnh đạo cấp cao đó vào quá trình hoạch định. Nếu bạn làm việc cho một công ty niêm yết công khai [trên thị trường chứng khoán], bạn có thể muốn nhắc nhở các giám đốc điều hành rằng các tòa án có thể yêu cầu các quan chức và các giám đốc của công ty đó phải chịu trách nhiệm pháp lý cá nhân nếu một thảm họa gây tê liệt doanh nghiệp sau khi họ đã không thực hiện trách nhiệm giải trình [của họ] trong kế hoạch dự phòng của doanh nghiệp. Bạn cũng có thể phải thuyết phục ban giám đốc rằng khoản chi tiêu cho BCP và DRP không phải là chi phí tùy ý. Trách nhiệm ủy thác của các cấp quản lý đối với các cổ đông của tổ chức đòi hỏi họ ít nhất phải đảm bảo rằng các biện pháp BCP thích hợp được áp dụng. Trong trường hợp tham gia vào quá trình BCP này [của một trong số các tác giả], giám đốc điều hành thừa nhận tầm quan trọng của sự hỗ trợ của mình và đã đồng ý tham gia. Ông ấy đã gửi một email đến tất cả nhân viên để giới thiệu về nỗ lực [BCP] và nói rằng ông ấy sẽ dành sự ủng hộ hết mình. Ông cũng đã tham dự một số buổi lập kế hoạch cấp-cao và đề cập đến nỗ lực trong một cuộc họp toàn-bộ-tổ-chức theo kiểu “tòa thị chính” (town hall meeting). Các Yêu cầu về Tài nguyên Sau khi nhóm xác minh được quá trình đánh giá t ổ chức, họ nên chuyển sang đánh giá các nguồn lực cần thiết cho nỗ lực BCP. Quá trình đánh giá này liên quan đến các nguồn lực cần thiết cho ba giai đoạn BCP riêng biệt: Phát triển BCP Nhóm BCP sẽ đòi hỏi một số nguồn lực để thực hiện bốn thành phần của quá trình BCP (xác định phạm vi và hoạch định dự án, 280 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống phân tích tác động kinh doanh, lập kế hoạch liên tục, phê duyệt và triển khai). Nhiều khả năng nguồn lực chính đã tiêu tốn trong giai đoạn BCP này sẽ là nỗ lực của các thành viên trong nhóm BCP và nhân viên h ỗ trợ mà họ yêu cầu để hỗ trợ cho việc phát triển kế hoạch. Kiểm tra, đào tạo và duy trì BCP Giai đoạn kiểm tra, đào tạo và duy trì của BCP sẽ đòi hỏi một số cam kết về phần cứng và phần mềm. Tuy nhiên, một lần nữa, cam kết chính trong giai đoạn này sẽ là nỗ lực của các nhân viên tham gia vào các hoạt động đó. Triển khai BCP Khi một thảm họa xảy ra và nhóm BCP cho r ằng cần phải triển khai toàn-diện kế hoạch liên tục kinh doanh, việc triển khai sẽ đòi hỏi nguồn lực đáng kể. Những nguồn lực đó bao gồm một lượng lớn nỗ lực (BCP có thể sẽ trở thành trọng tâm của một bộ phận lớn, nếu không nói là tất cả, của tổ chức) cũng như chi phí tài chính tr ực tiếp. Vì lý do này, nhóm phải sử dụng quyền hạn triển khai BCP của mình một cách thận trọng nhưng dứt khoát. Một kế hoạch liên tục kinh doanh hiệu quả đòi hỏi phải tiêu tốn nhiều nguồn lực đáng kể, từ việc mua sắm và triển khai các cơ sở tính toán dự phòng cho đến bút chì và giấy được các thành viên trong nhóm s ử dụng để viết ra các bản thảo đầu tiên của kế hoạch. Tuy nhiên, như bạn đã thấy trước đó, nhân sự là một trong những nguồn lực quan trọng nhất mà quá trình BCP tiêu thụ. Nhiều chuyên gia bảo mật đã bỏ qua tầm quan trọng của việc tính toán nhân công, nhưng bạn có thể yên tâm rằng quản lý cấp cao sẽ không làm như vậy. Các nhà lãnh đạo doanh nghiệp nhận thức sâu sắc về ảnh hưởng của các hoạt động phụ tiêu-tốnthời-gian sẽ có đối với năng suất hoạt động của tổ chức của họ và chi phí thực tế của nhân sự về tiền lương, lợi ích và những cơ hội bị mất. Những mối quan tâm này trở nên đặc biệt quan trọng khi bạn đang yêu cầu thời gian của các giám đốc điều hành cấp cao. Bạn nên dự kiến rằng các nhà lãnh đạo chịu trách nhiệm cho việc quản lý việc sử dụng tài nguyên sẽ đặt đề xuất BCP của bạn dưới kính hiển vi [hàm ý kế hoạch BCP sẽ được xem xét một cách kỹ luõng bởi các nhà lãnh đạo – người 281 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống dịch] và bạn nên chuẩn bị để bảo vệ sự cần thiết của kế hoạch của mình bằng các lập luận logic, mạch lạc xác định được các đề án kinh doanh cho BCP. Kịch bản trong Thế giới Thực Giải trình Lợi ích của BCP Tại một cuộc hội nghị gần đây, một trong số các tác giả đã thảo luận về hoạch định liên tục kinh doanh với giám đốc bảo mật thông tin (CISO) của một hệ thống y tế từ một thành phố cỡ-trung-bình của Hoa Kỳ. Thái độ của CISO đã thực sự gây ra cú sốc. Tổ chức của anh ấy đã không tiến hành một quy trình BCP chính thức, và anh ấy tin tưởng rằng một cách tiếp cận không chính thức sẽ hoạt động tốt trong trường hợp không may xảy ra một thảm họa. Thái độ này là một trong những lý lẽ phổ biến nhất chống lại việc cam kết nguồn lực cho BCP. Trong rất nhiều tổ chức, thái độ rằng doanh nghiệp sẽ luôn sống sót, và các nhà lãnh đạo chủ chốt sẽ tìm ra điều gì đó trong trường hợp xảy ra thảm họa, xuyên suốt tư duy của doanh nghiệp. Nếu bạn gặp phải sự phản đối này, bạn có thể muốn chỉ ra cho cấp quản lý về các chi phí doanh nghiệp sẽ phải gánh chịu (cả chi phí trực tiếp và chi phí gián tiếp của các cơ hội đã bị mất) cho mỗi ngày doanh nghiệp ngừng hoạt động. Sau đó, yêu cầu họ xem xét thời gian phục hồi vô tổ chức có thể mất bao lâu khi so sánh với hoạt động liên tục có trật tự, có kế hoạch (continuity of operation s - COOP). Việc tiến hành một nỗ lực BCP chính thức là đặc biệt quan trọng trong các tổ chức chăm sóc sức khỏe, nơi mà việc không có sẵn các hệ thống có thể dẫn đến những hậu quả sinh-tử. Vào tháng 10 năm 2020, Cơ quan An ninh m ạng và Cơ sở hạ tầng Hoa Kỳ (US Cybersecurity and Infrastruc ture Security Agency - CISA) đã ban hành một cảnh báo thông báo cho các tổ chức chăm sóc sức khỏe về sự bùng phát của hoạt động ransomware nhắm mục tiêu cụ thể vào công việc của họ. Các kế hoạch liên tục [kinh doanh] mạnh mẽ đóng một vai trò thiết yếu trong việc bảo vệ chống lại các cuộc tấn công vào tính sẵn sàng này. 282 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Các Yêu cầu Quy định và Pháp lý Rất nhiều ngành nghề có thể bị ràng buộc bởi luật lệ hoặc quy định của liên bang, tiểu bang và địa phương đòi hỏi họ phải triển khai các mức độ khác nhau của BCP. Chúng ta đã thảo luận về một ví dụ trong chương này - các viên chức và giám đốc của các công ty niêm yết công khai có trách nhiệm được ủy thác thực hiện trách nhiệm giải trình trong việc thực thi các nhiệm vụ liên tục kinh doanh của họ. Trong các trường hợp khác, các yêu cầu (và hậu quả của việc không tuân thủ) có thể còn nghiêm trọng hơn. Các dịch vụ khẩn cấp, chẳng hạn như cảnh sát, cứu hỏa và hoạt động y tế khẩn cấp, có trách nhiệm với cộng đồng để tiếp tục hoạt động trong trường hợp xảy ra thảm họa. Thật vậy, các dịch vụ của họ thậm chí còn trở nên quan trọng hơn trong những trường hợp khẩn cấp đe dọa đến sự an toàn của công chúng. Nếu không triển khai một BCP hiệu quả có thể dẫn đến thiệt hại về người hoặc tài sản và làm giảm lòng tin của công chúng đối với chính phủ. Tại nhiều quốc gia, các thể chế tài chính, chẳng hạn như ngân hàng, công ty môi giới và các công ty đang xử lý dữ liệu của họ, bắt buộc phải tuân theo các quy định nghiêm ngặt về ngân hàng và chứng khoán của chính phủ và quốc tế. Những quy định này nhất thiết phải nghiêm ngặt vì mục đích của chúng là để đảm bảo sự vận hành liên tục của thể chế với tư cách là một bộ phận quan trọng của nền kinh tế. Khi các nhà sản xuất dược phẩm phải sản xuất các sản phẩm trong hoàn cảnh cận-tối-ưu sau thảm họa hoặc để đối phó với một đại dịch đang bùng phát một cách nhanh chóng, họ được yêu cầu phải chứng nhận độ tinh khiết của sản phẩm với các cơ quan quản lý của chính phủ. Có vô số những ví dụ khác về các ngành nghề vẫn cần phải tiếp tục hoạt động trong trường hợp khẩn cấp bởi các luật lệ và quy định khác nhau. Thậm chí, ngay cả khi bạn không bị ràng buộc bởi bất kỳ cân nhắc nào trong số này, bạn vẫn có thể có các nghĩa vụ theo hợp đồng đối với khách hàng của mình yêu cầu bạn triển khai những thông lệ BCP hợp lý. Nếu hợp đồng của bạn bao gồm các cam kết với khách hàng được thể hiện dưới dạng các thỏa thuận mức- dịch-vụ (SLA), bạn có thể nhận thấy rằng mình sẽ vi phạm các hợp đồng đó nếu một thảm họa làm gián đoạn khả năng phục vụ khách hàng của bạn. Nhiều khách hàng có thể cảm thấy tiếc cho bạn và vẫn muốn tiếp tục sử dụng các sản 283 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống phẩm/dịch vụ của bạn, nhưng các yêu cầu doanh nghiệp riêng của họ có thể buộc họ phải cắt đứt mối quan hệ và tìm nhà cung cấp mới. Ở mặt khác của vấn đề này, việc phát triển một kế hoạch kinh doanh liên tục mạnh mẽ và được lập thành văn bản có thể giúp tổ chức của bạn giành được những khách hàng mới và công việc kinh doanh bổ sung từ các khách hàng hiện tại. Nếu bạn có thể cho khách hàng thấy các thủ tục hợp lý mà bạn có để vẫn tiếp tục phục vụ họ trong trường hợp xảy ra thiên tai, họ sẽ đặt niềm tin nhiều hơn vào công ty của bạn và có nhiều khả năng chọn bạn làm nhà cung cấp ưu tiên của họ. Đó không phải là một vị thế tồi để có thể đạt được! Tất cả những mối quan tâm này đều dẫn đến một kết luận - điều thiết yếu là phải đưa cố vấn pháp lý của tổ chức bạn vào quy trình BCP. Họ rất quen thuộc với các nghĩa vụ pháp lý, quy đ ịnh và hợp đồng được áp dụng cho tổ chức của bạn. Họ có thể giúp cho nhóm của bạn triển khai một kế hoạch đáp ứng các yêu cầu đó trong khi vẫn đảm bảo khả năng tồn tại liên tục của tổ chức vì lợi ích của tất cả - nhân viên, cổ đông, nhà cung cấp và khách hàng. Những luật lệ liên quan đến các hệ thống máy tính, thực tiễn kinh doanh và quản lý thảm họa luôn luôn thay đổi một cách thường xuyên. Chúng cũng khác nhau gi ữa các khu vực tài phán. Hãy đảm bảo giữ cho luật sư của bạn tham gia vào suốt vòng đời của BCP của bạn, bao gồm cả các giai đoạn thử nghiệm và bảo trì. Nếu bạn hạn chế sự tham gia của họ vào việc đánh giá trước-triểnkhai kế hoạch, bạn có thể không nhận thức được tác động của những luật lệ và quy định đang thay đổi đối với trách nhiệm của công ty bạn. Phân tích Tác động Kinh doanh Khi nhóm BCP của bạn hoàn tất 4 giai đoạn của việc chuẩn bị để tạo ra một kế hoạch liên tục kinh doanh, giờ là lúc để đào sâu vào trọng tâm của công việc – phân tích tác động kinh doanh (BIA). BIA xác định các quy trình và tác vụ nghiệp vụ tối quan trọng đối với khả năng tồn tại liên tục của một tổ chức và những mối đe dọa đối với các nguồn lực đó. Nó cũng đánh giá khả năng mà từng mối đe dọa sẽ xảy ra và tác động của những sự kiện đó đối với doanh nghiệp. Kết 284 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống quả của BIA cung cấp cho bạn các thước đo định lượng có thể giúp bạn ưu tiên cam kết các nguồn lực của hoạt động liên tục kinh doanh đối với các mức độ rủi ro ở cấp địa phương, khu vực và toàn cầu khác nhau mà tổ chức của bạn đang phải đối mặt. Điều quan trọng là phải nhận ra rằng có hai kiểu phân tích khác nhau mà các nhà lập kế hoạch kinh doanh sử dụng khi phải đối mặt với một quyết định: Đánh giá Tác động Định lượng Liên quan đến việc sử dụng các con số và các công thức để đi đến quyết định. Loại dữ liệu này thường thể hiện các lựa chọn về giá trị bằng tiền đối với doanh nghiệp. Đánh giá tác động định tính Có tính đến các yếu tố không phải là con số, chẳng hạn như danh tiếng, lòng tin của nhà đầu tư/khách hàng, sự ổn định của lực lượng lao động và các mối quan tâm khác. Loại dữ liệu này thường dẫn đến các phân loại ưu tiên (chẳng hạn như cao, trung bình và thấp). Phân tích định lượng và đánh giá định tính đều đóng một vai trò thiết yếu trong quy trình BCP. Tuy nhiên, hầu hết mọi người đều có khuynh hướng ưa thích một trong hai kiểu phân tích hơn kiểu còn lại. Khi lựa chọn các thành viên cá nhân c ủa nhóm BCP, hãy cố gắng đạt được sự cân bằng giữa những người yêu thích từng chiến lược. Phương pháp tiếp cận này giúp phát triển một BCP toàn-diện và sẽ mang lại lợi ích cho tổ chức về lâu dài. Quy trình BIA được mô tả trong chương này tiếp cận vấn đề theo cả quan điểm định lượng và định tính. Tuy nhiên, một điều rất hấp dẫn đối với nhóm BCP là “đi cùng các con số” và thực hiện đánh giá định lượng trong khi bỏ qua một số đánh giá định tính có phần chủ quan hơn. Nhóm BCP nên thực hiện phân tích định tính các yếu tố có ảnh hưởng đến quy trình BCP của bạn. Ví dụ, nếu doanh nghiệp của bạn phụ thuộc nhiều vào một số ít khách hàng quan trọng, đội ngũ quản lý của bạn có thể sẵn sàng chịu những tổn thất tài chính trong ngắn hạn đáng kể để giữ chân những khách hàng đó trong dài hạn. Nhóm BCP phải ngồi xuống và thảo luận (tốt nhất là với sự tham gia của các nhà quản lý cấp cao) về 285 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống các mối quan tâm định tính để phát triển một phương pháp tiếp cận toàn diện làm hài lòng tất cả các bên liên quan. Khi bạn làm việc theo cách của mình thông qua quy trình BIA, bạn sẽ nhận thấy rằng nó khá giống với quy trình đánh giá rủi ro đã được đề cập trong Chương 2, “Các Khái ni ệm về Quản lý Rủi ro và Bảo mật Nhân sự”. Các kỹ thuật được sử dụng rất giống nhau vì cả hai đều sử dụng các kỹ thuật đánh giá rủi ro tiêu chuẩn. Sự khác biệt chủ yếu là quy trình đánh giá rủi ro tập trung vào các tài sản riêng lẻ, trong khi BCP tập trung vào các tác vụ và quy trình nghiệp vụ. Xác định các Ưu tiên Nhiệm vụ BCP đầu tiên mà nhóm BCP phải đối mặt là xác định các ưu tiên trong kinh doanh. Tùy thuộc vào lĩnh vực kinh doanh của bạn, một số hoạt động nhất định là thiết yếu đối với hoạt động hàng-ngày khi xảy ra thảm họa. Bạn nên tạo ra một danh sách toàn diện bao gồm các chức năng nghiệp vụ trọng yếu và xếp hạng chúng theo thứ tự của tầm quan trọng. Mặc dù nhiệm vụ này có vẻ hơi khó khăn nhưng nó không quá khó. Các chức năng nghiệp vụ quan trọng này sẽ khác nhau giữa các tổ chức, dựa trên sứ mệnh của từng tổ chức. Chúng là những hoạt động, nếu bị gián đoạn, sẽ gây ra nguy hiểm cho khả năng đạt được mục đích của tổ chức. Ví dụ, một nhà bán lẻ trực tuyến sẽ coi khả năng bán sản phẩm từ trang web của họ và hoàn thành các đơn đặt hàng đó một cách nhanh chóng là các chức năng nghiệp vụ quan trọng. Một cách tuyệt vời để phân chia khối lượng công việc của quá trình này giữa các thành viên trong nhóm là giao trách nhiệm cho từng người tham gia về việc lập một danh sách ưu tiên bao gồm các chức năng nghiệp vụ mà bộ phận của họ chịu trách nhiệm. Khi toàn bộ nhóm BCP đồng ý, các thành viên trong nhóm có thể sử dụng các danh sách đã được sắp xếp thứ tự ưu tiên đó để tạo ra một danh sách ưu tiên tổng thể cho toàn bộ tổ chức. Một lưu ý đối với cách tiếp cận này - nếu nhóm của bạn không thực sự đại diện cho tổ chức, bạn có thể bỏ lỡ 286 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống các ưu tiên tối quan trọng. Hãy đảm bảo đã thu thập ý kiến đóng góp từ tất cả các bộ phận của tổ chức, đặc biệt là từ bất kỳ khu vực nào không có đại diện trong nhóm BCP. Quá trình này giúp xác định các ưu tiên kinh doanh theo một quan điểm định tính. Hãy nhớ lại rằng chúng ta đang mô tả nỗ lực phát triển cả BIA định tính và định lượng một cách đồng thời. Để bắt đầu đánh giá định lượng, nhóm BCP nên ngồi xuống và lập ra danh sách các tài sản của tổ chức và sau đó chỉ định giá trị tài sản (AV) bằng tiền cho từng tài sản. Các giá trị này hình thành nên cơ sở cho các tính toán rủi ro được thực hiện sau này trong BIA. Thước đo định lượng thứ hai mà nhóm phải phát triển là thời gian ngừng hoạt động tối đa có thể chấp nhận được (maimumx tolerable downtime - MTD), đôi khi còn được gọi là thời gian ngừng hoạt động tối đa có thể chấp nhận được (maximum tolerable outage - MTO). MTD là khoảng thời gian tối đa mà một chức năng nghiệp vụ có thể chịu được sự gián đoạn trước khi bị tổn hại đến mức không thể khắc phục được. MTD cung cấp thông tin có giá trị khi bạn thực hiện cả hoạch định BCP và DRP. Danh sách các ch ức năng nghiệp vụ quan trọng của tổ chức đóng một vai trò quan trọng trong quá trình này. MTD đối với các chức năng nghiệp vụ quan trọng phải thấp hơn MTD cho các hoạt động không được xác định là quan trọng. Hãy quay trở lại ví dụ về một nhà bán lẻ trực tuyến, MTD cho trang web bán sản phẩm có thể chỉ là vài phút, trong khi MTD cho hệ thống email nội bộ của họ có thể được tính bằng giờ. Mục tiêu thời gian khôi phục (recovery time đối tượngive - RTO) cho mỗi chức năng nghiệp vụ là khoảng thời gian mà bạn cho rằng bạn có thể khôi phục lại chức năng trong trường hợp bị gián đoạn. Giá trị này có liên quan chặt chẽ đến MTD. Khi bạn đã xác định các mục tiêu khôi phục của mình, bạn có thể thiết kế và lập kế hoạch các thủ tục cần thiết để hoàn thành các nhiệm vụ khôi phục. Khi bạn tiến hành công việc BCP của mình, hãy đảm bảo rằng RTO của bạn ít hơn MTD của bạn, dẫn đến tình huống mà theo đó một chức năng không bao giờ không sẵn sàng ngoài thời gian ngừng hoạt động tối đa có thể chấp nhận được. 287 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mặc dù RTO và MTD đo lường thời gian khôi phục hoạt động và tác động của thời gian khôi phục đó đối với hoạt động, các tổ chức cũng phải chú ý đến khả năng mất dữ liệu có thể xảy ra trong một sự cố về tính sẵn sàng. Tùy thuộc vào cách thức thông tin được thu thập, lưu trữ và xử lý, một số trường hợp mất dữ liệu vẫn có thể xảy ra. Mục tiêu điểm khôi phục (recovery point đối tượngive - RPO) là lượng dữ liệu bị mất tương đương với RTO được tập-trung-vào-thời-gian [hàm ý chỉ lượng dữ liệu bị mất trong khoảng thời gian khôi phục theo RTO]. RPO xác định thời điểm trước khi xảy ra sự cố, nơi mà tổ chức có thể khôi phục lại dữ liệu từ một quy trình kinh doanh quan trọng. Ví dụ, một tổ chức có thể thực hiện sao lưu nhật ký giao dịch cơ sở dữ liệu 15 phút một lần. Trong trường hợp đó, RPO sẽ là 15 phút, có nghĩa là tổ chức có thể mất tới 15 phút dữ liệu sau một sự cố. Nếu sự cố xảy ra lúc 8:30 sáng, thì bản sao lưu nhật ký giao dịch cuối cùng phải xảy ra vào khoảng từ 8:15 sáng đến 8:30 sáng. Tùy thuộc vào thời gian chính xác của sự cố và bản sao lưu, tổ chức có thể bị mất lượng dữ liệu không thể khôi phục rơi vào khoảng 0 và 15 phút. Xác định Rủi ro Giai đoạn tiếp theo của BIA là xác định rủi ro gây ra cho tổ chức của bạn. Trong suốt giai đoạn này, bạn sẽ dễ dàng xác định được một số mối đe dọa phổ biến, nhưng bạn có thể cần phải thực hiện một số hoạt động sáng tạo để đưa ra được những rủi ro mơ hồ hơn (nhưng rất thực tế!). Rủi ro có hai dạng: những rủi ro tự nhiên và rủi ro do-con-người-gây-ra. Danh sách dưới đây bao gồm một số sự kiện gây ra các mối đe dọa tự nhiên: ▪ Các cơn bão/cuồng phong/lốc xoáy/bão tuyết dữ dội, ▪ Sét đánh, ▪ Các trận động đất, ▪ Các trận bùn lở/tuyết lở, ▪ Núi lửa phun trào, ▪ Đại dịch. Những mối đe dọa do-con-người-gây-ra bao gồm các sự kiện dưới đây: ▪ Các hoạt động khủng bố/chiến tranh/bất ổn dân sự, 288 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Trộm cắp/phá hoại, ▪ Cháy/nổ, ▪ Mất điện kéo dài, ▪ Tòa nhà sụp đổ, ▪ Sự cố trong giao thông vận tải, ▪ Internet bị gián đoạn, ▪ Nhà cung cấp dịch vụ ngừng hoạt động, ▪ Các cuộc khủng hoảng kinh tế. Hãy lưu ý rằng đây không phải là danh sách bao-gồm-tất-cả. Chúng chỉ đơn thuần xác định một số rủi ro phổ biến mà nhiều tổ chức đều phải đối mặt. Bạn có thể muốn sử dụng chúng như một điểm khởi đầu, nhưng một danh sách đầy đủ các rủi ro mà tổ chức của bạn phải đối mặt sẽ đòi hỏi đầu vào từ tất cả các thành viên của nhóm BCP. Phần xác định rủi ro của quy trình hoàn toàn là đ ịnh tính. Tại thời điểm này trong quy trình [BCP], nhóm BCP không nên lo lắng về khả năng từng loại rủi ro sẽ xảy ra hoặc mức độ thiệt hại xảy ra như vậy sẽ gây ra cho hoạt động liên tục của doanh nghiệp. Kết quả của phân tích này sẽ thúc đẩy cả phần định tính và phần định lượng của các nhiệm vụ BIA còn lại. Phân tích Tác động Kinh doanh và Đám mây Khi bạn tiến hành quá trình phân tích tác đ ộng kinh doanh của bạn, đừng quên tính đến bất kỳ nhà cung cấp đám mây nào mà tổ chức của bạn đang sử dụng dịch vụ của họ. Tùy thuộc vào bản chất của dịch vụ đám mây, các thỏa thuận liên tục kinh doanh của riêng nhà cung cấp cũng có thể có tác động nghiêm trọng đến liên tục kinh doanh của tổ chức của bạn. Hãy xem xét, ví dụ, một công ty đã thuê ngoài email và l ịch biểu cho một nhà cung cấp phần-mềm-như-một-dịch-vụ (SaaS) bên-thứ-ba. Hợp đồng với nhà cung cấp đó có bao gồm các chi tiết về các SLA và cam kết của nhà cung cấp đối với việc khôi phục hoạt động sau một thảm họa không? Ngoài ra, hãy nhớ rằng một hợp đồng không thường không đủ để thẩm định khi chọn nhà cung cấp dịch vụ đám mây. Bạn cũng nên xác minh rằng họ đang 289 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống có các biện pháp kiểm soát để thực hiện các cam kết trong hợp đồng của họ. Mặc dù trên thực tế, bạn có thể không đến các cơ sở của nhà cung cấp để xác minh việc triển khai biện pháp kiểm soát của họ, nhưng bạn luôn có thể làm điều tốt nhất tiếp theo - hãy cử người khác! Bây giờ, trước khi bạn bắt đầu xác định một sứ giả và đặt chuyến bay, hãy công nhận rằng nhiều khách hàng của nhà cung cấp của bạn có thể đang hỏi cùng một câu hỏi. Vì lý do này, nhà cung cấp có thể đã thuê một công ty kiểm toán độc lập để thực hiện đánh giá các kiểm soát của mình. Họ có thể cung cấp kết quả đánh giá này cho bạn dưới dạng báo cáo Kiểm soát Tổ chức Dịch vụ (Service Organization Control - SOC). Chúng tôi sẽ đề cập đến các báo cáo SOC chi tiết hơn trong Chương 15, “Đánh giá và Kiểm tra Bảo mật”. Hãy nhớ rằng có ba phiên bản khác nhau của báo cáo SOC. Đơn giản nhất trong số này, báo cáo SOC 1, chỉ bao gồm các biện pháp kiểm soát nội bộ đối với báo cáo tài chính. Nếu bạn muốn xác minh các biện pháp kiểm soát bảo mật, quyền riêng tư và tính sẵn sàng, bạn sẽ muốn xem xét báo cáo SOC 2 hoặc SOC 3. Viện Kế toán Công được Chứng nhận Hoa Kỳ (AICPA) đặt ra và duy trì các tiêu chuẩn xung quanh các báo cáo này để duy trì sự nhất quán giữa các kiểm toán viên từ các công ty kế toán khác nhau. Để biết thêm thông tin về chủ đề này, hãy xem tài liệu của AICPA so sánh các loại báo cáo SOC tại địa chỉ trang web www.aicpa.org/interestareas/frc/assuranceadvisoryservices/serviceorganizati on-smanagement.html. Đánh giá Khả năng xảy ra Bước trước đó đã bao gồm việc nhóm BCP lập ra một danh sách toàn diện về các sự kiện có thể là mối đe dọa đối với tổ chức. Bạn có thể nhận ra rằng một số sự kiện sẽ có nhiều khả năng xảy ra hơn những sự kiện khác. Ví dụ, một trận động đất là một rủi ro hợp lý hơn nhiều so với một cơn bão nhiệt đới đối với một doanh nghiệp ở Nam California. Một công ty có trụ sở tại Florida có thể có khả năng hoàn toàn ngược lại rằng mỗi rủi ro đều sẽ có thể xảy ra. Để giải thích cho những khác biệt này, giai đoạn tiếp theo của phân tích tác động kinh doanh xác định khả năng xảy ra của từng rủi ro. Chúng tôi mô tả khả 290 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống năng xảy ra này bằng cách sử dụng cùng một quy trình được sử dụng để đánh giá rủi ro trong Chương 2. Đầu tiên, chúng tôi xác định tỷ lệ xảy ra theo hàng năm (ARO) phản ánh số lần một doanh nghiệp dự kiến trải qua một thảm họa nhất định mỗi năm. Quá trình theo hàng năm này đơn giản hóa việc so sánh cường độ của các rủi ro rất khác nhau. Nhóm BCP nên ngồi xuống và xác định ARO cho từng rủi ro đã được xác định trong phần trước. Hãy đặt căn cứ của những con số này trên lịch sử công ty, kinh nghiệm chuyên môn của các thành viên trong nhóm và lời khuyên từ các chuyên gia, chẳng hạn như nhà khí tượng học, nhà địa chấn học, chuyên gia phòng cháy và các nhà tư vấn khác, nếu cần thiết. Ngoài các nguồn lực của chính phủ được xác định trong chương này, các công ty bảo hiểm đã phát triển các kho lưu trữ thông tin rủi ro lớn như một phần của quy trình tính toán của họ. Bạn có thể lấy thông tin này từ họ để hỗ trợ cho các nỗ lực BCP của bạn. Rốt cuộc, bạn có lợi ích chung trong việc ngăn chặn thiệt hại cho doanh nghiệp của bạn! Trong rất nhiều trường hợp, bạn có thể tìm thấy những đánh giá khả năng xảy ra của một số rủi ro đã được chuẩn bị bởi các chuyên gia và hoàn toàn miễn phí cho bạn. Ví dụ, Cơ quan Khảo sát Địa chất Hoa Kỳ (US. Geological Survey USGS) đã phát triển bản đồ nguy cơ động đất được minh họa trong Hình 3.1. Bản đồ này minh họa ARO cho các trận động đất ở các khu vực khác nhau của Hoa Kỳ. Tương tự, Cơ quan Quản lý Tình trạng khẩn cấp Liên bang (Federal Emergency Management Agency - FEMA) điều phối việc phát triển các bản đồ lũ lụt chi tiết của các cộng đồng địa phương trên khắp Hoa Kỳ. Những nguồn tài nguyên này có sẵn trực tuyến và cung cấp nhiều thông tin cho các tổ chức đang thực hiện phân tích tác động kinh doanh. 291 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống HÌNH 3.1 Bản đồ nguy cơ xảy ra động đất của Hoa Kỳ Nguồn: Cơ quan Khảo sát Địa chất Hoa Kỳ Một trong những công cụ hữu ích là Hệ số Lũ lụt của tổ chức phi lợi nhuận First Street Foundation, giúp b ạn xác định một cách nhanh chóng nguy cơ ngập lụt của một bất động sản. Hãy tham khảo www.floodfactor.com. Phân tích tác động Như bạn có thể đã phỏng đoán dựa trên tên gọi của nó, phân tích tác đ ộng là một trong những phần quan trọng nhất của phân tích tác động kinh doanh. Trong giai đoạn này, bạn phân tích dữ liệu đã thu thập được trong quá trình xác định rủi ro và đánh giá khả năng xảy ra, đồng thời cố gắng xác định tác động của từng rủi ro đã xác định đối với doanh nghiệp nếu nó xảy ra. Từ quan điểm định tính, chúng tôi sẽ đề cập đến 3 chỉ số cụ thể: hệ số tiếp xúc, tổn thất đơn lẻ dự kiến, và tổn thất theo hàng năm dự kiến. Mỗi một trong số 292 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống những giá trị này mô tả một kết hợp rủi ro/tài sản cụ thể được đánh giá trong các giai đoạn trước đó. Hệ số tiếp xúc (EF) là lượng tổn thất mà rủi ro gây ra cho tài sản, được thể hiện bằng tỷ lệ phần trăm của giá trị tài sản. Ví dụ, nếu nhóm BCP tham vấn các chuyên gia phòng cháy và xác đ ịnh được rằng một tòa nhà bị cháy sẽ phá hủy 70% [diện tích] tòa nhà thì h ệ số tiếp xúc của [rủi ro] tòa nhà b ị cháy sẽ là 70%. Tổn thất đơn lẻ dự kiến (SLE) là tổn thất tính bằng tiền được dự kiến mỗi khi rủi ro xảy ra. Bạn có thể tính SLE bằng cách sử dụng công thức dưới đây: SLE = AV x EF Tiếp tục với ví dụ trước đó, nếu tòa nhà đáng giá 500,000 đô la, tổn thất đơn lẻ dự kiến sẽ là 70% của 500,000 đô là, hay 350,000 đô la. Bạn có thể diễn giải con số này để có nghĩa là bạn có thể dự kiến rằng một đám cháy duy nhất trong tòa nhà sẽ gây ra tổn thất đáng giá 350,000 đô la. Tổn thất theo hàng năm dự kiến (ALE) là tổn thất tính bằng tiền mà doanh nghiệp dự kiến phải gánh chịu do rủi ro gây ra trong một năm điển hình. SLE là tổng thiệt hại mà bạn dự kiến mỗi lần thảm họa xảy ra, và ARO (từ phân tích khả năng xảy ra) là số lần mà bạn dự kiến một thảm họa xảy ra trong từng năm. Bạn tính toán ALE chỉ đơn giản bằng cách nhân hai con số này lại với nhau: ALE = SLE x ARO Một lần nữa, hãy quay trở lại ví dụ về tòa nhà của chúng tôi, các chuyên gia c ứu hỏa có thể dự đoán rằng hỏa hoạn sẽ xảy ra trong tòa nhà khoảng một lần trong 30 năm, xác định cụ thể rằng có 0,03 khả năng xảy ra hỏa hoạn trong một năm bất kỳ. ALE sau đó là 3% của 350,000 đô la SLE, hoặc là 10,500 đô la. Bạn có thể diễn giải con số này có nghĩa là doanh nghiệp sẽ mất 10,500 đô la mỗi năm do xảy ra hỏa hoạn trong tòa nhà. Rõ ràng, hỏa hoạn sẽ không xảy ra mỗi năm - con số này thể hiện chi phí trung bình trong khoảng 30 năm giữa các vụ cháy. Nó không đặc biệt hữu ích cho việc cân nhắc ngân sách nhưng tỏ ra vô giá khi cố gắng sắp xếp thứ tự ưu tiên các nguồn lực của BCP cho một rủi ro nhất định. Tất nhiên, một nhà lãnh đạo doanh 293 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống nghiệp có thể quyết định rằng nguy cơ hỏa hoạn vẫn không thể chấp nhận được và thực hiện các hành động trái ngược với phân tích định lượng. Đó là lúc đánh giá định tính phát huy tác dụng. Hãy chắc chắn rằng bạn đã quen thuộc với các công thức định lượng có trong chương này và các khái ni ệm về giá trị tài sản, hệ số tiếp xúc, tỷ lệ xảy ra hàng năm, tổn thất đơn lẻ dự kiến và tổn thất theo hàng năm dự kiến. Hãy nắm được các công thức và có khả năng làm việc thông qua một kịch bản. Từ quan điểm định tính, bạn phải xem xét tác động không tính bằng tiền mà sự gián đoạn có thể gây ra cho doanh nghiệp của bạn. Ví dụ, bạn có thẻ muốn xem xét những điều dưới đây: ▪ Mất đi thiện chí giữa cơ sở khách hàng của bạn, ▪ Mất nhân viê hoặc các công việc khác sau thời gian gián đoạn kéo dài, ▪ Trách nhiệm xã hội/đạo đức đối với cộng đồng, ▪ Hình ảnh tiêu cực trước công chúng. Sẽ rất khó để đặt giá trị bằng tiền cho những hạng mục như vậy để đưa chúng vào phần định lượng của phân tích tác động, tuy nhiên, chúng vẫn có tầm quan trọng như nhau. Rốt cuộc, nếu bạn phá hủy cơ sở khách hàng của mình, bạn sẽ không còn việc kinh doanh để quay trở lại khi bạn đã sẵn sàng hoạt động trở lại! Ưu tiên Nguồn lực Bước cuối cùng của BIA là ưu tiên phân bổ các nguồn lực của liên tục kinh doanh cho các rủi ro khác nhau mà bạn đã xác định và đánh giá trong các giai đoạn trước của BIA. Từ quan điểm định lượng, quá trình này tương đ ối đơn giản. Bạn đơn giản chỉ cần tạo ra một danh sách tất cả các rủi ro mà bạn đã phân tích trong quá trình BIA và sắp xếp chúng theo thứ tự giảm dần theo ALE đã được tính toán trong giai đoạn phân tích tác động. Bước này cung cấp cho bạn một danh sách các rủi ro được ưu tiên mà bạn nên giải quyết. Hãy chọn bao nhiêu mục bạn muốn và có thể xử lý đồng thời từ đầu danh sách và làm việc theo cách của bạn. Cuối 294 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống cùng, bạn sẽ đạt đến điểm mà bạn đã sử dụng hết danh sách rủi ro (không chắc!) hoặc toàn bộ các nguồn lực hiện có của bạn (có nhiều khả năng hơn!) [hàm ý hoặc là có thể giải quyết toàn bộ rủi ro hoặc hết mọi nguồn lực sẵn có (khả năng này cao hơn) – người dịch]. Hãy nhớ lại phần trước rằng chúng ta cũng đã nhấn mạnh tầm quan trọng của việc giải quyết các mối quan tâm quan trọng về mặt chất lượng. Trong các phần trước về BIA, chúng tôi đã coi các phân tích đ ịnh lượng và định tính chủ yếu là các chức năng tách biệt với một số điểm chồng chéo. Giờ đây là lúc để hợp nhất hai danh sách ưu tiên, và đây là một nghệ thuật hơn là một khoa học. Bạn phải ngồi lại với nhóm BCP và đại diện từ nhóm các nhà quản lý cấp cao và kết hợp hai danh sách thành một danh sách ưu tiên duy nhất. Những mối quan tâm định tính có thể biện minh cho việc tăng hoặc giảm mức độ ưu tiên của các rủi ro đã tồn tại trong danh sách định lượng được sắp xếp theo ALE. Ví dụ, nếu bạn đang điều hành một công ty ngăn chặn hỏa hoạn, ưu tiên hàng đầu của bạn có thể là ngăn chặn hỏa hoạn tại địa điểm kinh doanh chính của bạn mặc dù một trận động đất có thể gây ra nhiều thiệt hại về mặt vật chất hơn. Khả năng mất uy tín trong cộng đồng doanh nghiệp do hỏa hoạn phá hủy một công ty ngăn chặn hỏa hoạn có thể là quá khó để vượt qua và dẫn đến sự sụp đổ cuối cùng của doanh nghiệp, biện minh cho việc tăng mức độ ưu tiên. Hoạch định Liên tục Hai giai đoạn đầu tiên của quy trình BCP (lập phạm vi và hoạch định dự án và phân tích tác động kinh doanh) tập trung vào việc xác định cách thức quy trình BCP sẽ hoạt động như thế nào và xác lập mức độ ưu tiên cho các tài sản mà bạn phải bảo vệ để không bị gián đoạn. Giai đoạn tiếp theo của việc phát triển BCP – hoạch định tính liên tục – tập trung vào việc phát triển và triển khai một chiến lược liên tục để tối thiểu tác động của rủi ro đã được nhận ra có thể có đối với tài sản đã được bảo vệ. Có hai nhiệm vụ phụ chính yếu liên quan đến hoạch định tính liên tục: ▪ Phát triển chiến lược, ▪ Cung cấp và xử lý. 295 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Trong phần này, bạn sẽ tìm hiểu về cả phát triển chiến lược lẫn cung cấp và xử lý mang tính thiết yếu đối với việc hoạch định tính liên tục. Mục đích của quá trình này là để tạo ra một kế hoạch hoạt động liên tục (continuity of operation plan – COOP). Kế hoạch hoạt động liên tục tập trung vào cách thức mà một tổ chức sẽ thực hiện các chức năng nghiệp vụ tối quan trọng bắt đầu ngay sau khi xảy ra sự gián đoạn và kéo dài đến 1 tháng hoạt động bền vững. Phát triển Chiến lược Giai đoạn phát triển chiến lược nối liền khoảng cách giữa các giai đoạn phân tích tác động kinh doanh và hoạch định tính liên tục của việc phát triển BCP. Giờ đây, nhóm BCP phải đưa ra danh sách đã được ưu tiên các mối quan tâm được nêu ra bởi các bài tập ưu tiên nguồn lực định lượng và định tính và xác định những rủi ro nào sẽ được giải quyết bằng kế hoạch liên tục kinh doanh. Việc giải quyết đầy đủ tất cả các trường hợp dự phòng sẽ đòi hỏi phải thực hiện việc cung cấp và quy trình duy trì trạng thái không-có-thời-gian-chết (zerodowntime) khi đối mặt với mọi rủi ro có thể xảy ra. Vì những lý do rõ ràng, việc thực hiện một chính sách toàn diện này là điều bất khả thi. Nhóm BCP nên quay lại những ước lượng MTD đã được tạo ra trong những giai đoạn trước đó của quá trình BIA và xác đ ịnh xem những rủi ro nào được cho là có thể chấp nhận được, những rủi ro nào phải được giảm thiểu bằng các thiết lập tính liên tục BCP. Một vài trong số các quyết định này là điều hiển nhiên – rủi ro của một cơn bão tuyết đang tấn công một cơ sở vận hành tại Ai Cập là không đáng kể và cấu thành nên một rủi ro có thể chấp nhận được. Rủi ro từ một đợt gió mùa tại New Delhi đủ nghiêm trọng đến mức các thiết lập BCP phải giảm thiểu nó. Khi nhóm BCP xác định được những rủi ro nào cần giảm nhẹ và mức độ tài nguyên sẽ được cam kết cho từng tác vụ giảm nhẹ, họ đã sẵn sàng để chuyển sang giai đoạn thiết lập và xử lý trong quá trình hoạch định liên tục. Thiết lập và Xử lý 296 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Giai đoạn thiết lập và xử lý của quá trình hoạch định liên tục là phần cốt lõi của toàn bộ kế hoạch liên tục kinh doanh. Trong tác vụ này, nhóm BCP thiết kế các thủ tục và cơ chế cụ thể làm giảm thiểu những rủi ro trông có vẻ như không thể chấp nhận được trong suốt giai đoạn phát triển chiến lược. Ba loại tài sản phải được bảo vệ thông qua thiết lập và xử lý BCP bao gồm: con người, tòa nhà/cơ sở vật chất và cơ sở hạ tầng. Trong ba đoạn tiếp theo đây, chúng ta sẽ cùng khám phá một vài trong số các kỹ thuật mà bạn có thể sử dụng để bảo vệ ba thể loại tài sản này. Con người Trước tiên, bạn phải đảm bảo rằg con người trong phạm vi tổ chức của bạn được an toàn trước, trong và sau một tình huống khẩn cấp. Khi bạn đã đạt được mục đích này, bạn phải thực hiện những thiết lập cho phép nhân viên của bạn tiến hành cả những tác vụ BCP lẫn những tác vụ vận hành của họ theo cách bình thường nhất có thể, tùy theo hoàn cảnh. Đừng quên đi một thực tế rằng con người mới là tài sản quý giá nhất của bạn. Sự an toàn của con người luôn phải được đặt lên trước các mục tiêu kinh doanh của tổ chức. Hãy đảm bảo rằng kế hoạch liên tục kinh doanh của bạn cung cấp được các thiết lập thích hợp để đảm bảo an ninh cho nhân viên, khách hàng, nhà cung cấp và bất kỳ cá nhân nào khác có thể bị ảnh hưởng. Các cấp quản lý nên cung cấp cho các thành viên của nhóm tất cả những nguồn lực mà họ cần để hoàn thành tác vụ đã được chỉ định của họ. Tại cùng thời điểm, nếu hoàn cảnh bắt buộc mọi người phải có mặt tại khu vực làm việc trong một thời gian dài thì phải thu xếp chỗ ở và lương thực. Bất kỳ kế hoạch liên tục nào yêu cầu các điều khoản này đều phải bao gồm các hướng dẫn chi tiết cho nhóm BCP trong trường hợp xảy ra thảm họa. Tổ chức nên duy trì các kho dự trữ đủ để cung cấp cho các nhóm vận hành và hỗ trợ trong một thời gian dài ở một địa điểm dễ tiếp cận. Các kế hoạch nên nêu rõ việc luân chuyển định kỳ các kho dự trữ đó để tránh bị hư hỏng 297 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tòa nhà và Cơ sở vật chất Rất nhiều doanh nghiệp đòi hỏi những cơ sở vật chất chuyên biệt để tiến hành những hoạt động tối quan trọng của mình. Chúng có thể bao gồm các cơ sở vật chất văn phòng tiêu chuẩn, các nhà máy sản xuất, các trung tâm vận hành, kho bãi, trung tâm phân phối/hậu cần, và các xưởng sửa chữa/bảo trì, trong số rất nhiều thứ khác. Khi bạn thực hiện BIA của mình, bạn sẽ xác định những cơ sở vật chất đóng một vai trò tối quan trọng trong khả năng tồn tại liên tục của tổ chức của bạn. Kế hoạch liên tục của bạn nên xác định hai lĩnh vực chính đối với từng cơ sở vật chất quan trọng: Các Thiết lập được Củng cố (Hardening provisions) BCP của bạn nên phác thảo các cơ chế và thủ tục có thể được áp dụng để bảo vệ các cơ sở hiện có của bạn trước những rủi ro đã được xác định trong giai đoạn phát triển chiến lược. Các thiết lập được củng cố có thể bao gồm các bước đơn giản như vá một mái nhà bị dột hoặc phức tạp như lắp đặt cửa chớp chống bão và tường chống cháy được gia cố. Các Địa điểm Thay thế (Alternative sites) Nếu không khả thi để củng cố một cơ sở vật chất trước rủi ro, BCP của bạn nên xác định các địa điểm thay thế, nơi mà các hoạt động kinh doanh có thể tiếp tục ngay lập tức (hoặc ít nhất là trong thời gian ngắn hơn thời gian ngừng hoạt động tối đa có thể chấp nhận được đối với tất cả các chức năng nghiệp vụ quan trọng bị ảnh hưởng). Chương 18 mô tả một số kiểu cơ sở có thể rất hữu ích trong giai đoạn này. Thông thường, một địa điểm thay thế được liên kết với việc hoạch định khôi phục sau thảm họa (DRP) hơn là BCP. T ổ chức có thể phải xác định sự cần thiết của một địa điểm thay thế trong quá trình phát triển BCP, nhưng cần có một sự gián đoạn thực sự để kích hoạt việc sử dụng địa điểm, khiến nó thuộc về DRP. Cơ sở hạ tầng Mọi doanh nghiệp đều phụ thuộc vào một số loại cơ sở hạ tầng cho các quy trình tối quan trọng của mình. Đối với rất nhiều công ty, một phần sống còn của cơ sở hạ tầng này là trục xương sống CNTT về giao tiếp và các hệ thống máy tính để xử lý các đơn hàng, quản lý chuỗi cung ứng, xử lý tương tác với khách hàng, và thực hiện các chức năng nghiệp vụ khác. Trục xương sống này cấu thành từ 298 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống các máy chủ, các máy trạm, và các kết nối giao tiếp quan trọng giữa các địa điểm. BCP phải xác định cách thức tổ chức sẽ bảo vệ những hệ thống này để chống lại các rủi ro đã được xác định trong giai đoạn phát triển chiến lược. Giống như với các tòa nhà và cơ sở vật chất, có hai phương pháp chính để cung cấp sự bảo vệ này: Củng cố các Hệ thống về mặt Vật lý (Physically Hardening Systems) Bạn có thể bảo vệ các hệ thống chống lại những rủi ro bằng cách đưa ra các cơ chế bảo vệ chẳng hạn như các hệ thống chữa cháy an-toàn-chomáy-tính và các nguồn cung cấp điện không bị gián đoạn. Các Hệ thống Thay thế (Alternative Sites) Bạn cũng có thể bảo vệ các chức năng nghiệp vụ bằng cách tạo ra [các hệ thống] dự phòng (kể cả là các thành phần dự phòng hoặc các hệ thống/kết nối giao tiếp dự phòng đầy đủ dựa trên các cơ sở vật chất khác nhau). Những nguyên tắc tương tự áp dụng cho bất kỳ thành phần cơ sở hạ tầng nào phục vụ cho các quy trình nghiệp vụ quan trọng của bạn – các hệ thống vận tải, lưới nguồn điện, các hệ thống ngân hàng và tài chính, cấp nước, v.v… Do các tổ chức đang chuyển rất nhiều hoạt động công nghệ của mình lên đám mây, tuy nhiên, điều này cũng không làm giảm sự phụ thuộc của họ vào cơ sở hạ tầng vật lý. Mặc dù công ty có thể không còn tự mình vận hành cơ sở hạ tầng nữa nhưng họ vẫn dựa vào cơ sở hạ tầng vật lý của nhà cung cấp dịch vụ đám mây của họ, và nên thực hiện các biện pháp để đảm bảo rằng họ đang thoải mái với mức hoạch định tính liên tục được tiến hành bởi các nhà cung cấp đó. Một sự gián đoạn tại một nhà cung cấp dịch vụ đám mây trọng yếu có ảnh hưởng đến một trong số các chức năng nghiệp vụ tối quan trọng của tổ chức có thể gây ra thiệt hại giống như một hư hỏng trong cơ sở hạ tầng riêng của tổ chức. Phê duyệt và Triển khai Kế hoạch Khi nhóm BCP hoàn tất giai đọan thiết kế của tài liệu BCP, giờ là lúc để có được sự tán thành của các nhà quản lý cấp-cao-nhất về kế hoạch. Nếu bạn đủ may mắn để có sự tham gia của nhà quản lý cấp cao trong toàn bộ giai đoạn phát triển kế hoạch thì đây là một quá trình tương đối đơn giản. Hay nói cách khác, 299 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống nếu đây là lần đầu tiên bạn tiếp cận cấp quản lý với tài liệu BCP, bạn nên chuẩn bị giải thích dài dòng về mục đích của kế hoạch và các điều khoản cụ thể. Sự tín nhiệm của các nhà quản lý cấp cao là điều thiết yếu đối với sự thành công của nỗ lực BCP tổng thể. Phê duyệt Kế hoạch Nếu có thể, bạn nên cố gắng có được sự tán thành kế hoạch từ các giám đốc điều hành cấp cao nhất trong doanh nghiệp của bạn – CEO, chủ tịch (chairperson/president), hoặc các nhà lãnh đạo doanh nghiệp tương đương. Động thái này thể hiện tầm quan trọng của kế hoạch đối với toàn bộ tổ chức và thể hiện cam kết của nhà lãnh đạo doanh nghiệp đối với liên tục kinh doanh. Chữ ký của một cá nhân như vậy trong kế hoạch cũng mang lại sức nặng và uy tín lớn hơn nhiều cho nó trong mắt các nhà quản lý cấp cao khác, những người có thể phủ nhận nó như một sáng kiến CNTT cần thiết nhưng tầm thường. Triển khai Kế hoạch Khi bạn đã nhận được sự phê duyệt từ các nhà quản lý cấp cao, đã đến lúc đào sâu nó và bắt đầu triển khai kế hoạch của bạn. Nhóm BCP nên hợp tác cùng nhau và phát triển một lịch trình triển khai để sử dụng những nguồn lực được dành riêng cho chương trình để đạt được những mục đích thiết lập và xử lý đã được tuyên bố theo cách càng nhanh chóng càng t ốt, dựa trên phạm vi của các điều chỉnh và thái độ của tổ chức đối với hoạch định liên tục. Sau khi triển khai đầy đủ các nguồn lực, nhóm BCP nên giám sát vi ệc thiết kế và triển khai chương trình duy trì BCP. Chương trình này đ ảm bảo rằng kế hoạch vẫn đáp ứng các nhu cầu kinh doanh vẫn đang tiếp tục tiến triển. Đào tạo và Giáo dục Đào tạo và giáo dục là những yếu tố thiết yếu của việc triển khai BCP. Tất cả nhân viên sẽ tham gia vào kế hoạch (cho dù là trực tiếp hay gián tiếp) nên được đào tạo về kế hoạch tổng thể cũng như những trách nhiệm cá nhân của họ. 300 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mọi người trong tổ chức nên nhận được ít nhất một bản tóm tắt tổng quan về kế hoạch. Các bản tóm tắt này mang lại cho nhân viên niềm tin rằng các nhà lãnh đạo doanh nghiệp đã xem xét những rủi ro có thể xảy ra đối với hoạt động liên tục của doanh nghiệp và đã đưa ra kế hoạch để giảm thiểu tác động đến tổ chức nếu một gián đoạn xảy ra. Những người có trách nhiệm BCP trực tiếp nên được đào tạo và đánh giá về các nhiệm vụ BCP cụ thể của họ để đảm bảo rằng họ có thể hoàn thành chúng một cách hiệu quả khi thảm họa xảy ra. Hơn nữa, ít nhất một nhân sự dự phòng phải được đào tạo cho mọi nhiệm vụ BCP để cung cấp tính dự phòng trong trường hợp nhân viên bị thương hoặc không thể đến nơi làm việc trong trường hợp khẩn cấp. Lập tài liệu về BCP Lập tài liệu là một bước cực kỳ quan trọng trong quá trình hoạch định liên tục kinh doanh. Việc cam kết phương pháp luận BCP của bạn bằng giấy tờ mang lại những lợi ích đáng kể như sau: ▪ Nó đảm bảo rằng nhân viên BCP có được tài liệu về tính liên tục bằng văn bản để tham khảo trong trường hợp khẩn cấp, ngay cả khi các thành viên cấp cao của nhóm BCP không có mặt để hướng dẫn cho các nỗ lực. ▪ Nó cung cấp hồ sơ lịch sử về quá trình BCP sẽ hữu ích cho những nhân viên tương lai đang tìm cách hiểu lý do đứng sau các thủ tục khác nhau và thực hiện những thay đổi cần thiết trong kế hoạch. ▪ Nó bắt buộc các thành viên trong nhóm cam kết suy nghĩ của họ ra giấy một quy trình thường tạo điều kiện thuận lợi cho việc xác định các sai sót trong kế hoạch. Có được kế hoạch trên giấy cũng cho phép các tài liệu nháp được phân phối cho những cá nhân không thuộc nhóm BCP để “kiểm tra sự sáng suốt”. Trong các phần tiếp theo, chúng ta sẽ khám phá một số những thành phần thiết yếu của kế hoạch liên tục kinh doanh được viết ra thành văn bản. Mục đích của Hoạch định Liên tục Đầu tiên, kế hoạch nên mô tả những mục đích của hoạch định liên tục do nhóm BCP và các nhà quản lý cấp cao đề ra. Những mục đích này nên được quyết định 301 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống trong hoặc vào trước khi cuộc họp đầu tiên của nhóm BCP diễn ra và rất có khả năng sẽ không thay đổi trong suốt vòng đời của BCP. Mục đích chung nhất của BCP khá đơn giản: đảm bảo hoạt động liên tục của doanh nghiệp khi đối mặt với một trường hợp khẩn cấp. Những mục đích khác cũng có thể được chèn vào phần này của tài liệu để đáp ứng cho nhu cầu của tổ chức. Ví dụ, bạn có thể có mục tiêu rằng trung tâm cuộc gọi khách hàng của bạn trải qua thời gian ngừng hoạt động không quá 15 phút liên t ục hoặc các máy chủ dự phòng của bạn có thể xử lý được 75% tải xử lý của bạn trong vòng một giờ sau khi kích hoạt. Tuyên bố về Tầm quan trọng Tuyên bố về tầm quan trọng phản ánh mức độ quan trọng của BCP đối với khả năng tồn tại liên tục của tổ chức. Tài liệu này thường có dạng một lá thư gửi cho nhân viên của tổ chức, nêu rõ lý do mà tổ chức dành những nguồn lực đáng kể cho quá trình phát triển BCP và yêu cầu sự hợp tác của tất cả nhân viên trong giai đoạn triển khai BCP. Đây là lúc tầm quan trọng của sự-tín-nhiệm của các giám đốc điều hành cấp cao phát huy tác dụng. Nếu bạn có thể viết ra lá thư này với chữ ký của giám đốc điều hành (CEO) hoặc một cán bộ ở cấp tương đương, kế hoạch sẽ có sức nặng to lớn khi bạn cố gắng để triển khai những thay đổi trong toàn bộ tổ chức. Nếu bạn có chữ ký của một nhà quản lý cấp-thấp-hơn [thấp hơn cấp điều hành], bạn có thể sẽ gặp phải sự phản kháng khi cố gắng làm việc với các bộ phận của tổ chức nằm ngoài tầm kiểm soát trực tiếp của cá nhân đó. Tuyên bố về Độ ưu tiên Tuyên bố về các ưu tiên xuất phát trực tiếp từ giai đoạn xác định các ưu tiên của phân tích tác đ ộng kinh doanh. Nó ch ỉ đơn giản là liệt kê ra các chức năng được coi là quan trọng để tiếp tục hoạt động kinh doanh theo một thứ tự được ưu tiên. Khi liệt kê các ưu tiên này, bạn cũng nên kèm theo tuyên b ố rằng chúng đã được phát triển như một phần của quy trình BCP và phản ánh tầm quan trọng của các chức năng đối với hoạt động kinh doanh tiếp tục trong trường hợp khẩn cấp và không gì khác. Nếu không, danh sách các ưu tiên có th ể được sử dụng 302 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống cho các mục đích ngoài ý muốn và dẫn đến một cuộc chiến chính trị giữa các tổ chức cạnh tranh với nhau, gây phương hại đến kế hoạch liên tục kinh doanh. Tuyên bố về Trách nhiệm Tổ chức Tuyên bố về trách nhiệm của tổ chức cũng đến từ giám đốc điều hành cấp-cao và có thể được kết hợp trong bức thư tuyên bố về tầm quan trọng. Nó lặp lại quan điểm rằng “liên tục kinh doanh là trách nhiệm của tất cả mọi người!”. Tuyên bố về trách nhiệm của tổ chức vẫn là cam kết của tổ chức đối với việc hoạch định liên tục kinh doanh. Nó thông báo cho nhân viên, nhà cung c ấp và các chi nhánh rằng tổ chức đang kỳ vọng họ thực hiện mọi điều có thể để hỗ trợ cho quá trình BCP. Tuyên bố về Tính khẩn cấp và Thời lượng Tuyên bố về tính khẩn cấp và thời lượng thể hiện tầm quan trọng của việc triển khai BCP và phác thảo khung thời gian triển khai được quyết định bởi nhóm BCP và được thống nhất với các nhà quản lý cấp trên. Cách diễn đạt của tuyên bố này sẽ phụ thuộc vào mức độ khẩn cấp thực tế được ấn định cho quy trình BCP bởi ban lãnh đạo của tổ chức của bạn. Hãy xem xét việc đưa vào một tiến trình thực hiện chi tiết để thúc đẩy cảm giác cấp bách Đánh giá Rủi ro Về cơ bản, phần đánh giá r ủi to trong tài liệu BCP sẽ tóm tắt lại quá trình đưa ra quyết định được thực hiện trong quá trình phân tích tác đ ộng kinh doanh. Nó nên bao gồm một cuộc thảo luận về tất cả các chức năng nghiệp vụ quan trọng đã được xem xét trong BIA cũng như các phân tích đ ịnh lượng và định tính được thực hiện để đánh giá rủi ro đối với các chức năng đó. Hãy bao gồm các số liệu AV, EF, ARO, SLE và ALE thực tế trong phân tích định lượng. Ngoài ra, hãy mô tả cho người đọc về quá trình suy nghĩ đằng sau phân tích. Cuối cùng, hãy nhớ rằng quá trình đánh giá phản ánh sự đánh giá theo-thời-điểm và nhóm phải cập nhật nó một cách thường xuyên để phản ánh được các điều kiện đang thay đổi. Chấp thuận/Giảm nhẹ Rủi ro Phần chấp thuận/giảm nhẹ rủi ro trong tài li ệu BCP chứa những kết quả tác động của phần phát triển chiến lược của quy trình BCP. Nó nên bao g ồm từng rủi ro 303 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống đã được xác định trong phần phân tích rủi ro của tài liệu và phác thảo nên một hoặc hai quá trình tư duy: ▪ Đối với những rủi ro được coi là có thể chấp nhận được, nó nên phác thảo ra những lý do mà rủi ro được coi là có thể chấp nhận được cũng như các sự kiện tiềm ẩn trong tương lai có thể bảo đảm cho việc xem xét lại quyết định này. ▪ Đối với các rủi ro được coi là không thể chấp nhận được, phần này nên phác thảo ra các thiết lập và quy trình quản lý rủi ro được áp dụng để giảm thiểu rủi ro đối với khả năng tồn tại liên tục của tổ chức. Thật quá dễ dàng khi nhìn vào một thách thức giảm thiểu rủi ro khó khăn và nói, “Chúng tôi chấp nhận rủi ro này” trước khi chuyển sang những việc ít khó khăn hơn. Các nhà ho ạch định liên tục kinh doanh nên chống lại những tuyên bố này và yêu cầu các nhà lãnh đạo doanh nghiệp ghi lại các quyết định chấp nhận rủi ro của họ một cách chính thức. Nếu các kiểm toán viên sau này xem xét kỹ lưỡng kế hoạch liên tục kinh doanh của bạn, họ chắc chắn sẽ tìm kiếm các hiện vật chính thức của bất kỳ quyết định chấp nhận rủi ro nào được đưa ra trong quy trình BCP. Chương trình Hồ sơ Sống còn Tài liệu BCP cũng nên phác thảo một chương trình hồ sơ sống còn cho tổ chức. Tài liệu này nêu rõ vị trí nơi các hồ sơ kinh doanh quan trọng sẽ được lưu trữ và các thủ tục để tạo ra và lưu trữ các bản sao dự phòng của các hồ sơ đó. Một trong những thách thức lớn nhất trong việc triển khai một chương trình hồ sơ sống còn thường là việc xác định các hồ sơ thiết yếu ngay từ ban đầu. Khi nhiều tổ chức chuyển đổi từ quy trình làm việc dựa-trên-giấy-tờ sang kỹ thuật số, họ thường đánh mất đi tính nghiêm ngặt tồn tại xung quanh việc tạo và duy trì cấu trúc tập tin chính thức. Các hồ sơ sống còn hiện có thể bị phân tán giữa nhiều hệ thống CNTT và dịch vụ đám mây. Một số có thể được lưu trữ trên các máy chủ trung tâm mà các nhóm có thể truy cập được, trong khi một số khác có 304 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thể được đặt trong các kho lưu trữ kỹ thuật số được chỉ định cho một cá nhân nhân viên. Nếu tình trạng lộn xộn đó gần giống như thực tế hiện tại của bạn, bạn có thể sẽ muốn bắt đầu chương trình hồ sơ sống còn của mình bằng cách xác định các hồ sơ thực sự có tầm quan trọng đối với doanh nghiệp của bạn. Hãy ngồi xuống với các nhà lãnh đạo chức năng và hỏi rằng, “Nếu chúng ta cần xây dựng lại tổ chức của mình ngày hôm nay ở một vị trí hoàn toàn mới mà không cần quyền truy cập vào bất kỳ máy tính hoặc tập tin nào của chúng ta, bạn sẽ cần hồ sơ nào?”. Việc đặt câu hỏi theo cách này bắt buộc nhóm phải hình dung ra quy trình thực tế của quá trình tái tạo lại hoạt động và khi họ đi qua các bước [của quy trình] trong tâm trí của họ, họ sẽ tạo ra một bản kiểm kê về những hồ sơ sống còn của tổ chức. Bản kiểm kê này có thể phát triển khi mọi người nhớ ra những nguồn thông tin quan trọng khác, vì vậy bạn nên cân nhắc về việc sử dụng nhiều cuộc trò chuyện để hoàn thiện nó. Khi bạn đã xác định được các hồ sơ mà tổ chức của bạn coi là có tính chất sống còn, nhiệm vụ tiếp theo là một nhiệm vụ đáng gờm: tìm ra chúng! Bạn nên có khả năng xác định ra được các vị trí lưu trữ cho mỗi tài liệu đã được xác định trong kho hồ sơ sống còn của bạn. Khi bạn đã hoàn thành nhiệm vụ này, sau đó bạn có thể sử dụng bản kiểm kê hồ sơ sống còn này để thông báo cho phần còn lại của các nỗ lực lập kế hoạch liên tục kinh doanh của bạn. Hướng dẫn Ứng phó Tình huống khẩn cấp Hướng dẫn ứng phó tình huống khẩn cấp phác thảo nên những trách nhiệm của cá nhân và của tổ chức để ứng phó tức thời với một tình huống khẩn cấp. Tài liệu này cung cấp cho những nhân viên đầu tiên phát hiện ra trường hợp khẩn cấp các bước họ nên thực hiện để kích hoạt các thiết lập của BCP vốn không tự động bắt đầu. Những nguyên tắc này nên bao gồm những điều sau đây: ▪ Các quy trình ứng phó tức thời (quy trình bảo mật và an toàn, quy trình dập lửa, thông báo cho các cơ quan ứng phó khẩn cấp thích hợp, v.v…). ▪ Danh sách các cá nhân cần được thông báo về sự cố (giám đốc điều hành, thành viên nhóm BCP, v.v…). ▪ Các thủ tục phản hồi thứ cấp mà những người phản hồi đầu tiên nên thực hiện trong khi chờ nhóm BCP tập hợp lại. 305 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Những tài liệu hướng dẫn của bạn nên có thể dễ dàng tiếp cận đối với mọi người trong tổ chức, những người có thể nằm trong số những người phản ứng đầu tiên đối với một sự cố khủng hoảng. Bất cứ lúc nào xảy ra sự gián đoạn, thời gian là điều cốt yếu. Sự chậm chạp trong việc kích hoạt các quy trình liên tục kinh doanh của bạn có thể dẫn đến thời gian ngừng hoạt động không mong muốn cho hoạt động kinh doanh của bạn. Duy trì Tài liệu BCP và chính bản thân kế hoạch phải là những tài liệu sống [nghĩa là những tài liệu luôn thay đổi và cập nhật – người dịch]. Mọi tổ chức đều gặp phải sự thay đổi gần như liên tục, và bản chất năng động này đảm bảo rằng các yêu cầu đối với liên tục kinh doanh cũng sẽ tiến hóa. Nhóm BCP không nên giải tán sau khi kế hoạch dã được phát triển nhưng vẫn nên họp định kỳ để thảo luận về kế hoạch và xem xét kết quả của các lần kiểm tra kế hoạch để đảm bảo rằng nó vẫn tiếp tục đáp ứng được các nhu cầu của tổ chức. Những thay đổi nhỏ đối với kế hoạch không đòi hỏi phải tiến hành toàn bộ quá trình phát triển BCP lại từ đầu, nhóm BCP có thể đưa chúng vào một cuộc họp không chính thức khi có sự đồng ý nhất trí. Tuy nhiên, hãy nhớ rằng những thay đổi mạnh mẽ trong sứ mệnh hoặc nguồn lực của tổ chức có thể đòi hỏi phải quay lại bảng vẽ BCP và bắt đầu lại quá trình. Bất kỳ khi nào bạn thực hiện một thay đổi đối với BCP, bạn phải thực hành kiểm soát phiên bản một cách hợp lý. Tất cả các phiên bản cũ hơn của BCP nên bị hủy bỏ và được thay thế bằng phiên bản mới nhất để không có sự nhầm lẫn nào tồn tại về việc triển khai chính xác [phiên bản] BCP. Một thực tiễn tốt là bao gồm các thành phần BCP vào các mô tả công việc để đảm bảo rằng BCP vẫn tươi mới và để gia tăng khả năng các thành viên trong nhóm thực hiện trách nhiệm BCP của họ một cách chính xác. Việc bao gồm các trách nhiệm BCP trong mô tả công việc của nhân viên cũng khiến chúng trở thành một trò chơi công bằng cho quá trình đánh giá hiệu suất. 306 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Kiểm nghiệm và Kiểm tra Tài liệu BCP cũng nên phác thảo ra một chương trình kiểm tra chính thức để đảm bảo rằng kế hoạch vẫn giữ được sự hiện hành. Quá trình kiểm tra cũng xác minh rằng các thành viên của nhóm nhận được sự đào tạo đầy đủ để thực hiện những trách nhiệm của họ khi xảy ra thảm họa. Quá trình kiểm nghiệm khá giống với những gì được sử dụng cho kế hoạch khôi phục sau thảm họa, do dó, chúng tôi sẽ để dành cuộc thảo luận về các kiểu kiểm nghiệm cụ thể cho Chương 18. Tóm tắt Mọi tổ chức phụ thuộc vào các nguồn lực công nghệ để tồn tại đều nên có một kế hoạch liên tục kinh doanh toàn diện để đảm bảo khả năng tồn tại bền vững của tổ chức khi các tình huống khẩn cấp xảy ra. Một số khái niệm quan trọng làm nền tảng cho những thực tiễn lập kế hoạch liên tục kinh doanh, bao gồm lập phạm vi và hoạch định dự án, phân tích tác động kinh doanh, hoạch định liên tục, phê duyệt và triển khai. Mọi tổ chức đều phải có các kế hoạch và thủ tục để giúp giảm thiểu tác động của một thảm họa đối với việc tiếp tục hoạt động và để gia tăng tốc độ trở lại hoạt động bình thường. Để xác định những rủi ro đối với các chức năng nghiệp vụ quan trọng của bạn cần phải được giảm thiểu, bạn phải làm việc với một nhóm chức-năng-chéo để thực hiện phân tích tác động kinh doanh từ cả quan điểm định lượng lẫn định tính. Bạn phải thực hiện các bước thích hợp trong việc phát triển một chiến lược liên tục cho tổ chức của mình và biết cần phải làm gì để vượt qua các thảm họa trong tương lai. Cuối cùng, bạn phải tạo ra tài liệu cần thiết để đảm bảo truyền thông một cách hiệu quả kế hoạch của bạn cho những người tham gia nhóm BCP hiện tại và trong tương lai. Tài liệu như vậy phải bao gồm kế hoạch liên tục hoạt động (COOP). Kế hoạch liên tục kinh doanh cũng phải bao gồm các tuyên bố về tầm quan trọng, ưu tiên, trách nhiệm của tổ chức và thời lượng. Ngoài ra, tài liệu cũgn cần bao gồm các kế hoạch đánh giá, chấp nhận và giảm thiểu rủi ro, một chương trình hồ sơ quan trọng, hướng dẫn ứng phó tình huống khẩn cấp, và các thủ tục để duy trì và kiểm nghiệm. 307 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Chương 18 sẽ đưa việc lập kế hoạch này sang bước tiếp theo - phát triển và triển khai kế hoạch khôi phục sau thảm họa bao gồm các biện pháp kiểm soát kỹ thuật cần thiết để giữ cho doanh nghiệp của bạn vẫn tiếp tục hoạt động khi đối mặt với một thảm họa. Những điều thiết yếu cho Kỳ thi Hiểu được bốn bước của quy trình lập kế hoạch liên tục kinh doanh. Lập kế hoạch liên tục kinh doanh bao gồm bốn giai đoạn riêng biệt: lập phạm vi và hoạch định dự án, phân tích tác động kinh doanh, hoạch định liên tục, phê duyệt và thực hiện. Mỗi nhiệm vụ đều đóng góp vào mục đích tổng thể là đảm bảo hoạt động kinh doanh tiếp tục không bị gián đoạn khi đối mặt với một tình huống khẩn cấp. Mô tả được cách thực hiện phân tích tổ chức kinh doanh. Trong phân tích tổ chức kinh doanh, các cá nhân ch ịu trách nhiệm cho việc lãnh đạo quá trình BCP xác định bộ phận và cá nhân nào có cổ phần trong kế hoạch liên tục kinh doanh. Phân tích này đóng vai trò là n ền tảng cho việc lựa chọn nhóm BCP và sau khi đ ược nhóm BCP xác nhận, được sử dụng để định hướng cho các giai đoạn phát triển tiếp theo của BCP. Liệt kê được các thành viên cần thiết của nhóm hoạch định liên tục kinh doanh. Tối thiểu, nhóm BCP tối thiểu nên có đại diện của từng bộ phận hỗ trợ và vận hành, các chuyên gia kỹ thuật từ bộ phận CNTT, nhân viên bảo mật về mặt vật lý và CNTT với các kỹ năng BCP, đại diện pháp lý quen thuộc với những trách nhiệm pháp lý, quy định và hợp đồng của công ty, và các đại diện từ các nhà quản lý cấp cao. Các thành viên trong nhóm bổ sung phụ thuộc vào cấu trúc và bản chất của tổ chức. Biết được các yêu cầu pháp lý và quy định mà các nhà hoạch định liên tục kinh doanh phải đối mặt. Các nhà lãnh đạo doanh nghiệp phải thực hiện trách nhiệm giải trình để đảm bảo rằng lợi ích của cổ đông được bảo vệ trong trường hợp xảy ra thảm họa. Một số ngành cũng phải tuân theo các quy định của liên bang, tiểu bang và địa phương bắt buộc những thủ tục BCP cụ thể. Nhiều doanh nghiệp cũng có các nghĩa vụ hợp đồng đối với khách hàng mà họ phải đáp ứng trước, trong và sau một thảm họa. 308 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Giải thích được các bước của quy trình phân tích tác đ ộng kinh doanh. Năm giai đoạn của quá trình phân tích tác đ ộng kinh doanh bao gồm xác định các ưu tiên, xác định rủi ro, đánh giá khả năng xảy ra, phân tích tác động và ưu tiên nguồn lực. Mô tả được quy trình được sử dụng để phát triển một chiến lược liên tục. Trong giai đoạn phát triển chiến lược, nhóm BCP xác định những rủi ro nào họ sẽ giảm thiểu. Trong giai đoạn thiết lập và xử lý, nhóm sẽ thiết kế nên các cơ chế và thủ tục sẽ giảm thiểu các rủi ro đã được xác định. Kế hoạch sau đó phải được các nhà quản lý cấp cao phê duyệt và triển khai. Nhân viên cũng phải được đào tạo về vai trò của họ trong quy trình BCP. Giải thích được tầm quan trọng của việc lập thành văn bản một cách toàn diện kế hoạch liên tục kinh doanh của một tổ chức. Việc cam kết kế hoạch bằng văn bản cung cấp cho tổ chức một hồ sơ bằng văn bản về các thủ tục cần tuân theo khi thảm họa xảy ra. Nó ngăn ngừa hội chứng “nó đang nằm trong đầu tôi (it’s in my head)” và đảm bảo tiến trình có trật tự của các sự kiện trong một tình huống khẩn cấp. Bài tập Viết 1. Tại sao nhất thiết phải bao gồm các đại diện từ bộ phận pháp lý trong nhóm hoạch định liên tục kinh doanh của bạn? 2. Có gì sai khi áp dụng cách tiếp cận không chính thức để lập kế hoạch liên tục kinh doanh? 3. Sự khác biệt giữa đánh giá định lượng và định tính là gì? 4. Bạn nên bao gồm những thành phần quan trọng nào trong kế hoạch đào tạo liên tục kinh doanh của mình? 5. Bốn bước chính của quy trình lập kế hoạch liên tục kinh doanh là gì? Câu hỏi Đánh giá 1. Gần đây, James đã được CIO của tổ chức của anh ấy yêu cầu dẫn dắt một nhóm cốt lõi bao gồm 4 chuyên gia trong một quy trình hoạch định liên tục kinh doanh cho tổ chức của anh ấy. Bước đầu tiên mà nhóm cốt lõi này nên thực hiện là gì? 309 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống A. Lựa chọn thành viên nhóm BCP. B. Phân tích tổ chức kinh doanh. C. Phân tích các yêu cầu về nguồn lực. D. Đánh giá các luật lệ và quy định. 2. Tracy đang chuẩn bị cho bài tập liên tục kinh doanh hàng năm của tổ chức và vấp phải sự phản đối từ một số nhà quản lý, những người không coi bài tập này là quan trọng và cảm thấy rằng nó là một sự lãng phí tài nguyên. Cô ấy đã nói với các quản lý rằng sẽ chỉ mất nửa ngày để nhân viên của họ tham gia. Tracy có thể lập luận gì để giải quyết tốt nhất những mối lo ngại này? A. Bài tập là bắt buộc bởi chính sách. B. Bài tập đã được lên lịch và việc hủy bỏ nó sẽ rất khó khăn. C. Bài tập là rất quan trọng để đảm bảo rằng tổ chức được chuẩn bị cho các trường hợp khẩn cấp. D. Bài tập sẽ không tốn nhiều thời gian. 3. Ban giám đốc của Clashmore Circuits tiến hành một đánh giá hàng năm về quá trình lập kế hoạch liên tục kinh doanh để đảm bảo rằng các biện pháp thích hợp được áp dụng để giảm thiểu ảnh hưởng của thảm họa đối với khả năng tồn tại liên tục của tổ chức. Họ đang đáp ứng nghĩa vụ gì khi xem xét này? A. Trách nhiệm công ty. B. Yêu cầu về thảm họa. C. Trách nhiệm giải trình. D. Mối quan tâm đến trách nhiệm. 4. Darcy đang dẫn dắt nỗ lực BCP cho tổ chức của cô ấy và hiện tại đang trong giai đoạn lập phạm vi và hoạch định dự án. Cô ấy nên mong đợi điều gì sẽ là nguồn lực chính mà quá trình BCP tiêu th ụ trong giai đoạn này? A. Phần cứng. B. Phần mềm. C. Thời gian xử lý. D. Nhân viên. 310 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 5. Ryan đang hỗ trợ nỗ lực phân tích tác động kinh doanh hàng năm của tổ chức của anh ấy. Anh ấy được yêu cầu chỉ định các giá trị định lượng cho tài sản như một phần của bài tập xác định mức độ ưu tiên. Anh ấy nên sử dụng đơn vị đo nào? A. Tiền tệ. B. Tính tiện ích. C. Tầm quan trọng. D. Thời gian. 6. Renee đang báo cáo về kết quả BIA của tổ chức của cô cho các nhà lãnh đạo cấp cao. Họ bày tỏ sự thất vọng về tất cả các chi tiết, và một trong số họ nói, “Hãy nhìn xem, chúng ta chỉ cần biết chúng ta nên dự kiến những rủi ro này sẽ khiến chúng ta phải trả giá bao nhiêu mỗi năm”. Renee có thể đưa ra biện pháp nào đ ể trả lời câu hỏi này một cách tốt nhất? A. ARO. B. SLE. C. FTA. D. EF. 7. Jake đang tiến hành phân tích tác động kinh doanh cho tổ chức của mình. Là một phần của quy trình, ông yêu cầu các nhà lãnh đạo từ các đơn vị khác nhau cung cấp thông tin đầu vào về việc hệ thống hoạch định nguồn lực doanh nghiệp (ERP) có thể không sẵn sàng trong bao lâu mà không gây ra những tổn hại không thể khắc phục được cho tổ chức. Ông ấy đang tìm cách xác định thước đo nào? A. SLE. B. EF. C. BAT. D. ARO. 8. Bạn đã lo ngại về rủi ro mà một trận tuyết lở gây ra cho cơ sở vận tải trị giá 3 triệu đô la của bạn. Dựa trên ý kiến của chuyên gia, bạn xác định rằng có 5% khả năng một trận lở tuyết sẽ xảy ra mỗi năm. Các chuyên gia khuyên bạn rằng một trận tuyết lở sẽ phá hủy hoàn toàn tòa nhà của bạn và đòi hỏi bạn phải xây dựng lại trên cùng một khu 311 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống đất. 90% của giá trị 3 triệu đô la của cơ sở được quy cho tòa nhà, và 10% được quy cho chính khu đất. Tổn thất đơn lẻ dự kiến (SLE) của cơ sở vận tải của bạn đối với sự kiện tuyết lở là bao nhiêu? A. 3 triệu đô la. B. 2,700,000 đô la. C. 270,000 đô la. D. 135,000 đô la. 9. Đề cập đến kịch bản trong câu hỏi 8, tổn thất theo hàng năm dự kiến là bao nhiêu? A. 3 triệu đô la. B. 2,700,000 đô la. C. 270,000 đô la. D. 135,000 đô la. 10. Bạn đã lo ngại về rủi ro mà một cơn bão gây ra cho trụ sở công ty của bạn ở Nam Florida. Bản thân tòa nhà được định giá 15 triệu đô la. Sau khi tham khảo ý kiến của Dịch vụ Thời tiết Quốc gia (National Weather Service), bạn xác định rằng có 10% khả năng một cơn bão sẽ tấn công trong suốt một năm. Bạn đã thuê một nhóm kiến trúc sư và kỹ sư, những người xác định rằng một cơn bão trung bình sẽ phá hủy khoảng 50% tòa nhà. Tổn thất theo hàng năm dự kiến (ALE) là bao nhiêu? A. 750,000 đô la. B. 1,5 triệu đô la. C. 7,5 triệu đô la. D. 15 triệu đô la. 11. Chris đang hoàn thành tài liệu chấp thuận rủi ro cho kế hoạch liên tục kinh doanh của tổ chức của mình. Điều nào dưới đây mà Chris ít có khả năng đưa vào tài liệu này nhất? A. Liệt kê các rủi ro được cho là có thể chấp nhận được. B. Liệt kê các sự kiện trong tương lai có thể đảm bảo việc xem xét lại các quyết định chấp nhận rủi ro. C. Các biện pháp kiểm soát giảm thiểu rủi ro được thực hiện để giải quyết các rủi ro có thể chấp nhận được. D. Cơ sở để xác định rằng rủi ro có thể chấp nhận được. 312 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 12. Brian đang phát triển các thiết lập và xử lý trong kế hoạch liên tục cho tổ chức của mình. Tài nguyên nào anh ấy nên bảo vệ như mức ưu tiên cao nhất trong các kế hoạch đó? A. Nhà máy vật lý. B. Cơ sở hạ tầng. C. Tài chính. D. Con người. 13. Ricky đang tiến hành phần định lượng của phân tích tác động kinh doanh của tổ chức của anh ấy. Mối quan tâm nào sau đây ít phù hợp nhất đối với phép đo định lượng trong quá trình đánh giá này? A. Mất nhà máy. B. Thiệt hại cho một chiếc xe. C. Cái nhìn tiêu cực của công chúng. D. Mất điện. 14. Lighter Air Industries dự kiến rằng họ sẽ mất 10 triệu đô la nếu một cơn lốc xoáy tấn công cơ sở vận hành hàng không của họ. Họ dự kiến rằng một cơn lốc xoáy có thể tấn công cơ sở cứ sau 100 năm. Tổn thất đơn lẻ dự kiến cho kịch bản này là bao nhiêu? A. 0.01. B. 10 triệu đô la. C. 100,000 đô la. D. 0,10. 15. Đề cập đến kịch bản trong câu hỏi 14, tổn thất theo hàng năm dự kiến là bao nhiêu? A. 0.01. B. 10 triệu đô la. C. 100,000 đô la. D. 0,10. 16. Bạn sẽ thực sự thiết kế các thủ tục và cơ chế để giảm thiểu rủi ro mà đã được nhóm BCP cho là không thể chấp nhận được trong nhiệm vụ lập kế hoạch kinh doanh nào? A. Phát triển chiến lược. B. Phân tích tác động kinh doanh. 313 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C. Thiết lập và xử lý. D. Ưu tiên nguồn lực. 17. Matt đang giám sát việc cài đặt các kết nối giao tiếp dự phòng để ứng phó với một phát hiện trong quá trình BIA của tổ chức anh ấy. Matt đang giám sát kiểu thiết lập giảm thiểu nào? A. Hệ thống được củng cố. B. Xác định hệ thống. C. Giảm thiểu hệ thống. D. Hệ thống thay thế. 18. Helen đang thực hiện các kế hoạch phục hồi của tổ chức và người quản lý của cô ấy hỏi cô ấy liệu tổ chức có đủ các biện pháp kiểm soát kỹ thuật để khôi phục hoạt động sau khi bị gián đoạn hay không. Kiểu kế hoạch nào sẽ xác định các biện pháp kiểm soát kỹ thuật liên quan đến các cơ sở vật chất xử lý thay thế, các bản sao lưu và khả năng chịu lỗi? A. Kế hoạch liên tục kinh doanh. B. Phân tích tác động kinh doanh. C. Kế hoạch khôi phục sau thảm họa. D. Đánh giá lỗ hổng. 19. Darren lo ngại về nguy cơ mất điện nghiêm trọng ảnh hưởng đến trung tâm dữ liệu của tổ chức của anh. Anh tham vấn phân tích tác động kinh doanh của tổ chức và xác định rằng ARO của sự cố mất điện là 20%. Ông đã lưu ý rằng quá trình đánh giá đã diễn ra cách đây ba năm và không có sự cố mất điện nào xảy ra. ARO nên sử dụng điều gì trong đánh giá năm nay, với giả định rằng không có trường hợp nào trong phân tích đã thay đổi? A. 20%. B. 50%. C. 75%. D. 100%. 20. Trong số những cá nhân được liệt kê dưới đây, ai sẽ cung cấp sự xác thực tốt nhất cho tuyên bố về tầm quan trọng của kế hoạch liên tục kinh doanh? 314 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống A. Phó chủ tịch vận hành doanh nghiệp. B. Giám đốc thông tin (CIO). C. Giám đốc điều hành (CEO). D. Nhà quản lý liên tục kinh doanh. 315 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C h ư ơn g 4 Luật lệ, Quy định và Tuân thủ CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM: ✓ Lĩnh vực 1.0: Bảo mật và Quản lý Rủi ro ▪ 1.4 Xác định các yêu cầu tuân thủ và các yêu cầu khác ▪ 1.4.1 Các yêu cầu hợp đồng, pháp lý, tiêu chuẩn ngành và quy định ▪ ▪ 1.4.2 Các yêu cầu về quyền riêng tư 1.5 Hiểu được các vấn đề về pháp lý và quy định có liên quan đến bảo mật thông tin trong một bối cảnh toàn diện ▪ 1.5.1 Tội phạm mạng và vi phạm dữ liệu ▪ 1.5.2 Các yêu cầu cấp phép và tài sản sở hữu trí tuệ (IP) ▪ 1.5.3 Các biện pháp kiểm soát nhập khẩu/xuất khẩu ▪ 1.5.4 Luồng dữ liệu xuyên biên giới ▪ 1.5.5 Quyền riêng tư 316 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Thế giới của sự tuân thủ là một khu rừng pháp lý và quy định đối với các chuyên gia công nghệ thông tin và an ninh mạng. Các chính quyền quốc gia, tiểu bang và địa phương đều đã thông qua các luật chồng chéo quy định các thành phần khác nhau của an ninh mạng theo một cách thức chắp vá. Điều này dẫn đến một bức tranh toàn cảnh cực kỳ khó hiểu đối với các chuyên gia bảo mật, những người phải điều hòa luật lệ của nhiều khu vực pháp lý. Mọi thứ thậm chí còn trở nên phức tạp hơn đối với các công ty đa quốc gia, những công ty cũng phải điều hướng sự khác biệt giữa luật pháp quốc tế. Các cơ quan thực thi luật pháp đã giải quyết vấn đề tội phạm mạng một cách đầy thích thú trong những năm gần đây. Các nhánh lập pháp của các chính phủ trên thế giới ít nhất đã cố gắng giải quyết các vấn đề về tội phạm mạng. Rất nhiều cơ quan thực thi pháp luật có các nhà điều tra tội phạm máy tính toànthời-gian, được đào-tạo-bài-bản và được đào tạo nâng cao về bảo mật. Những người thường không biết phải rẽ ở đâu khi họ yêu cầu loại kinh nghiệm này. Trong chương này, chúng tôi sẽ đề cập đến các loại luật lệ khác nhau xử lý các vấn đề bảo mật máy tính. Chúng tôi sẽ xem xét các vấn đề pháp lý xoay quanh tội phạm máy tính, quyền riêng tư, sở hữu trí tuệ và một số chủ đề liên quan khác. Chúng tôi cũng sẽ đề cập đến các kỹ thuật điều tra cơ bản, bao gồm cả những ưu và nhược điểm của việc kêu gọi sự hỗ trợ từ cơ quan thực thi pháp luật. Các loại Luật Có ba thể loại luật lệ chính đóng một vai trò trong hệ thống pháp luật của Hoa Kỳ. Mỗi loại được sử dụng để bao gồm nhiều trường hợp khác nhau và các hình phạt đối với việc vi phạm luật pháp trong các loại luật khác nhau rất khác nhau. Trong các phần tiếp theo, bạn sẽ tìm hiểu cách thức luật hình sự, luật dân sự 317 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống và luật hành chính tương tác với nhau như thế nào để tạo thành mạng lưới phức tạp của hệ thống tư pháp của chúng tôi. Luật Hình sự Luật hình sự định hình nền tảng của cơ quan luật bảo vệ hòa bình và giữ cho xã hội của chúng ta an toàn. Rất nhiều phiên tòa nổi-tiếng liên quan đến các vấn đề liên quan đến luật hình sự, đây là những bộ luật mà cảnh sát và các cơ quan thực thi pháp luật khác quan tâm. Luật hình sự có những điều cấm đối với các hành vi như giết người, hành hung, cướp của và đốt phá. Các hình phạt đối với việc vi phạm quy chế hình sự nằm trong phạm vi bao gồm số giờ bắt buộc phục vụ cộng đồng, hình phạt tiền dưới các khoản tiền phạt (nhỏ và lớn), và tước quyền tự do dân sự dưới hình thức án tù. Kịch bản trong Thế giới Thực Đừng Đánh giá thấp các Điều tra viên Tội phạm Công nghệ Một người bạn tốt của một trong các tác giả là một điều tra viên tội phạm công nghệ của sở cảnh sát địa phương. Anh thường xuyên nhận được các trường hợp lạm dụng máy tính liên quan đến các email đe dọa và các bài đăng trên trang web. Mới đây, anh đã chia sẻ câu chuyện về lời đe dọa đánh bom được gửi qua email cho một trường trung học địa phương. Thủ phạm đã gửi một bức thư đe dọa đến hiệu trưởng nhà trường để tuyên bố rằng quả bom sẽ phát nổ lúc 1 giờ chiều và cảnh báo ông ta nên sơ tán trường học. Bạn của tác giả nhận được cảnh báo lúc 11 giờ sáng, khiến anh ta chỉ có hai giờ để điều tra tội phạm và tư vấn cho hiệu trưởng về cách hành động tốt nhất. Anh nhanh chóng bắt đầu ban hành trát đòi hầu tòa khẩn cấp cho các nhà cung cấp dịch vụ Internet và đã truy được email đến một máy tính trong thư viện của trường. Lúc 12:15 đêm, anh đối mặt với nghi phạm với các đoạn băng giám sát cho thấy nghi phạm đang sử dụng máy tính trong thư viện cũng như các nhật ký kiểm tra chứng minh rằng nghi phạm chính là người đã gửi email. Chàng học sinh nhanh chóng thừa nhận rằng mối đe dọa không gì khác hơn là 318 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống một âm mưu để ra khỏi trường sớm một vài giờ. Lời giải thích của anh chàng này là gì? “Tôi không nghĩ rằng có ai đó quanh đây có thể theo dõi những thứ như vậy”. Hắn đã sai rồi. Một số luật hình sự nhằm mục đích bảo vệ xã hội chống lại tội phạm máy tính. Trong những phần sau của chương này, bạn sẽ tìm hiểu cách mà một số luật, chẳng hạn như Đạo luật về Lạm dụng và Gian lận Máy tính (Computer Fraud and Abuse Act), Đạo luật về Quyền riêng tư của Giao tiếp Điện tử (Electronic Communication Privacy Act), và Đạo luật Răn đe Giả mạo và Trộm cắp Danh tính (Identity Theft and Assumption Deterrence Act) (trong s ố rất nhiều đạo luật khác), đưa ra những hình phạt hình sự đối với các trường hợp tội phạm máy tính nghiêm trọng. Các công tố viên hiểu biết về kỹ thuật kết hợp với các cơ quan thực thi pháp luật liên quan đã giáng một đòn nghiêm trọng vào nạn “tin tặc ngầm” bằng cách sử dụng hệ thống tòa án để tuyên các án tù kéo dài đối với những người phạm tội về hành vi đã từng được coi là những trò đùa vô hại. Ở Hoa Kỳ, cơ quan lập pháp các cấp của chính phủ thiết lập các đạo luật hình sự thông qua các đại diện dân cử. Ở cấp liên bang, cả Hạ viện và Thượng viện đều phải thông qua các dự luật luật hình sự bằng đa số phiếu (trong hầu hết các trường hợp) để dự luật trở thành luật. Khi đã được thông qua, những đạo luật này sau đó trở thành đạo luật của liên bang và áp dụng trong mọi trường hợp mà chính phủ liên bang có quyền tài phán (chủ yếu là các trường hợp liên quan đến thương mại giữa các tiểu bang, các trường hợp vượt qua ranh giới tiểu bang hoặc các trường hợp vi phạm chính phủ liên bang). Nếu quyền tài phán của liên bang không được áp dụng, các nhà chức trách của tiểu bang sẽ xử lý vụ việc bằng cách sử dụng các đạo luật được các nhà lập pháp của tiểu bang thông qua theo cách thức tương tự. Mọi đạo luật liên bang và tiểu bang đều phải tuân thủ cơ quan quyền lực tối cao quy định cách thức hoạt động của hệ thống chính phủ Hoa Kỳ - Hiến pháp Hoa Kỳ. Tất cả các đạo luật đều phải chịu sự xem xét tư pháp của các tòa án khu vực với quyền kháng cáo lên Tòa án T ối cao Hoa Kỳ. Nếu một tòa án phát hiện 319 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ra rằng một đạo luật là vi hiến thì tòa án có quyền bãi bỏ và tuyên bố nó không còn hiệu lực. Hãy lưu ý rằng luật hình sự là một vấn đề nghiêm trọng. Nếu bạn thấy mình có liên quan - với tư cách là nhân chứng, bị cáo hoặc nạn nhân - trong một vấn đề mà cơ quan hình sự có liên quan, bạn nên tìm kiếm lời khuyên từ một luật sư quen thuộc với hệ thống tư pháp hình sự và đặc biệt là về các vấn đề tội phạm máy tính. Thật không khôn ngoan nếu “đi một mình” trong một hệ thống phức tạp như vậy. Luật Dân sự Luật dân sự tạo hình thành nên phần lớn cơ quan luật pháp của Hoa Kỳ. Chúng được thiết kế để cung cấp cho một xã hội có trật tự và quản lý các vấn đề không phải là tội phạm nhưng đòi hỏi một trọng tài công bằng để giải quyết giữa các cá nhân và tổ chức. Ví dụ về các loại vấn đề có thể được xét xử theo luật dân sự bao gồm những tranh chấp hợp đồng, giao dịch bất động sản, vấn đề lao động và thủ tục di sản/xác thực di chúc. Luật dân sự cũng được sử dụng để tạo ra khuôn khổ của chính phủ mà cơ quan hành pháp sử dụng để thực thi trách nhiệm của mình. Các luật này cung cấp ngân sách cho các hoạt động của chính phủ và quy định thẩm quyền được cấp cho cơ quan hành pháp để tạo ra các luật hành chính (xem phần tiếp theo). Luật dân sự được ban hành tương tự như luật hình sự. Chúng cũng phải thông qua quy trình lập pháp trước khi ban hành và phải tuân theo cùng các thông s ố hiến pháp và thủ tục xem xét tư pháp. Ở cấp độ liên bang, cả luật hình sự và luật dân sự đều được thể hiện trong Bộ luật Hoa Kỳ (United States Code - USC). Sự khác biệt chính giữa luật dân sự và luật hình sự là cách thức chúng được thực thi. Thông thường, các cơ quan thực thi pháp luật không can dự vào các vấn đề của luật dân sự ngoài việc thực hiện các hành động cần thiết để khôi phục trật tự. Trong một phiên truy tố hình sự, chính phủ, thông qua các nhà điều tra và công tố viên thực thi pháp luật sẽ tiến hành hành động chống lại một người bị cáo buộc phạm tội. Trong các vấn đề dân sự, người cho rằng họ đã bị đối xử sai có trách nhiệm phải nhờ cố vấn pháp lý và khởi kiện dân sự chống lại người mà họ cho là có trách nhiệm về khiếu kiện của họ. Chính phủ (trừ khi 320 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống đó là nguyên đơn hoặc bị đơn) không đứng về bên nào trong tranh chấp hoặc tranh luận quan điểm này hay quan điểm khác. Vai trò duy nhất của chính phủ trong các vấn đề dân sự là cung cấp các thẩm phán, bồi thẩm đoàn và các cơ sở tòa án được sử dụng để xét xử các vụ án dân sự và đóng vai trò hành chính trong việc quản lý hệ thống tư pháp theo quy định của pháp luật. Giống như đối với luật hình sự, cách tốt nhất là nhờ hỗ trợ pháp lý nếu bạn nghĩ rằng bạn cần phải nộp đơn khiếu kiện dân sự hoặc nếu ai đó nộp đơn kiện dân sự chống lại bạn. Mặc dù luật dân sự không áp dụng việc đe dọa bỏ tù, nhưng bên thua kiện có thể phải đối mặt với các hình phạt nghiêm khắc về tài chính. Bạn không cần phải tìm kiếm gì xa hơn ngoài những tin tức hàng ngày để biết ví dụ - các vụ kiện hàng triệu đô la chống lại các công ty thuốc lá, các tập đoàn lớn và các cá nhân giàu có được đưa ra mỗi ngày. Luật Hành chính Cơ quan hành pháp của chính phủ Hoa Kỳ trông nom rất nhiều cơ quan có trách nhiệm trên phạm vi rộng để đảm bảo rằng chính phủ hoạt động hiệu quả. Nhiệm vụ của các cơ quan này là tuân thủ và thực thi các luật hình sự và dân sự được ban hành bởi ngành lập pháp. Tuy nhiên, có thể dễ dàng hình dung được rằng luật hình sự và dân sự không thể đưa ra các quy tắc và thủ tục cần tuân thủ trong mọi tình huống có thể xảy ra. Do đó, các cơ quan hành pháp đã gặp phải một số khó khăn trong việc ban hành luật hành chính, dưới dạng các mệnh lệnh hành pháp, các chính sách, th ủ tục và các quy định chi phối hoạt động hàng ngày của cơ quan. Luật hành chính bao gồm các chủ đề trần tục như các thủ tục được sử dụng trong cơ quan liên bang để nhận được điện thoại bàn về các vấn đề quan trọng hơn như chính sách nhập cư sẽ được sử dụng để thực thi các luật đã được thông qua bởi Quốc hội. Luật hành chính được công bố trong Bộ luật Quy định Liên bang (Code of Federal Regulations - CFR). Mặc dù luật hành chính không yêu cầu một hành động của ngành lập pháp để có được hiệu lực của luật, nhưng nó phải tuân thủ tất cả các luật dân sự và hình sự hiện hành. Các cơ quan chính phủ có thể không được triển khai các quy định mâu thuẫn trực tiếp với các luật hiện hành đã được cơ quan lập pháp thông qua. 321 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Hơn nữa, luật hành chính (và hành đ ộng của các cơ quan chính phủ) cũng phải tuân thủ Hiến pháp Hoa Kỳ và phải được xem xét lại bởi cơ quan tư pháp. Để hiểu được các yêu cầu và thủ tục tuân thủ, bạn phải hoàn toàn thông hiểu về sự phức tạp của luật. Từ luật hành chính đến luật dân sự đến luật hình sự (và, ở một số quốc gia, thậm chí cả luật tôn giáo), việc điều hướng môi trường pháp lý là một nhiệm vụ cực kỳ khó khăn. Kỳ thi CISSP tập trung vào các nội dung tổng quát của luật, quy định, điều tra và tuân thủ vì chúng ảnh hưởng đến những nỗ lực bảo mật của tổ chức. Cụ thể, bạn sẽ cần phải: ▪ Hiểu được các vấn đề về pháp lý và quy định liên quan đến bảo mật thông tin theo một khái niệm tổng thể. ▪ Xác định sự tuân thủ và các yêu cầu khác áp dụng cho tổ chức của bạn. Tuy nhiên, trách nhiệm của bạn là tìm kiếm sự trợ giúp chuyên nghiệp (tức là luật sư) để hướng dẫn và hỗ trợ bạn trong nỗ lực duy trì bảo mật hợp pháp và được hỗ trợ về mặt pháp lý. Các Luật Trong suốt các phần này, chúng ta sẽ cùng xem xét một số luật liên quan đến công nghệ thông tin. Chúng ta sẽ xem xét một số đạo luật của Hoa Kỳ. Chúng ta cũng sẽ xem xét ngắn gọn một số luật nổi tiếng ngoài Hoa Kỳ, chẳng hạn như Quy định Chung về Bảo vệ Dữ liệu của Liên minh Châu Âu (General Data Protection Regulation - GDPR). Bất kể, nếu bạn hoạt động trong một môi trường liên quan đến các khu vực pháp lý nước ngoài, bạn nên thuê cố vấn pháp lý tại địa phương để hướng dẫn bạn thông qua hệ thống. Mỗi chuyên gia bảo mật thông tin nên có một hiểu biết cơ bản về luật pháp khi nó có liên quan đ ến công nghệ thông tin. Tuy nhiên, bài học kinh nghiệm quan trọng nhất học được là việc biết được khi nào thì cần gọi một luật sư. Nếu bạn nghĩ rằng bạn đang trong “vùng xám” của luật pháp, tốt nhất là nên tìm kiếm các dịch vụ [pháp lý] chuyên nghiệp. 322 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tội phạm Máy tính Vấn đề bảo mật máy tính đầu tiên được giải quyết bởi các cơ quan lập pháp là những vấn đề liên quan đến tội phạm máy tính. Các vụ truy tố tội phạm máy tính ban đầu đã được thực hiện theo luật hình sự truyền thống, và nhiều vụ đã bị bác bỏ vì các thẩm phán cho rằng việc áp dụng luật truyền thống cho loại tội phạm hiện đại này là quá mức xa vời. Các nhà lập pháp đã phản ứng bằng cách thông qua các đạo luật cụ thể xác định tội phạm máy tính và đưa ra các hình phạt cụ thể cho các hình thức phạm tội khác nhau. Trong những phần sau, chúng tôi sẽ đề cập đến một số quy chế đó. Các luật của Hoa Kỳ được thảo luận trong chương này là luật của liên bang. Tuy nhiên, hãy lưu ý rằng hầu hết các tiểu bang cũng đã ban hành một số hình thức quy định liên quan đến các vấn đề bảo mật máy tính. Vì quy mô toàn cầu của Internet, hầu hết các vụ phạm tội máy tính đều vượt qua ranh giới của bang, và do đó, rơi vào khu vực pháp lý liên bang và được truy tố bởi các hệ thống tòa án liên bang. Tuy nhiên, trong m ột số trường hợp, các luật của tiểu bang chặt chẽ hơn các luật của liên bang và áp đặt những hình phạt khắc nghiệt hơn. Đạo luật Lạm dụng và Gian lận Máy tính (Computer Fraud and Abuse Act Đạo luật Lạm dụng và Gian lận Máy tính (CFAA) là mảnh ghép chính đầu tiên của luật dành riêng cho tội phạm mạng ở Hoa Kỳ. Trước đó, Quốc hội [Hoa Kỳ] đã ban hành đạo luật tội phạm máy tính như một phần của Đạo luật Kiểm soát Tội phạm Toàn diện (Comprehensive Crime Control Act – CCCA) vào năm 1984, nhưng CFAA đã được soạn thảo một cách cẩn trọng để chỉ bao gồm những hành vi phạm tội máy tính vượt qua ranh giới của các tiểu bang để tránh vi phạm quyền của các tiểu bang và việc giẫm chân lên tảng băng hiến pháp mỏng manh [nghĩa là đạo luật này được soạn thảo chỉ để bao gồm tội phạm máy tính nhằm tránh xung đột với các luật của tiểu bang và tránh việc vi phạm hiến pháp – người dịch]. Những điều khoản chính của CCCA nguyên thủy khiến cho việc thực hiện những điều dưới đây trở thành phạm tội: 323 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Truy cập đến thông tin đã được phân loại hoặc thông tin tài chính trong một hệ thống liên bang mà không được phép hoặc vượt quá các đặc quyền đã được cấp phép. ▪ Truy cập vào máy tính chỉ được chính phủ liên bang sử dụng riêng mà không có sự cấp phép. ▪ Sử dụng máy tính liên bang để thực hiện hành vi gian lận (trừ khi đối tượng duy nhất của hành vi gian lận là sử dụng chính bản thân máy tính). ▪ Gây ra thiệt hại ác ý cho hệ thống máy tính liên bang với giá trị vượt quá 1,000 đô la. ▪ Sửa đổi hồ sơ y tế trong một máy tính khi việc thực hiện điều đó [sửa đổi hồ sơ y tế] làm suy yếu hoặc có thể ảnh hưởng đến việc khám, chẩn đoán, điều trị hoặc chăm sóc y tế của một cá nhân. ▪ Buôn bán mật khẩu máy tính nếu việc buôn bán này ảnh hưởng đến thương mại giữa các tiểu bang hoặc liên quan đến hệ thống máy tính liên bang. Khi Quốc hội thông qua CFAA, nó đã nâng ngư ỡng thiệt hại từ 1,000 đô la lên 5,000 đô la nhưng cũng thay đ ổi đáng kể phạm vi của quy định. Thay vì chỉ bao gồm những máy tính liên bang xử lý thông tin nhạy cảm, đạo luật đã được thay đổi để bao gồm tất cả các máy tính “lợi ích liên bang”. Điều này đã mở rộng phạm vi của hành động để bao gồm những điều sau đây: ▪ Bất kỳ máy tính nào chỉ được sử dụng riêng bởi chính phủ Hoa Kỳ. ▪ Bất kỳ máy tính nào chỉ được sử dụng riêng bởi một tổ chức tài chính. ▪ Bất kỳ máy tính nào được sử dụng bởi chính phủ hoặc tổ chức tài chính khi hành vi phạm tội gây cản trở khả năng sử dụng hệ thống đó của chính phủ hoặc tổ chức. ▪ Bất kỳ tổ hợp máy tính nào được sử dụng để thực hiện hành vi phạm tội khi chúng không được đặt ở cùng một tiểu bang. Khi chuẩn bị cho kỳ thi CISSP, hãy dảm bảo rằng bạn có khả năng mô tả tóm tắt về mục đích của tùng luật được mô tả trong chương này. 324 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tu chính án CFAA (CFAA Amendments) Năm 1994, Quốc hội đã công nhận rằng diện mạo của bảo mật máy tính đã thay đổi mạnh mẽ kể từ khi CFAA được sửa đổi lần cuối vào năm 1986 và đã thực hiện một số thay đổi sâu rộng đối với đạo luật này. Nói chung, những thay đổi này được gọi là Đạo luật Sửa đổi về Lạm dụng Máy tính năm 1994 và bao gồm các điều khoản sau: ▪ Việc tạo ra bất kỳ loại mã độc hại ngoài vòng pháp luật nào có thể gây ra thiệt hại cho hệ thống máy tính. ▪ Đã sửa đổi CFAA để bao gồm bất kỳ máy tính nào được sử dụng trong thương mại giữa các tiểu bang thay vì chỉ các hệ thống máy tính “có lợi ích liên bang”. ▪ Cho phép bỏ tù người phạm tội, bất kể họ có thực sự có ý định gây thiệt hại hay không. ▪ Cung cấp thẩm quyền pháp lý cho các nạn nhân của tội phạm máy tính theo đuổi vụ kiện dân sự để được giảm nhẹ theo lệnh và bồi thường thiệt hại. Kể từ những sửa đổi ban đầu của CFAA vào năm 1994, Quốc hội đã thông qua các sửa đổi bổ sung vào các năm 1996, 2001, 2002 và 20 08 như một phần của luật về tội phạm mạng khác. Chúng ta sẽ thảo luận về những điều đó khi chúng xuất hiện trong chương này. Mặc dù CFAA có thể được sử dụng để truy tố một loạt các loại tội phạm máy tính nhưng nó cũng bị nhiều người trong cộng đồng bảo mật và quyền riêng tư chỉ trích là một đạo luật quá mức. Theo một số cách diễn giải, CFAA đang hình sự hóa hành vi vi phạm điều khoản dịch vụ của một trang web. Luật này được sử dụng để truy tố Aaron Swartz vì đã tải xuống một số lượng lớn các tài liệu nghiên cứu học thuật từ một cơ sở dữ liệu có thể truy cập trên mạng MIT. Swartz đã tự sát vào năm 2013 và truyền cảm hứng cho việc soạn thảo một sửa đổi CFAA mà lẽ ra sẽ loại trừ việc vi phạm các điều khoản dịch vụ của trang web ra khỏi CFAA. Dự luật đó, được gọi là Luật Aaron, đã không bao giờ được cuộc biểu quyết trong các cuộc họp của Quốc hội [Hoa Kỳ]. Các hành động lập pháp và tư pháp đang diễn ra có thể ảnh hưởng đến cách diễn giải rộng rãi của CFAA ở Hoa Kỳ. Ví dụ, trong trường hợp Sandvig chống lại 325 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Barr năm 2020, một tòa án liên bang đã phán quyết rằng CFAA không áp dụng đối với các vi phạm điều khoản sử dụng của một trang web vì điều đó sẽ cho phép các nhà điều hành trang web xác định ranh giới của hoạt động tội phạm một cách hiệu quả. Tại thời điểm quyển sách này được phát hành, Tòa án T ối cao Hoa Kỳ cũng đang xem xét một vụ án tương tự, Van Buren chống lại Hoa Kỳ, với khả năng tạo ra một tiền lệ chắc chắn trong lĩnh vực này. Đạo luật Bảo vệ Cơ sở hạ tầng Thông tin Quốc gia năm 1996 (National Information Infrastructure Protection Act) Năm 1996, Quốc hội Hoa Kỳ đã thông qua một tu chính án khác của Đạo luật Lạm dụng và Gian lận Máy tính được thiết kế để mở rộng thêm phạm vi bảo vệ mà đạo luật này đã cung cấp. Đạo luật Bảo vệ Cơ sở hạ tầng Thông tin Quốc gia bao gồm những lĩnh vực bao trùm mới chủ yếu dưới đây: ▪ Mở rộng CFAA để bao gồm các hệ thống máy tính được sử dụng trong thương mại quốc tế ngoài những hệ thống được sử dụng trong thương mại giữa các tiểu bang. ▪ Mở rộng sự bảo vệ tương tự đến các bộ phận của cơ sở hạ tầng quốc gia hơn là chỉ có các hệ thống máy tính, chẳng hạn như các tuyến đường sắt, đường ống khí đốt, lưới nguồn điện, và các mạch viễn thông. ▪ Đối xử bất kỳ hành động cố ý hoặc liều lĩnh nào gây ra thiệt hại cho các bộ phận quan trọng của cơ sở hạ tầng quốc gia là một trọng tội. Hướng dẫn nguyên tắc Kết án Liên bang (Federal Sentencing Guidelines) Hướng dẫn Kết án Liên bang được ban hành vào năm 1991 cung cấp hướng dẫn trừng phạt để giúp các thẩm phán liên bang diễn giải luật tội phạm máy tính. Ba điều khoản chính của các hướng dẫn này đã có tác động lâu dài đến cộng đồng bảo mật thông tin, bao gồm: ▪ Các hướng dẫn đã chính thức hóa quy tắc người thận trọng (prudent person rule), yêu cầu các giám đốc điều hành cấp cao phải chịu trách nhiệm cá nhân để đảm bảo sự chăm sóc thích đáng mà những cá nhân bình thường và thận trọng sẽ thực hiện trong tình huống tương tự. Quy tắc này, được phát triển trong lĩnh vực trách nhiệm tài chính, hiện cũng được áp dụng cho bảo mật thông tin. 326 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Các hướng dẫn cho phép các tổ chức và giám đốc điều hành giảm thiểu sự trừng phạt đối với các hành vi vi phạm bằng cách chứng minh rằng họ đã sử dụng sự cẩn trọng trong việc thực hiện các nhiệm vụ bảo mật thông tin của họ. ▪ Các hướng dẫn nêu ra ba gánh nặng chứng minh cho sự cẩu thả: Thứ nhất, người bị buộc tội do sơ suất phải có nghĩa vụ được pháp luật công nhận. Thứ hai, người đó phải không tuân thủ các tiêu chuẩn đã được công nhận. Và cuối cùng, phải có mối quan hệ nhân quả giữa hành vi sơ suất và những thiệt hại về sau. Đạo luật Quản lý Bảo mật Thông tin Liên bang (Federal Information Security Management Act) Đạo luật Quản lý Bảo mật Thông tin Liên bang (FISMA), được thông qua vào năm 2002, yêu cầu rằng các cơ quan liên bang phải thực hiện một chương trình bảo mật thông tin đang bao gồm các hoạt động của cơ quan. FISMA cũng yêu cầu các cơ quan chính phủ đưa hoạt động của các nhà thầu vào trong các chương trình quản lý bảo mật của họ. FISMA đã bãi bỏ và thay thế hai luật trước đó: Đạo luật Bảo mật Máy tính (Computer Security Act) năm 1987 và Đạo luật Cải cách Bảo mật Thông tin của Chính phủ (Government Information Security Reform Act) năm 2000. Viện Tiêu chuẩn và Công nghệ Quốc gia [Hoa Kỳ] (NIST), chịu trách nhiệm phát triển các hướng dẫn thực hiện FISMA, phác thảo các yếu tố sau của một chương trình bảo mật thông tin: ▪ Định kỳ đánh giá rủi ro, bao gồm mức độ thiệt hại có thể do truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hủy thông tin và hệ thống thông tin hỗ trợ hoạt động và tài sản của tổ chức một cách trái phép. ▪ Các chính sách và thủ tục dựa trên đánh giá rủi ro, giảm rủi ro bảo mật thông tin đến mức có thể chấp nhận được với chi-phí-hiệu-quả và đảm bảo rằng an toàn thông tin được giải quyết trong suốt vòng đời của từng hệ thống thông tin của tổ chức. ▪ Các kế hoạch cấp dưới để cung cấp bảo mật thông tin đầy đủ cho các mạng, cơ sở vật chất, hệ thống thông tin hoặc các nhóm bao gồm các hệ thống thông tin, nếu thích hợp. 327 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Đào tạo nâng cao nhận thức về bảo mật để thông báo cho nhân viên (bao gồm nhà thầu và những người dùng khác của hệ thống thông tin đang hỗ trợ cho hoạt động và tài sản của tổ chức) về các rủi ro bảo mật thông tin liên quan đến hoạt động của họ và trách nhiệm của họ trong việc tuân thủ các chính sách và thủ tục của tổ chức được thiết kế để giảm thiểu những rủi ro này ▪ Định kỳ kiểm tra và đánh giá hiệu quả của các chính sách, thủ tục, thông lệ và biện pháp kiểm soát bảo mật thông tin được thực hiện với tần suất tùy thuộc vào rủi ro, nhưng không ít hơn hàng năm. ▪ Một quy trình lập kế hoạch, triển khai, đánh giá và lập hồ sơ các hành động khắc phục để giải quyết bất kỳ khiếm khuyết nào trong các chính sách, thủ tục và thực tiễn bảo mật thông tin của tổ chức. ▪ Các thủ tục phát hiện, báo cáo và ứng phó với các sự cố bảo mật. ▪ Các kế hoạch và thủ tục để đảm bảo tính liên tục của hoạt động đối với các hệ thống thông tin hỗ trợ hoạt động và tài sản của tổ chức FISMA đặt một trách nhiệm đáng kể lên các cơ quan liên bang và nhà thầu chính phủ, những người phải phát triển và duy trì tài liệu quan trọng về các hoạt động tuân thủ FISMA của họ. Luật An ninh mạng Liên bang năm 2014 (Federal Cybersecurity Laws) Năm 2014, Tổng thống Barack Obama đã ký duyệt một loạt dự luật trở thành luật nhằm hiện đại hóa cách tiếp cận của chính phủ liên bang đối với các vấn đề về an ninh mạng. Đạo luật đầu tiên trong số này là Đạo luật Hiện đại hóa Hệ thống Thông tin Liên bang (Federal Information Systems Modernization Act) (cũng mang tên viết tắt FISMA). FISMA 2014 đã sửa đổi các quy tắc của FISMA 2002 bằng cách tập trung hóa trách nhiệm an ninh mạng của liên bang về Bộ An ninh Nội địa Hoa Kỳ (Department of Home -land Security) . Có hai ngoại lệ đối với việc tập trung hóa này: các vấn đề an ninh mạng liên-quan-đến-quốc-phòng vẫn do Bộ trưởng Quốc phòng chịu trách nhiệm và giám đốc cơ quan tình báo quốc gia chịu trách nhiệm về các vấn đề liên-quan-đến-tình-báo. 328 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Thứ hai, Quốc hội đã thông qua Đạo luật Tăng cường An ninh mạng (Cybersecurity Enhancement Act) , quy định NIST chịu trách nhiệm điều phối công việc trên toàn quốc về các tiêu chuẩn an ninh mạng tự nguyện. NIST sản xuất loạt 800 Ấn phẩm Đặc biệt (Special Publications) liên quan đến bảo mật máy tính trong chính phủ liên bang. Những ấn phẩm hữu ích cho tất cả những người hành nghề bảo mật và được cung cấp trực tuyến miễn phí tại csrc.nist.gov/publications/sp800. Sau đây là các tiêu chuẩn NIST thường được sử dụng: ▪ NIST SP 800-53: Các Biện pháp kiểm soát Bảo mật và Quyền riêng tư dành cho các Tổ chức và Hệ thống Thông tin Liên bang (Securrity and Privacy Controls for Federal Information Systems and Organizations) . Tiêu chuẩn này được yêu cầu sử dụng trong các hệ thống máy tính của liên bang và cũng thường được sử dụng như một tiêu chuẩn bảo mật mạng của ngành. ▪ NIST SP 800-171: Bảo vệ Thông tin chưa được Phân loại được Kiểm soát trong các Tổ chức và Hệ thống Thông tin Phi liên bang (Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations). Việc tuân thủ các biện pháp kiểm soát bảo mật của tiêu chuẩn này (khá giống với các biện pháp kiểm soát trong NIST 80053) thường được các cơ quan chính phủ đưa vào như một yêu cầu của hợp đồng. Các nhà thầu liên bang thường phải tuân thủ NIST SP 800-171. ▪ Khuôn khổ An ninh mạng NIST (Cybersecurity Framework - CSF) là một bộ tiêu chuẩn được thiết kế để đóng vai trò như một khuôn khổ tự nguyện dựa-trên-rủi-ro để bảo mật thông tin và hệ thống. Bộ luật thứ ba từ làn sóng các yêu cầu mới này là Đạo luật Bảo vệ An ninh Mạng Quốc gia (National Cybersecurity Protection Act) . Luật này buộc Bộ An ninh Nội địa thành lập một trung tâm tích hợp truyền thông và an ninh mạng quốc gia. Vai trò của trung tâm này là đóng vai trò như là giao diện giữa các cơ quan liên bang và các tổ chức dân sự để chia sẻ các rủi ro, sự cố, phân tích và cảnh báo về an ninh mạng. Tài sản Sở hữu trí tuệ (IP) Vai trò của Mỹ (Hoa Kỳ) trong nền kinh tế toàn cầu đang dịch chuyển từ nhà máy sản xuất hàng hóa và hướng đến một nhà cung cấp dịch vụ. Xu hướng này 329 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống cũng thể hiện ở rất nhiều quốc gia công nghiệp phát triển lớn trên thế giới. Với sự chuyển hướng sang cung cấp dịch vụ này, tài sản sở hữu trí tuệ (intellectual property - IP) đang ngày càng đóng vai trò quan tr ọng trong rất nhiều doanh nghiệp. Thật vậy, có thể cho rằng tài sản có giá trị nhất của nhiều công ty đa quốc gia lớn chỉ đơn giản là tên thương hiệu mà tất cả chúng ta đều công nhận. Các tên công ty chẳng hạn như Dell, Procter & Gamble và Merck mang lại uy tín tức thì cho bất kỳ sản phẩm nào. Các công ty xuất bản, các nhà sản xuất phim và các nghệ sĩ phụ thuộc vào sản lượng sáng tạo của họ để kiếm kế sinh nhai. Rất nhiều sản phẩm phụ thuộc vào những công thức bí mật hoặc kỹ thuật sản xuất - chẳng hạn như công thức bí mật huyền thoại cho hỗn hợp thảo mộc và gia vị bí mật của Coca-Cola hoặc KFC. Những tài sản vô hình này được gọi chung là tài sản sở hữu trí tuệ (intellectual property - IP) và có rất nhiều luật lệ để bảo vệ quyền của chủ sở hữu của chúng. Rốt cuộc, sẽ không công bằng nếu một hiệu sách chỉ mua một bản sao các quyển sách của mỗi tác giả và sao chép cho tất cả khách hàng của mình - điều đó sẽ tước đi lợi ích lao động của tác giả. Trong các phần tiếp theo, chúng ta sẽ tìm hiểu các luật xung quanh bốn loại tài sản sở hữu trí tuệ chính - bản quyền, nhãn hiệu, bằng sáng chế và bí mật thương mại. Chúng ta cũng sẽ thảo luận về cách mà các khái niệm này liên quan cụ thể đến các chuyên gia bảo mật thông tin như thế nào. Nhiều quốc gia bảo vệ (hoặc không) những quyền này theo những cách khác nhau, nhưng các khái niệm cơ bản vẫn đúng trên toàn thế giới. Một số quốc gia nổi tiếng với việc vi phạm quyền sở hữu trí tuệ và nổi tiếng trên thế giới về sự coi thường trắng trợn luật bản quyền và bằng sáng chế. Nếu bạn dự định thực hiện việc kinh doanh ở những quốc gia có vấn đề này, bạn chắc chắn nên tham khảo ý kiến của luật sư chuyên về lĩnh vực này. 330 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Đạo luật Bản quyền Thiên niên kỷ Kỹ thuật số và Bản quyền (Copyright and Digital Millenium Copyright Act) Luật bản quyền đảm bảo người sáng tạo của “tác phẩm nguyên thủy có quyền tác giả” được bảo vệ chống lại việc nhân bản trái phép các tác phẩm của họ. Tám thể loại tác phẩm đủ tiêu chuẩn để được bảo vệ bản quyền bao gồm: ▪ Các tác phẩm văn học, ▪ Các tác phẩm âm nhạc, ▪ Các kịch bản, ▪ Các tác phẩm kịch nghệ và vũ đạo, ▪ Các tác phẩm tượng hình, đồ họa và điêu khắc, ▪ Các tác phẩm hình ảnh chuyển động và nghe nhìn khác, ▪ Các bản ghi âm, ▪ Các công trình kiến trúc. Đã có tiền lệ đối với quyền tác giả phần mềm máy tính - nó được thực hiện trong phạm vi các tác phẩm văn học. Tuy nhiên, điều quan trọng cần phải lưu ý là luật bản quyền chỉ bảo vệ biểu thức vốn có trong phần mềm máy tính - tức là mã nguồn thực tế. Nó không bảo vệ các ý tưởng hoặc quy trình đằng sau phần mềm. Cũng có một số câu hỏi về việc liệu bản quyền có thể được mở rộng để bao gồm “giao diện (look and feel)” của giao diện người dùng đồ họa của gói phần mềm hay không. Các quyết định của tòa án đã đi theo cả hai hướng về vấn đề này, nếu bạn liên quan đến loại vấn đề này, bạn nên tham khảo ý kiến của luật sư sở hữu trí tuệ có trình độ để xác định tình trạng hiện hành của pháp luật và án lệ. Có một thủ tục chính thức để có được bản quyền liên quan đến việc gửi các bản sao của tác phẩm được bảo vệ cùng với một khoản phí đăng ký thích hợp cho Văn phòng Bản quyền Hoa Kỳ (U.S. Copyright Office). Để biết thêm thông tin chi tiết về quy trình này, hãy truy cập trang web của văn phòng tại www.copyright.gov. Tuy nhiên, việc đăng ký bản quyền chính thức không phải là điều kiện tiên quyết để thực thi quyền tác giả. Thật vậy, luật lệ quy định rằng tác giả của một tác phẩm có bản quyền tự động kể từ thời điểm tác phẩm được tạo ra. Nếu bạn có thể chứng minh trước tòa án rằng bạn là người tạo ra một tác phẩm (có thể bằng cách xuất bản nó), bạn sẽ được bảo vệ theo luật bản 331 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống quyền. Đăng ký chính thức chỉ cung cấp một xác nhận của chính phủ rằng họ đã nhận được tác phẩm của bạn vào một ngày cụ thể. Quyền sở hữu bản quyền luôn luôn được mặc định cho người tạo ra tác phẩm. Các trường hợp ngoại lệ của chính sách này là các tác phẩm cho thuê. Một tác phẩm được coi là “để cho thuê” khi nó được thực hiện cho người sử dụng lao động trong thời gian bình thường của ngày làm việc của họ. Ví dụ, khi một nhân viên trong bộ phận quan hệ công chúng của một công ty viết một thông cáo báo chí, thì thông cáo báo chí được coi là một tác phẩm cho thuê. Một tác phẩm cũng có thể được coi là một tác phẩm để cho thuê khi nó được thực hiện như một phần của hợp đồng bằng văn bản tuyên bố rõ như vậy. Luật bản quyền hiện hành quy định một thời gian bảo vệ lâu dài. Tác phẩm của một hoặc nhiều tác giả được bảo hộ đến 70 năm sau khi tác giả cuối cùng còn sống qua đời. Tác phẩm cho thuê và tác phẩm vô danh được bảo hộ trong 95 năm kể từ ngày xuất bản lần đầu hoặc 120 năm kể từ ngày được tạo ra, tùy theo thời gian nào ngắn hơn. Năm 1998, Quốc hội đã công nhận rằng bối cảnh kỹ thuật số đang thay đổi một cách nhanh chóng làm kéo dài phạm vi của luật bản quyền hiện hành. Để giúp đáp ứng thách thức này, Quốc hội đã ban hành Đạo luật Bản quyền Thiên niên kỷ Kỹ thuật số (DMCA) đang được tranh luận sôi nổi. DMCA cũng đóng vai trò khiến cho luật bản quyền của Hoa Kỳ tuân thủ các điều khoản của hai hiệp ước của Tổ chức Sở hữu Trí tuệ Thế giới (World Intellectual Property Organization WIPO). Điều khoản chính đầu tiên của DMCA là nghiêm cấm các nỗ lực phá vỡ các cơ chế bảo vệ bản quyền được chủ sở hữu bản quyền đặt trên một tác phẩm đã được bảo vệ. Điều khoản này được thiết kế để bảo vệ các cơ chế ngăn-chặn-saochép được đặt trên các phương tiện kỹ thuật số như đĩa compact (CD) và đĩa video kỹ thuật số (DVD). DMCA quy định hình phạt lên đến 1 triệu đô la và 10 năm tù cho những người tái phạm. Các tổ chức phi lợi nhuận như thư viện và trường học được miễn quy định này. 332 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống DMCA cũng giới hạn trách nhiệm của các nhà cung cấp dịch vụ Internet (ISP) khi mạch của họ được sử dụng bởi những tội phạm đang vi phạm luật bản quyền. DMCA thừa nhận rằng ISP có tư cách pháp lý tương t ự như trạng thái “nhà cung cấp dịch vụ thông thường” của các công ty điện thoại và không bắt họ phải chịu trách nhiệm pháp lý về “các hoạt động nhất thời” của người dùng. Để đủ điều kiện được miễn trừ này, các hoạt động của nhà cung cấp dịch vụ phải đáp ứng các yêu cầu sau (được trích dẫn trực tiếp từ Đạo luật Bản quyền Thiên niên kỷ Kỹ thuật số năm 1998, Bản tóm tắt của Văn phòng Bản quyền Hoa Kỳ, tháng 12 năm 1998): ▪ Việc truyền tải phải được bắt đầu bởi một người không phải là nhà cung cấp. ▪ Việc truyền tải, định tuyến, cung cấp kết nối hoặc sao chép phải được thực hiện bằng quy trình kỹ thuật được tự động hóa mà không cần lựa chọn tài liệu bởi nhà cung cấp dịch vụ. ▪ Nhà cung cấp dịch vụ không được xác định người nhận tài liệu. ▪ Bất kỳ bản sao trung gian thông thư ờng nào khác không được trở nên có thể được tiếp cận bởi bất kỳ ai khác ngoài những người nhận dự kiến và không được lưu giữ lâu hơn mức cần thiết một cách hợp lý. ▪ Tài liệu phải được truyền tải mà không bị sửa đổi nội dung của nó. DMCA cũng miễn trừ các hoạt động của các nhà cung cấp dịch vụ liên quan đến bộ nhớ đệm hệ thống, công cụ tìm kiếm và việc lưu trữ thông tin trên mạng của cá nhân người dùng. Tuy nhiên, trong những trường hợp đó, nhà cung cấp dịch vụ phải có hành động ngay lập tức để xóa các tài liệu có bản quyền khi được thông báo về sự vi phạm. Quốc hội cũng bao gồm các điều khoản trong DMCA để cho phép tạo ra các bản sao dự phòng của phần mềm máy tính và bất kỳ hoạt động bảo trì, kiểm tra hoặc sử dụng thông thường nào đòi hỏi phải sao chép phần mềm. Các điều khoản này chỉ áp dụng nếu phần mềm được cấp phép để được sử dụng trên một máy tính cụ thể, việc sử dụng tuân theo thỏa thuận cấp phép và bất kỳ bản sao nào như vậy sẽ bị xóa ngay lập tức khi không còn cần thiết cho một hoạt động được cấp phép. 333 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Cuối cùng, DMCA giải thích việc áp dụng các nguyên tắc của luật bản quyền đối với việc phát trực tuyến nội dung âm thanh và/hoặc video qua Internet. DMCA tuyên bố rằng những mục đích sử dụng này được coi là “truyền tải phiên mã không đăng ký đủ điều kiện”. Nhãn hiệu Luật bản quyền được sử dụng để bảo vệ các tác phẩm sáng tạo, tương tự, cũng có sự bảo hộ đối với nhãn hiệu (trademark), là những từ ngữ, khẩu hiệu và biểu tượng được sử dụng để xác định một công ty và các sản phẩm hoặc dịch vụ của công ty đó. Ví dụ, một doanh nghiệp có thể có được bản quyền trên tài liệu bán hàng (sales brochure) của mình để đảm bảo rằng các đối thủ cạnh tranh không thể sao chép các tài liệu bán hàng của họ. Doanh nghiệp với cùng nhãn hiệu đó cũng có thể tìm cách bảo vệ tên công ty của mình và những tên gọi của các sản phẩm và dịch vụ cụ thể mà doanh nghiệp đó cung cấp cho khách hàng. Mục tiêu chính của việc bảo hộ nhãn hiệu là tránh nhầm lẫn trên thị trường đồng thời bảo vệ quyền sở hữu trí tuệ của mọi người và tổ chức. Cũng như việc bảo hộ bản quyền, nhãn hiệu không cần phải đăng ký chính thức để được bảo hộ theo luật. Nếu bạn sử dụng một nhãn hiệu trong quá trình hoạt động công khai của mình, bạn sẽ tự động được bảo vệ theo bất kỳ luật nhãn hiệu có liên quan nào và có thể sử dụng biểu tượng ™ để thể hiện rằng bạn có ý định bảo vệ các từ ngữ hoặc khẩu hiệu dưới dạng nhãn hiệu. Nếu bạn muốn được chính thức công nhận nhãn hiệu của mình, bạn có thể đăng ký nhãn hiệu đó với Văn phòng Sáng chế và Nhãn hiệu Hoa Kỳ (United States Patent and Trademark Office - USPTO). Quy trình này thường yêu cầu một luật sư để thực hiện việc tìm kiếm thẩm định toàn diện các nhãn hiệu hiện có có thể ngăn cản việc đăng ký của bạn [nghĩa là kiểm tra xem liệu nhãn hiệu của bạn đã được đăng ký bảo hộ hay chưa – người dịch]. Toàn bộ quá trình đăng ký có thể mất hơn một năm từ khi bắt đầu đến khi kết thúc. Khi bạn đã nhận được giấy chứng nhận đăng ký từ USPTO, bạn có thể biểu thị nhãn hiệu của mình là nhãn hiệu đã được đăng ký bằng ký hiệu ®. Một ưu điểm chính của việc đăng ký nhãn hiệu là bạn có thể đăng ký nhãn hiệu mà bạn định sử dụng nhưng không nhất thiết là đã thực sự sử dụng. Loại đơn này được gọi là đơn đăng ký dự định sử dụng (intent to use) và chuyển tải sự bảo hộ nhãn hiệu kể từ ngày nộp đơn với điều kiện là bạn thực sự sử dụng nhãn 334 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống hiệu đó trong thương mại trong một khoảng thời gian nhất định. Nếu bạn chọn không đăng ký nhãn hiệu của mình với PTO, sự bảo vệ của bạn chỉ bắt đầu khi bạn sử dụng nhãn hiệu lần đầu tiên. Việc chấp thuận đơn đăng ký nhãn hiệu ở Hoa Kỳ phụ thuộc vào hai yêu cầu chính sau: ▪ Nhãn hiệu không được gây nhầm lẫn tương tự với nhãn hiệu khác - bạn nên xác định điều này trong quá trình tìm kiếm thẩm định của luật sư. Sẽ có một giai đoạn phản đối mở trong đó các công ty khác có thể tranh chấp đơn đăng ký nhãn hiệu của bạn. ▪ Nhãn hiệu không được mô tả hàng hóa và dịch vụ mà bạn sẽ cung cấp. Ví dụ: “Công ty Phần mềm của Mike” sẽ không phải là một ứng cử viên nhãn hiệu tốt vì nó mô tả sản phẩm được sản xuất bởi công ty. USPTO có thể từ chối đơn đăng ký nếu cho rằng nhãn hiệu có tính mô tả. Tại Hoa Kỳ, nhãn hiệu được cấp trong thời hạn ban đầu là 10 năm và có thể được gia hạn trong khoảng thời gian 10 năm liên tiếp không giới hạn. Bằng sáng chế Bằng sáng chế thiết thực (utility patent) bảo vệ quyền sở hữu trí tuệ của các nhà phát minh. Chúng quy đ ịnh khoảng thời gian 20 năm kể từ thời điểm phát minh ra sáng chế (kể từ ngày nộp đơn đầu tiên), trong đó nhà sáng chế được độc quyền sử dụng sáng chế (cho dù là trực tiếp hoặc thông qua các thỏa thuận chuyển giao quyền sử dụng). Khi kết thúc giai đoạn độc quyền bằng sáng chế, sáng chế sẽ nằm trong phạm vi công cộng có sẵn cho mọi người sử dụng. Bằng sáng chế có ba yêu cầu chính: ▪ Phát minh phải mới. Các phát minh chỉ có thể được cấp bằng sáng chế nếu chúng là những ý tưởng nguyên gốc. ▪ Phát minh phải hữu ích. Nó thực sự phải hoạt động và hoàn thành một số loại nhiệm vụ nào đó. ▪ Phát minh không phải là điều hiển nhiên. Ví dụ, bạn không thể có được bằng sáng chế cho ý tưởng của mình để sử dụng cốc uống nước để hứng nước mưa. Đây là một giải pháp hiển nhiên. Tuy nhiên, bạn có thể được cấp bằng sáng chế cho một chiếc cốc được thiết kế đặc biệt để tối ưu hóa lượng nước mưa thu được trong khi giảm thiểu sự bay hơi. 335 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bảo vệ Phần mềm Có một số tranh cãi đang diễn ra xoay quanh việc tài sản trí tuệ trong phần mềm nên được bảo vệ như thế nào. Phần mềm dường như đủ điều kiện rõ ràng để được bảo vệ bản quyền, nhưng các đương sự đã phản đối quan điểm này trước tòa. Tương tự như vậy, các công ty đã nộp đơn xin và nhận bằng sáng chế về cách thức hoạt động của các “phát minh” phần mềm của họ. Các thuật toán mật mã, chẳng hạn như RSA và Diffie-Hellman, đều được bảo hộ bằng sáng chế tại một thời điểm. Đây cũng là một tình huống gây ra một số tranh cãi pháp lý. Vào thời điểm quyển sách này được phát hành, Tòa án T ối cao Hoa Kỳ đang xem xét vụ kiện Google và Oracle, một tranh chấp đã được giải quyết thông qua hệ thống tòa án trong hơn một thập kỷ. Vụ kiện này tập trung vào các vấn đề xung quanh API Java và có khả năng thiết lập nên một tiền lệ sẽ chi phối rất nhiều vấn đề về sở hữu trí tuệ phần mềm. Trong lĩnh vực công nghệ, các bằng sáng chế từ lâu đã được sử dụng để bảo vệ các thiết bị phần cứng và quy trình sản xuất. Có rất nhiều tiền lệ trước đây về các nhà phát minh trong những lĩnh vực đó. Các bằng sáng chế gần đây cũng đã được cấp bao gồm các chương trình phần mềm và các cơ chế tương tự, nhưng các bằng sáng chế này đã gây tranh cãi phần nào vì nhiều bằng sáng chế bị cộng đồng kỹ thuật xem là quá rộng. Việc ban hành các bằng sáng chế rộng rãi này đã dẫn đến sự phát triển của các doanh nghiệp chỉ tồn tại với tư cách là các công ty sở hữu bằng sáng chế thu được doanh thu của họ bằng cách tham gia vào các vụ kiện chống lại các công ty mà họ cảm thấy vi phạm các bằng sáng chế có trong danh mục đầu tư của họ. Những công ty này được giới cộng đồng công nghệ biết đến với tên gọi xúc phạm “những kẻ lừa đảo bằng sáng chế (patent trolls)”. Bằng sáng chế Thiết kế 336 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bằng sáng chế thực sự có hai hình thức. Các bằng sáng chế được mô tả trong phần này là những bằng sáng chế tiện ích, một loại bằng sáng chế để bảo vệ tài sản sở hữu trí tuệ xoay quanh cách thức hoạt động của một phát minh. Các nhà phát minh cũng có thể tận dụng ưu thế của bằng sáng chế thiết kế. Các bằng sáng chế này bao hàm sự xuất hiện của một phát minh và chỉ tồn tại trong 15 năm. Chúng không bảo hộ ý tưởng về một sáng chế, chỉ bảo hộ hình thức của sáng chế, vì vậy chúng thường được coi là một hình thức bảo hộ sở hữu trí tuệ yếu hơn bằng sáng chế tiện ích, nhưng chúng cũng d ễ dàng có được hơn. Bí mật Thương mại Rất nhiều công ty có những tài sản trí tuệ cực kỳ quan trọng đối với hoạt động kinh doanh của họ và sẽ dẫn đến thiệt hại đáng kể nếu nó bị tiết lộ cho các đối thủ cạnh tranh và/hoặc công chúng – hay nói cách khác là những bí mật thương mại (trade secret). Trước đây, chúng tôi đã đ ề cập đến hai ví dụ về loại thông tin này từ văn hóa đại chúng - công thức bí mật cho “sự pha trộn bí mật của các loại thảo mộc và gia vị” của Coca-Cola và KFC. Những ví dụ khác rất phong phú, một công ty sản xuất có thể muốn giữ bí mật về một quy trình sản xuất nhất định mà chỉ một số nhân viên chủ chốt mới hiểu hết hoặc một công ty phân tích thống kê có thể muốn bảo vệ một mô hình tiên tiến được phát triển để sử dụng trong-nội-bộ. Hai trong số các công cụ tài sản sở hữu trí tuệ đã được thảo luận trước đây bản quyền và bằng sáng chế - có thể được sử dụng để bảo vệ loại thông tin này, nhưng với hai nhược điểm chính sau đây: ▪ Việc nộp đơn đăng ký bản quyền hoặc bằng sáng chế yêu cầu bạn phải tiết lộ công khai các chi tiết về tác phẩm hoặc phát minh của bạn. Điều này sẽ tự động loại bỏ bản chất “bí mật” của tài sản của bạn và có thể gây hại cho công ty của bạn bằng cách xóa bỏ điều bí ẩn xung quanh sản phẩm hoặc bằng cách cho phép các đ ối thủ cạnh tranh vô đạo đức sao chép tài sản của bạn bằng cách vi phạm luật sở hữu trí tuệ quốc tế. 337 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Cả bản quyền lẫn bằng sáng chế đều cung cấp sự bảo vệ trong một khoảng thời gian giới hạn. Sau khi thời hạn bảo vệ pháp lý của bạn hết hạn, các công ty khác có thể tự do sử dụng tác phẩm của bạn theo ý muốn (và họ có tất cả các chi tiết từ việc tiết lộ công khai mà bạn đã thực hiện trong quá trình đăng ký!). Thực sự, có một quy trình chính thức liên quan đến các bí mật thương mại. Theo bản chất của chúng [bí mật], bạn không đăng ký chúng với bất kỳ ai, bạn giữ chúng chỉ cho riêng mình. Để duy trì tình trạng bí mật thương mại, bạn phải thực hiện các biện pháp kiểm soát thích hợp trong tổ chức của mình để đảm bảo rằng chỉ những người được cấp phép với nhu cầu được biết về bí mật mới có quyền tiếp cận chúng. Bạn cũng phải đảm bảo rằng bất kỳ ai có loại quyền truy cập này đều bị ràng buộc bởi thỏa thuận không tiết lộ (NDA) để ngăn cấm họ chia sẻ thông tin với người khác và đưa ra các hình phạt nếu vi phạm thỏa thuận. Hãy tham khảo ý kiến luật sư để đảm bảo rằng thỏa thuận kéo dài trong khoảng thời gian tối đa được pháp luật cho phép. Ngoài ra, bạn phải thực hiện các bước để chứng minh rằng bạn coi trọng và bảo vệ tài sản trí tuệ của mình. Nếu không làm thế, bạn có thể đánh mất quyền bảo hộ bí mật thương mại. Bảo vệ bí mật thương mại là một trong những cách tốt nhất để bảo vệ phần mềm máy tính. Như đã thảo luận trong phần trước, luật về bằng sáng chế không cung cấp sự bảo vệ đầy đủ cho các sản phẩm phần mềm máy tính. Luật bản quyền chỉ bảo vệ văn bản thực tế của mã nguồn và không cấm người khác viết lại mã của bạn theo một hình thức khác và hoàn thành cùng m ột mục tiêu. Nếu bạn coi mã nguồn của mình như một bí mật thương mại, thì ngay từ đầu hãy giữ nó không bị lọt vào tay của các đối thủ cạnh tranh của bạn. Đây là kỹ thuật được sử dụng bởi các công ty phát triển phần mềm lớn như Microsoft để bảo vệ cơ sở tài sản sở hữu trí tuệ cốt lõi của họ. Đạo luật Gián điệp Kinh tế 1996 (Economic Espionage Act) Bí mật thương mại thường là món trang sức quý giá của các tập đoàn lớn, và chính phủ Hoa Kỳ đã công nhận tầm quan trọng của việc bảo vệ loại tài sản 338 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống trí tuệ này khi Quốc hội đã ban hành Đạo luật Gián điệp Kinh tế vào năm 1996. Luật này có hai điều khoản chính sau: ▪ Bất kỳ ai bị kết tội đánh cắp bí mật thương mại từ một công ty Hoa Kỳ với mục đích làm lợi cho chính phủ hoặc tác nhân nước ngoài có thể bị phạt tới 500,000 đô la và bị phạt tù tới 15 năm. ▪ Bất kỳ ai bị kết tội đánh cắp bí mật thương mại trong các trường hợp khác có thể bị phạt tới 250,000 đô la và bị phạt tù đến 10 năm. Các điều khoản của Đạo luật Gián điệp Kinh tế mang lại sức mạnh hiệu quả cho quyền sở hữu tài sản trí tuệ của chủ sở hữu bí mật thương mại. Việc thực thi luật này yêu cầu các công ty phải thực hiện các bước đầy đủ để đảm bảo rằng bí mật thương mại của họ được bảo vệ tốt và không vô tình bị đưa vào phạm vi công cộng. Cấp phép Các chuyên gia bảo mật cũng nên làm quen với các vấn đề pháp lý xoay quanh các thỏa thuận cấp phép phần mềm. Có 4 kiểu thỏa thuận cấp phép được sử dụng ngày nay: ▪ Các thỏa thuận cấp phép theo hợp đồng sử dụng một hợp đồng bằng văn bản giữa nhà cung cấp phần mềm và khách hàng, vạch ra trách nhiệm của từng bên. Những thỏa thuận này thường được tìm thấy đối với các gói phần mềm giá-cao và/hoặc mức độ chuyên dụng cao. ▪ Các thỏa thuận cấp phép gói-gọn (shrink-wrap) được viết ở bên ngoài gói bao bì phần mềm. Chúng thường bao gồm một điều khoản nêu rõ rằng bạn thừa nhận đồng ý với các điều khoản của hợp đồng chỉ bằng cách phá vỡ niêm phong bọc gói-gọn trên bao bì. ▪ Các thỏa thuận cấp phép nhấp-qua (click-through) (còn được gọi là gói trình duyệt) đang trở nên phổ biến hơn so với các thỏa thuận gói gọn. Trong loại thỏa thuận này, các điều khoản hợp đồng hoặc được viết trên hộp phần mềm hoặc được bao gồm trong tài liệu phần mềm. Trong quá trình cài đặt, bạn được yêu cầu nhấp vào nút cho biết rằng bạn đã đọc các điều khoản của thỏa thuận và đồng ý tuân theo chúng. Điều này bổ 339 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống sung thêm một sự đồng thuận tích cực vào quy trình, đảm bảo rằng cá nhân đó biết về sự tồn tại của thỏa thuận trước khi cài đặt [phần mềm]. ▪ Các thỏa thuận cấp phép dịch vụ đám mây đưa các thỏa thuận nhấp-qua lên mức cao nhất. Hầu hết các dịch vụ đám mây không yêu cầu bất kỳ hình thức thỏa thuận bằng văn bản nào và chỉ cần hiển thị các điều khoản pháp lý trên màn hình để xem xét. Trong một số trường hợp, họ có thể cung cấp một liên kết đến các điều khoản pháp lý và hộp dấu kiểm để người dùng xác nhận rằng họ đã đọc và đồng ý với các điều khoản. Hầu hết người dùng, trong sự phấn khích của họ khi truy cập một dịch vụ mới, chỉ cần nhấp vào thỏa thuận mà không cần đọc nó và có thể vô tình ràng buộc toàn bộ tổ chức của họ với các điều khoản và điều kiện khó hiểu. Các nhóm ngành cung cấp hướng dẫn và các hoạt động thực thi liên quan đến việc cấp phép phần mềm. Bạn có thể lấy thêm thông tin từ các trang web của họ. Một nhóm chính trong số đó là Liên minh Phần mềm (Software Alliance) t ại bsa.org. Nhập khẩu/Xuất khẩu Chính phủ liên bang thừa nhận rằng chính các máy tính và công nghệ mã hóa rất giống nhau thúc đẩy Internet và thương mại điện tử có thể là những công cụ cực kỳ mạnh mẽ trong tay một lực lượng quân sự. Vì lý do này, trong Chiến tranh Lạnh, chính phủ đã phát triển một bộ quy định phức tạp quản lý việc xuất khẩu các sản phẩm phần cứng và phần mềm nhạy cảm sang các quốc gia khác. Các quy định bao gồm việc quản lý luồng dữ liệu xuyên qua biên giới của các công nghệ mới, tài sản sở hữu trí tuệ và thông tin nhận dạng cá nhân. Cho đến gần đây, rất khó để xuất khẩu máy tính có năng-lực-cao ra khỏi Hoa Kỳ, ngoại trừ một số quốc gia đồng minh được chọn. Các biện pháp kiểm soát xuất khẩu phần mềm mã hóa thậm chí còn nghiêm ngặt hơn, khiến hầu như không thể xuất khẩu bất kỳ công nghệ mã hóa nào ra nước ngoài. Những thay đổi gần đây trong chính sách liên bang đã nới lỏng những hạn chế này và tạo điều kiện cho thương mại cởi mở hơn. 340 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Hai bộ quy định liên bang chi phối nhập khẩu và xuất khẩu được các chuyên gia bảo mật mạng đặc biệt quan tâm, bao gồm: ▪ Quy định về Lưu thông Vũ khí Quốc tế (International Traffic in Arms Regulations - ITAR) kiểm soát việc xuất khẩu các mặt hàng được chỉ định cụ thể là mặt hàng quân sự và quốc phòng, bao gồm cả thông tin kỹ thuật liên quan đến các mặt hàng đó. Các mặt hàng được đề cập trong ITAR xuất hiện trong một danh sách được gọi là Danh sách Đạn dược của Hoa Kỳ (United States Munition List - USML), được duy trì trong 22 CFR 121. ▪ Các Quy định Quản lý Xuất khẩu (Export Administration Regulations - EAR) bao hàm một loạt các mặt hàng được thiết kế cho mục đích thương mại nhưng có thể có các ứng dụng trong quân sự. Các mặt hàng thuộc phạm vi điều chỉnh của EAR xuất hiện trong Danh sách Kiểm soát Thương mại (Commerce Control List - CCL) do Bộ Thương mại Hoa Kỳ duy trì. Đáng chú ý, EAR bao gồm toàn bộ danh mục bao gồm các sản phẩm bảo mật thông tin. Các quốc gia đáng lo ngại Hiện tại, các công ty Hoa Kỳ có thể xuất khẩu các hệ thống máy tính hiệu-suấtcao đến hầu hết mọi quốc gia mà không cần nhận được sự chấp thuận trước của chính phủ. Tuy nhiên, vẫn có những ngoại lệ đối với quy tắc này đối với các quốc gia được Cục Công nghiệp và An ninh của Bộ Thương mại Hoa Kỳ (Bureau of Industry and Security - BIS) chỉ định là các quốc gia cần quan tâm dựa trên thực tế là các quốc gia này có nguy cơ phổ biến vũ khí hạt nhân, các quốc gia này được phân loại là nhà nước tài trợ cho chủ nghĩa khủng bố, hoặc các mối quan tâm khác. Các quốc gia này bao gồm Triều Tiên, Sudan và Syria. Bạn có thể tìm thấy một danh sách bao gồm các quốc gia và các cấp xuất khẩu máy tính tương ứng với họ trên trang web của Bộ Thương mại Hoa Kỳ (Department of Commerce) tại địa www.bis.doc.gov. 341 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống chỉ Kiểm soát Xuất khẩu Mã hóa Cục Công nghiệp và An ninh (BIS) của Bộ Thương mại Hoa Kỳ thiết lập các quy định về việc xuất khẩu các sản phẩm mã hóa ra khỏi Hoa Kỳ. Theo các quy định trước đó, hầu như không thể xuất khẩu công nghệ mã hóa cấp tương đối thấp ra khỏi Hoa Kỳ. Điều này đã đặt các nhà sản xuất phần mềm của Hoa Kỳ vào một bất lợi cạnh tranh lớn so với các công ty nước ngoài không phải đối mặt với các quy định tương tự. Sau một chiến dịch vận động hành lang kéo dài của ngành công nghiệp phần mềm, Tổng thống đã chỉ đạo Bộ Thương mại sửa đổi các quy định của mình để thúc đẩy sự phát triển của ngành công nghiệp phần mềm bảo mật Mỹ. Nếu bạn đang tự nghĩ rằng “Những quy định này thật khó hiểu và chồng chéo”, bạn đang không đơn độc đâu! Kiểm soát xuất khẩu là một lĩnh vực luật có tính chuyên môn cao, đòi h ỏi phải có chuyên gia tư vấn pháp lý nếu bạn gặp phải chúng trong công việc của mình. Các quy định hiện hành hiện chỉ định các thể loại phần mềm bảo mật thị trường bán lẻ và đại chúng. Các quy tắc hiện đã cho phép các công ty g ửi những sản phẩm này để Bộ Thương mại xem xét, nhưng việc xem xét được cho là sẽ mất không quá 30 ngày. Sau khi hoàn thành thành công vi ệc xem xét này, các công ty có thể tự do xuất khẩu các sản phẩm này. Tuy nhiên, các cơ quan chính ph ủ thường vượt quá thời hạn luật định và các công ty phải đợi cho đến khi quá trình xem xét hoàn tất hoặc đưa vấn đề ra tòa án để cố gắng đưa ra một quyết định. Quyền riêng tư Trong nhiều năm, quyền riêng tư đã là một vấn đề gây tranh cãi sôi nổi ở Hoa Kỳ. Nguồn gốc chính của tranh cãi này là Tuyên ngôn Nhân quy ền của Hiến pháp (Constitution’s Bill of Rights) không quy định rõ ràng về quyền riêng tư. Tuy nhiên, quyền này đã được nhiều tòa án ủng hộ và được theo đuổi một cách mạnh mẽ bởi các tổ chức như Liên minh Tự do Dân sự Hoa Kỳ (American Civil Liberties Union - ACLU). 342 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Người châu Âu từ lâu cũng quan tâm đến quyền riêng tư của họ. Thật vậy, những quốc gia như Thụy Sĩ nổi tiếng trên thế giới về khả năng giữ bí mật tài chính. Ở phần sau của chương này, chúng ta sẽ xem xét luật bảo mật dữ liệu của Liên minh Châu Âu (EU) tác đ ộng như thế nào đến các công ty và người dùng Internet. Luật Quyền riêng tư Hoa Kỳ (U.S. Privacy Law) Mặc dù không có sự đảm bảo rõ ràng trong hiến pháp [Hoa Kỳ] về quyền riêng tư nhưng vô số luật liên bang (nhiều luật đã được ban hành trong những năm gần đây) được thiết kế để bảo vệ thông tin cá nhân mà chính ph ủ lưu giữ về công dân cũng như các bộ phận quan tr ọng của khu vực tư nhân như tài chính, giáo dục và các cơ sở chăm sóc sức khỏe. Trong các phần tiếp theo, chúng ta sẽ xem xét một số luật liên bang này. Tu chính án Thứ tư (Fourth Amendment) Cơ sở cho quyền riêng tư nằm trong Tu chính án Thứ tư của Hiến pháp Hoa Kỳ. Nó tuyên bố như sau: Quyền của người dân được bảo đảm về con người, nhà cửa, giấy tờ và vật dụng cá nhân của họ, chống lại việc khám xét và thu giữ bất hợp lý, sẽ không bị vi phạm và không có lệnh nào được đưa ra, nhưng có thể có nguyên nhân, được hỗ trợ bởi lời tuyên thệ hoặc sự khẳng định, và đặc biệt mô tả nơi được khám xét và những người hoặc vật sẽ bị thu giữ. Việc diễn giải trực tiếp tu chính án này nghiêm cấm các cơ quan chính phủ khám xét tài sản tư nhân mà không có lệnh và nguyên nhân có thể xảy ra. Các tòa án đã mở rộng cách diễn giải của họ về Tu chính án Thứ tư để bao gồm các biện pháp bảo vệ chống lại việc nghe lén và các hành vi xâm phạm quyền riêng tư khác. Đạo luật về Quyền riêng tư (Privacy Act) năm 1974 có l ẽ là phần quan trọng nhất của đạo luật về quyền riêng tư hạn chế cách thức chính phủ liên bang có thể xử lý thông tin cá nhân v ề cá nhân các công dân. Nó hạn chế nghiêm trọng khả năng của các cơ quan chính phủ liên bang trong việc tiết lộ thông tin cá nhân cho những người hoặc cơ quan khác mà không có sự đồng ý trước bằng văn bản của những cá nhân bị ảnh hưởng. Nó cung cấp cho các trường hợp ngoại lệ 343 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống liên quan đến điều tra dân số, thực thi pháp luật, Lưu trữ Quốc gia, sức khỏe và an toàn, và lệnh của tòa án. Đạo luật về Quyền riêng tư năm 1974 Đạo luật về Quyền riêng tư bắt buộc các cơ quan chỉ duy trì các hồ sơ cần thiết cho việc tiến hành hoạt động kinh doanh của họ và họ hủy các hồ sơ đó khi không còn cần thiết cho chức năng hợp pháp của chính phủ. Nó cung cấp một thủ tục chính thức để các cá nhân có quyền truy cập vào các hồ sơ mà chính phủ lưu giữ về họ và yêu cầu các hồ sơ không chính xác phải được sửa đổi. Đạo luật về Quyền riêng tư năm 1974 áp dụng chỉ cho các cơ quan chính phủ. Rất nhiều người đã hiểu nhầm về đạo luật này và tin rằng nó áp dụng cho cách mà các công ty và t ổ chức khác xử lý những thông tin cá nhân nhạy cảm như thế nào, nhưng thực ra điều đó không đúng. Đạo luật về Quyền riêng tư của Giao tiếp Điện tử năm 1986 (Electronic Communication Privacy Act 1986) Đạo luật về Quyền riêng tư của Giao tiếp Điện tử (ECPA) coi đây là tội xâm phạm quyền riêng tư điện tử của một cá nhân. Đạo luật này đã mở rộng Đạo luật Nghe lén Liên bang (Federal Wiretap Act), vốn trước đây bao gồm việc giao tiếp qua đường dây vật lý, để áp dụng cho bất kỳ hành vi đánh chặn bất hợp pháp nào đối với giao tiếp điện tử hoặc truy cập trái phép và cố ý vào dữ liệu được lưu trữ điện tử. Nó nghiêm cấm việc đánh chặn hoặc tiết lộ thông tin giao tiếp điện tử và xác định những trường hợp mà việc tiết lộ là hợp pháp. Nó bảo vệ chống lại sự giám sát liên lạc email và thư thoại và ngăn chặn các nhà cung cấp các dịch vụ đó tiết lộ trái phép nội dung của chúng. Một trong những điều khoản đáng chú ý nhất của ECPA là việc giám sát các cuộc trò chuyện qua điện thoại di động là bất hợp pháp. Trên thực tế, việc giám sát như vậy có thể bị phạt tiền lên đến 500 đô la và án tù lên đến 5 năm. 344 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Hỗ trợ Truyền thông cho Đạo luật Thực thi Pháp luật (Communication Assistance for Law Enforcement Act - CALEA) năm 1994 Đạo luật Hỗ trợ Truyền thông cho Đạo luật Thực thi Pháp luật (CALEA) năm 1994 đã sửa đổi Đạo luật Bảo mật Quyền riêng tư Giao tiếp Điện tử năm 1986. CALEA yêu cầu tất cả các nhà cung cấp dịch vụ truyền thông phải thực hiện khả năng nghe lén để thực thi pháp luật với lệnh tòa thích hợp, bất kể công nghệ đang sử dụng. Đạo luật Gián điệp Kinh tế năm 1996 (Economic Espionage Act) Đạo luật Gián điệp Kinh tế năm 1996 mở rộng định nghĩa tài sản để bao gồm những thông tin kinh tế độc quyền để hành vi trộm cắp thông tin này có thể được coi là gián điệp công nghiệp hoặc gián điệp công ty. Điều này đã thay đổi định nghĩa pháp lý về hành vi trộm cắp để nó không còn bị hạn chế bởi các ràng buộc về mặt vật lý. Đạo luật về Trách nhiệm giải trình và Cung cấp Bảo hiểm Y tế năm 1996 (Health Insurance Portability and Accountability Act) Năm 1996, Quốc hội đã thông qua Đạo luật về Trách nhiệm giải trình và Cung cấp Bảo hiểm Y tế (HIPAA), đạo luật này đã thực hiện nhiều thay đổi đối với luật quản lý bảo hiểm y tế và các tổ chức duy trì sức khỏe (health maintenance organization - HMO). Trong số các điều khoản của HIPAA có các quy định về quyền riêng tư và bảo mật yêu cầu các biện pháp bảo mật nghiêm ngặt đối với các bệnh viện, bác sĩ, công ty bảo hiểm và các tổ chức khác đang xử lý hoặc lưu trữ thông tin y tế riêng tư về cá nhân. HIPAA cũng xác định rõ ràng quyền của các cá nhân là đối tượng của hồ sơ y tế và yêu cầu các tổ chức lưu giữ hồ sơ đó phải tiết lộ các quyền này bằng văn bản. Các quy định về bảo mật và quyền riêng tư của HIPAA tương đối phức tạp. Bạn nên làm quen với những dự định rộng rãi của đạo luật, như đã được mô tả ở đây. Nếu bạn làm việc trong ngành chăm sóc sức khỏe, hãy cân nhắc về việc dành thời gian để nghiên cứu sâu về các quy định của đạo luật này. 345 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Đạo luật Công nghệ Thông tin Y tế cho Kinh tế và Y tế Lâm sàng năm 2009 (Health Information Technology for Economic and Clinical Health Act) Năm 2009, Quốc hội đã sửa đổi HIPAA bằng cách thông qua Đạo luật Công nghệ Thông tin Y tế cho Kinh tế và Y tế Lâm sàng (HITECH). Luật này đã cập nhật nhiều yêu cầu về quyền riêng tư và bảo mật của HIPAA và đã được triển khai thông qua Quy tắc Omnibus HIPAA vào năm 2013. Một trong những thay đổi bắt buộc theo quy định mới là một thay đổi trong cách luật đối xử với các cộng sự kinh doanh, là các tổ chức xử lý thông tin sức khỏe được bảo vệ (protected health information - PHI) thay mặt cho một pháp nhân được HIPAA bảo đảm. Bất kỳ mối quan hệ nào giữa một pháp nhân được bảo đảm và một công ty liên kết kinh doanh phải được điều chỉnh bởi một hợp đồng bằng văn bản được gọi là thỏa thuận liên kết kinh doanh (business associate agreement - BAA). Theo quy định mới, các công ty liên kết kinh doanh phải trực tiếp tuân theo các hành động thực thi HIPAA và HIPAA theo cách tương t ự như một pháp nhân được bảo đảm. HITECH cũng đưa ra các yêu cầu thông báo về vi phạm dữ liệu mới. Theo Quy tắc Thông báo Vi phạm (Breach Notification Rule) của HITECH, các thực thể thuộc phạm vi điều chỉnh của HIPAA gặp phải vi phạm dữ liệu phải thông báo cho các cá nhân bị ảnh hưởng về vi phạm và cũng phải thông báo cho cả thư ký dịch vụ y tế và con người và giới truyền thông khi sự vi phạm gây ảnh hưởng đến hơn 500 cá nhân. Luật Thông báo Vi phạm Dữ liệu Quy tắc thông báo vi phạm dữ liệu của HITECH là duy nhất ở chỗ đó là luật liên bang bắt buộc phải thông báo cho các cá nhân bị ảnh hưởng. Ngoài yêu cầu này đối với hồ sơ chăm sóc sức khỏe, các yêu cầu về thông báo vi phạm dữ liệu sẽ rất khác nhau giữa các tiểu bang. Năm 2002, California đã thông qua SB 1386 và trở thành tiểu bang đầu tiên thông báo ngay cho các cá nhân về việc vi phạm thông tin nhận dạng cá nhân 346 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống đã được phát hiện hoặc đang bị nghi ngờ. Điều này bao gồm các bản sao không được mã hóa của tên một người kết hợp với bất kỳ thông tin nào sau đây: ▪ Số An sinh Xã hội, ▪ Số bằng lái xe, ▪ Số thẻ căn cước của tiểu bang, ▪ Số thẻ tín dụng hoặc thẻ ghi nợ, ▪ Số tài khoản ngân hàng kết hợp với mã bảo mật, mã truy cập hoặc mật khẩu cho phép truy cập vào tài khoản, ▪ Hồ sơ bệnh án, ▪ Thông tin bảo hiểm y tế. Trong những năm sau SB 1386, các tiểu bang khác cũng đã thông qua các luật tương tự dựa trên luật thông báo vi phạm dữ liệu của California. Vào năm 2018, 16 năm sau khi SB 1386 đư ợc thông qua, Alabama và Nam Dakota tr ở thành hai bang cuối cùng thông qua luật thông báo vi phạm dữ liệu. Để có một danh sách đầy đủ các luật thông báo vi phạm dữ liệu của tiểu bang, vui lòng truy cập trang web tại địa chỉ www.ncsl.org/research/telecommunications -and-informationtechnology/security-breach-notification-laws.aspx. Đạo luật Bảo vệ Quyền riêng tư Trực tuyến của Trẻ em năm 1998 (Children’s Online Privacy Protection Act) Vào tháng 4 năm 2000, các quy định của Đạo luật Bảo vệ Quyền riêng tư Trực tuyến của Trẻ em (COPPA) đã trở thành luật của đất nước Hoa Kỳ. COPPA đưa ra một loạt yêu cầu đối với các trang web phục vụ trẻ em hoặc có chủ tâm thu thập thông tin từ trẻ em. ▪ Các trang web phải có thông báo về quyền riêng tư nêu rõ các loại thông tin họ thu thập và thông tin đó được sử dụng để làm gì, bao gồm cả việc liệu có sự tiết lộ bất kỳ thông tin nào cho bên thứ ba hay không. Thông báo về quyền riêng tư cũng phải bao gồm thông tin liên hệ của những người điều hành trang web. 347 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Phụ huynh phải được tạo cơ hội để xem xét bất kỳ thông tin nào đã thu thập được từ con cái của họ và xóa vĩnh viễn thông tin đó khỏi hồ sơ của trang web. ▪ Phụ huynh phải được cung cấp sự đồng thuận có thể xác minh được đối với việc thu thập thông tin về trẻ em dưới 13 tuổi trước khi thu thập bất kỳ thông tin nào như vậy. Các trường hợp ngoại lệ trong luật cho phép các trang web thu thập thông tin tối thiểu chỉ với mục đích thu được sự đồng thuận của cha mẹ. Đạo luật Gramm-Leach-Bliley năm 1999 (Gramm-Leach-Bliley Act) Cho đến khi Đạo luật Gramm – Leach - Bliley (GLBA) trở thành luật vào năm 1999, đã có những rào cản nghiêm ngặt của chính phủ giữa các tổ chức tài chính. Các ngân hàng, công ty bảo hiểm và nhà cung cấp tín dụng bị hạn chế nghiêm trọng trong các dịch vụ mà họ có thể cung cấp và thông tin mà họ có thể chia sẻ với nhau. GLBA đã nới lỏng phần nào các quy định liên quan đến các dịch vụ mà mỗi tổ chức có thể cung cấp. Khi Quốc hội thông qua luật này, họ nhận ra rằng phạm vi gia tăng này có thể có những tác động sâu rộng về quyền riêng tư. Vì mối lo ngại này, Quốc hội đã đưa vào một số hạn chế về loại thông tin có thể được trao đổi ngay cả giữa các công ty con của cùng một tập đoàn và yêu cầu các tổ chức tài chính cung cấp chính sách bảo mật bằng văn bản cho tất cả khách hàng của họ. Đạo luật PATRIOT của Hoa Kỳ năm 2001 (USA PATRIOT Act) Quốc hội đã thông qua Đạo luật Thống nhất và Tăng cường của Mỹ bằng cách Cung cấp các Công cụ Thích hợp Cần thiết để Ngăn chặn và Cản trở Chủ nghĩa khủng bố (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism - USA PATRIOT) năm 2001 đ ể phản ứng trực tiếp với các cuộc tấn công khủng bố ngày 11 tháng 9 năm 2001 ở Thành phố New York và Washington, DC. Đạo luật PATRIOT đã mở rộng đáng kể quyền hạn của các tổ chức thực thi pháp luật và cơ quan tình báo trong một số lĩnh vực, bao gồm cả khi giám sát thông tin liên lạc điện tử. 348 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Một trong những thay đổi lớn được thúc đẩy bởi Đạo luật PATRIOT xoay quanh cách các cơ quan chính ph ủ có được quyền nghe lén. Trước đây, cảnh sát chỉ có thể nhận được lệnh đối với một mạch tại một thời điểm, sau khi chứng minh được rằng mạch đó đã được sử dụng bởi một người nào đó đang bị giám sát. Các quy định của Đạo luật PATRIOT cho phép các nhà chức trách có được sự ủy quyền chung cho một người và sau đó giám sát tất cả các thông tin liên lạc đến hoặc đi từ người đó theo một lệnh duy nhất. Một thay đổi lớn khác là trong cách chính phủ xử lý các nhà cung cấp dịch vụ Internet (ISP). Theo các điều khoản của Đạo luật PATRIOT, các ISP có thể tự nguyện cung cấp cho chính phủ một lượng lớn thông tin. Đạo luật PATRIOT cũng cho phép chính ph ủ có được thông tin chi tiết về hoạt động của người dùng thông qua việc sử dụng trát đòi hầu tòa (trái ngược với nghe lén). Cuối cùng, Đạo luật PATRIOT của Hoa Kỳ sửa đổi Đạo luật Lạm dụng và Gian lận Máy tính (vâng, một bộ sửa đổi khác!) để đưa ra các hình phạt nghiêm khắc hơn cho các hành vi ph ạm tội. Đạo luật PATRIOT quy định thời hạn tù lên đến 20 năm và m ột lần nữa mở rộng phạm vi che phủ của CFAA. Đạo luật PATRIOT có một lịch sử lập pháp phức tạp. Nhiều điều khoản then chốt của Đạo luật PATRIOT đã hết hạn vào năm 2015 khi Quốc hội không thông qua gia hạn dự luật. Tuy nhiên, Quốc hội sau đó đã thông qua Đạo luật Tự do của Hoa Kỳ (USA Freedom Act) vào tháng 6 năm 2015, trong đó khôi phục các điều khoản quan trọng của Đạo luật PATRIOT. Các điều khoản đã hết hạn một lần nữa vào tháng 3 năm 2020 và, vào th ời điểm quyển sách này được xuất bản, vẫn chưa được gia hạn. Tình trạng tương lai của sự ủng hộ đối với Đạo luật PATRIOT hiện vẫn đang bị nghi ngờ. Đạo luật Quyền riêng tư và Quyền Giáo dục Gia đình (Family Educational Rights and Privacy Act) Đạo luật Quyền riêng tư và Quyền Giáo dục Gia đình (FERPA) là một dự luật về quyền riêng tư chuyên biệt 349 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống khác ảnh hưởng đến bất kỳ tổ chức giáo dục nào chấp nhận bất kỳ hình thức tài trợ nào từ chính phủ liên bang (đại đa số các trường học). Nó cấp một số quyền riêng tư nhất định cho học sinh trên 18 tuổi và phụ huynh của những học sinh trong độ tuổi vị thành niên. Các biện pháp bảo vệ FERPA cụ thể bao gồm: ▪ Phụ huynh/học sinh có quyền kiểm tra bất kỳ hồ sơ giáo dục nào đã được tổ chức lưu trữ về học sinh. ▪ Phụ huynh/học sinh có quyền yêu cầu chỉnh sửa hồ sơ mà họ cho là sai sót và có quyền đưa vào hồ sơ một tuyên bố phản đối bất cứ điều gì chưa được sửa chữa. ▪ Các trường không được phép tiết lộ thông tin cá nhân từ hồ sơ học sinh mà không có sự đồng ý bằng văn bản, trừ một số trường hợp nhất định. Đạo luật Răn đe về Giả mạo và Trộm cắp Danh tính (Identity Theft and Assumption Deterrence Act) Vào năm 1998, Tổng thống đã ký thành luật. Trong quá khứ, nạn nhân hợp pháp duy nhất của hành vi trộm cắp danh tính là các chủ nợ bị lừa đảo. Đạo luật này biến hành vi trộm cắp danh tính trở thành tội ác đối với người bị đánh cắp danh tính và đưa ra các hình phạt hình sự nghiêm khắc (lên đến 15 năm tù giam và/hoặc phạt 250,000 đô la) cho bất kỳ ai bị kết tội vi phạm luật này. Kịch bản trong Thế giới Thực Quyền riêng tư tại Khu vực làm việc Một trong số những tác giả của quyển sách này đã có cuộc trò chuyện thú vị với một người thân làm trong một môi trường văn phòng. Tại một buổi họp mặt gia đình, người thân của tác giả tình cờ đề cập đến một câu chuyện mà anh ta đã đọc trên mạng về một công ty địa phương đã sa thải một số nhân viên vì lạm dụng đặc quyền Internet của họ. Anh ấy bị sốc và không thể tin rằng một công ty lại xâm phạm quyền riêng tư của nhân viên. 350 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Như bạn đã đọc trong chương này, hệ thống tòa án Hoa Kỳ từ lâu đã đề cao quyền truyền thống về quyền riêng tư như một phần mở rộng của các quyền cơ bản theo hiến pháp. Tuy nhiên, các tòa án đã duy trì rằng yếu tố then chốt của quyền này là quyền riêng tư chỉ được đảm bảo khi có “kỳ vọng hợp lý về quyền riêng tư”. Ví dụ, nếu bạn gửi một lá thư cho ai đó trong một phong bì dán kín, bạn có thể mong đợi một cách hợp lý rằng nó sẽ được gửi mà không bị đọc trên đường đi - bạn có kỳ vọng hợp lý về quyền riêng tư. Mặt khác, nếu bạn gửi thông điệp của mình trên bưu thiếp, bạn làm như vậy với nhận thức rằng một hoặc nhiều người có thể đọc ghi chú của bạn trước khi nó đến được đầu bên kia - bạn không có kỳ vọng hợp lý về quyền riêng tư. Các phán quyết gần đây của tòa án đã phát hiện ra rằng nhân viên không có kỳ vọng hợp lý về quyền riêng tư trong khi đang sử dụng thiết bị liên lạc do người-sử-dụng-lao-động-sở-hữu tại nơi làm việc. Nếu bạn gửi mọt tin nhắn bằng máy tính, kết nối Internet, điện thoại hoặc thiết bị liên lạc khác của người sử dụng lao động, thì người sử dụng lao động của bạn có thể giám sát nó như một quy trình kinh doanh thông thư ờng. Điều đó có nghĩa rằng, nếu bạn định theo dõi thông tin liên l ạc của nhân viên, bạn nên thực hiện các biện pháp phòng ngừa hợp lý để đảm bảo rằng không có kỳ vọng được ngụ ý nào về quyền riêng tư. Dưới đây là một số biện pháp phổ biến cần xem xét: ▪ Các điều khoản trong hợp đồng lao động nêu rõ nhân viên không có mong đợi về sự riêng tư khi sử dụng thiết bị của công ty. ▪ Tuyên bố bằng văn bản tương tự trong các chính sách về quyền riêng tư và chính sách sử dụng có thể được chấp thuận của công ty. ▪ Các biểu ngữ đăng nhập cảnh báo rằng tất cả các thông tin liên lạc phải được giám sát. ▪ Các nhãn cảnh báo trên máy tính và đi ện thoại cảnh báo về việc giám sát. Cũng như nhiều vấn đề đã được thảo luận trong chương này, bạn nên tham khảo ý kiến chuyên gia tư vấn pháp lý của mình trước khi thực hiện bất kỳ nỗ lực giám-sát-thông-tin-liên-lạc nào. 351 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Luật về Quyền riêng tư của Liên minh Châu Âu Liên minh Châu Âu (EU) đã đóng vai trò là lực lượng hàng đầu trong thế giới về quyền riêng tư thông tin, thông qua m ột loạt các quy định được thiết kế để bảo vệ quyền riêng tư của các cá nhân. Các luật này hoạt động một cách toàn diện, áp dụng cho hầu hết tất cả các thông tin có thể nhận dạng cá nhân, không giống như các luật về quyền riêng tư của Hoa Kỳ, thường áp dụng cho các ngành hoặc thể loại thông tin cụ thể. Chỉ thị Bảo vệ Dữ liệu của Liên minh Châu Âu (European Union Data Protection Directive – DPD) Vào ngày 24/10/1995, Nghị viện Châu Âu đã thông qua m ột Chỉ thị Bảo vệ Dữ liệu (DPD) có ảnh hưởng sâu rộng nêu rõ các biện pháp [bảo vệ] quyền riêng tư cần phải có để bảo vệ dữ liệu cá nhân được xử lý bởi các hệ thống thông tin. Chỉ thị có hiệu lực ba năm sau đó vào tháng 10 năm 1998, được coi là luật về quyền riêng tư trên diện rộng đầu tiên trên thế giới. DPD yêu cầu tất cả việc xử lý dữ liệu cá nhân phải đáp ứng một trong các tiêu chí sau: ▪ Đồng thuận, ▪ Hợp đồng, ▪ Nghĩa vụ pháp lý, ▪ Mối quan tâm trọng yếu của chủ thể của dữ liệu, ▪ Sự cân bằng giữa lợi ích của người nắm giữ dữ liệu và lợi ích của chủ thể của dữ liệu. Chỉ thị này cũng nêu rõ các quyền then chốt của các cá nhân về việc dữ liệu được lưu trữ và/hoặc xử lý: ▪ Quyền truy cập vào dữ liệu, ▪ Quyền được biết nguồn gốc của dữ liệu, ▪ Quyền sửa đổi những dữ liệu không chính xác, ▪ Quyền từ chối sự đồng ý xử lý dữ liệu trong một số trường hợp, ▪ Quyền khởi kiện nếu các quyền này bị vi phạm. Việc thông qua DPD đã buộc các tổ chức trên khắp thế giới, ngay cả những tổ chức có trụ sở bên ngoài châu Âu, phải xem xét lại các nghĩa vụ về quyền riêng 352 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống tư của họ do các yêu cầu về luồng dữ liệu xuyên biên giới. Trong trường hợp thông tin cá nhân về công dân của Liên minh châu Âu rời khỏi EU, những người gửi dữ liệu có quyền yêu cầu để đảm bảo rằng thông tin đó vẫn được bảo vệ. Quy định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu (European Union General Data Protection Regulation) Liên minh Châu Âu đã thông qua một luật mới và toàn diện về bảo vệ thông tin cá nhân vào năm 2016. Quy đ ịnh chung về bảo vệ dữ liệu (GDPR) có hiệu lực vào năm 2018 và thay thế DPD vào ngày đó. Mục đích chính của luật này là cung cấp một luật duy nhất, hài hòa bao gồm dữ liệu trên toàn Liên minh Châu Âu, củng cố các biện pháp bảo vệ quyền riêng tư cá nhân do DPD cung cấp ban đầu. Sự khác biệt chính giữa GDPR và chỉ thị bảo vệ dữ liệu là phạm vi quy định được mở rộng. Luật mới áp dụng cho tất cả các tổ chức thu thập dữ liệu từ những cư dân EU hoặc xử lý thông tin đó thay mặt cho người thu thập thông tin đó. Quan trọng hơn, luật thậm chí còn áp dụng cho các tổ chức không có trụ sở tại EU, nếu họ thu thập thông tin về cư dân EU. Tùy thuộc vào cách giải thích điều này của các tòa án, nó có thể có hiệu lực để trở thành luật quốc tế vì phạm vi rất rộng của nó. Khả năng EU thực thi bộ luật này trên toàn cầu vẫn là một câu hỏi bỏ ngỏ. Các điều khoản chính của GDPR bao gồm những điều sau đây: Tính hợp pháp, công bằng và minh bạch tuyên bố rằng bạn phải có cơ sở pháp lý để xử lý thông tin cá nhân, bạn không được xử lý dữ liệu theo cách gây ra hiểu nhầm hoặc gây bất lợi cho chủ thể của dữ liệu và bạn phải cởi mở và trung thực về các hoạt động xử lý dữ liệu. Giới hạn mục đích tuyên bố rằng bạn phải lập thành văn bản và tiết lộ những mục đích một cách rõ ràng mà theo đó, bạn thu thập dữ liệu và giới hạn hoạt động của bạn chỉ trong những mục đích đã tiết lộ. Tối thiểu dữ liệu tuyên bố rằng bạn phải đảm bảo rằng dữ liệu bạn xử lý là đủ cho mục đích đã nêu của bạn và chỉ giới hạn ở những gì bạn thực sự cần cho mục đích đó. 353 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Độ chính xác tuyên bố rằng dữ liệu bạn thu thập, tạo ra hoặc duy trì là chính xác và không gây ra hiểu nhầm, rằng bạn duy trì các hồ sơ đã được cập nhật và bạn sẽ chỉnh sửa hoặc xóa đi những dữ liệu không chính xác. Giới hạn lưu trữ tuyên bố rằng bạn chỉ lưu giữ dữ liệu miễn là nó còn cần thiết để thực hiện những mục đích hợp pháp, được tiết lộ và bạn tuân thủ “quyền được quên” cho phép mọi người yêu cầu công ty xóa thông tin của họ nếu không còn cần thiết Bảo mật tuyên bố rằng bạn phải có các biện pháp kiểm soát tính toàn vẹn và bảo mật thích hợp để bảo vệ dữ liệu. Trách nhiệm giải trình tuyên bố rằng bạn phải chịu trách nhiệm về những hành động bạn thực hiện với dữ liệu đã được bảo vệ và bạn phải có khả năng chứng minh sự tuân thủ của mình. Chia sẻ Thông tin Xuyên-Biên giới GDPR được đặc biệt quan tâm khi truyền tải thông tin qua biên giới quốc tế. Các tổ chức cần thực hiện chuyển giao giữa các công ty con của họ có sẵn hai lựa chọn để tuân thủ các quy định của EU: ▪ Các tổ chức có thể thông qua một bộ các điều khoản mang tính hợp đồng tiêu chuẩn đã được phê duyệt để sử dụng trong các trường hợp thông tin được chuyển ra bên ngoài EU. Các đi ều khoản đó sẽ được tìm thấy trên trang web của EU tại địa chỉ (ec.europa.eu/info/law/law-topic/data- protection/international-dimension-data-protection/standard-contractualclauses-scc_en) và có sẵn để đưa vào vào hợp đồng. ▪ Các tổ chức có thể áp dụng các quy tắc ràng buộc của công ty để kiểm soát việc truyền dữ liệu giữa các đơn vị nội bộ của cùng một công ty. Đây là một quá trình rất tốn-thời-gian - các quy tắc phải được mọi quốc gia thành viên EU nơi chúng s ẽ được sử dụng chấp thuận, vì vậy, thường thì cách này chỉ được áp dụng bởi các tổ chức rất lớn. Trong quá khứ, Liên minh Châu Âu và Hoa K ỳ đã vận hành một thỏa thuận bảo vệ an toàn có tên gọi là Lá chắn Quyền riêng tư (Privacy Shield). Các tổ chức đã có khả năng chứng nhận sự tuân thủ của họ đối với những thực tiễn về quyền 354 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống riêng tư thông qua những người đánh giá độc lập và nếu nhận được lá chắn quyền riêng tư, họ sẽ được phép chuyển thông tin. Tuy nhiên, phán quyết năm 2020 của Tòa án Công lý Châu Âu (European Court of Justice) trong một vụ án có tên Schrems II đã tuyên b ố Lá chắn Quyền riêng tư của Liên minh Châu Âu/Hoa Kỳ là không hợp lệ. Hiện tại, các công ty có thể không dựa vào Privacy Shield và phải sử dụng các điều khoản mang tính hợp đồng tiêu chuẩn hoặc các quy tắc ràng buộc của công ty. Điều này có thể thay đổi trong tương lai nếu Privacy Shield được sửa đổi để đáp ứng các yêu cầu của Liên minh Châu Âu. Trong một số trường hợp, xung đột phát sinh giữa luật pháp của các quốc gia khác nhau. Ví dụ, các quy tắc khám phá điện tử ở Hoa Kỳ có thể yêu cầu cung cấp bằng chứng được bảo vệ theo GDPR. Trong những trường hợp đó, các chuyên gia về quyền riêng tư nên tham khảo ý kiến của luật sư để xác định cách thức hành động thích hợp. Tổ chức Hợp tác Kinh tế Châu Á – Thái Bình Dương (APEC) công bố một khuôn khổ về quyền riêng tư để kết hợp rất nhiều thực tiễn về quyền riêng tư tiêu chuẩn, chẳng hạn như ngăn ngừa thiệt hại, thông báo, đồng thuận, bảo mật và trách nhiệm giải trình. Khuôn khổ này được sử dụng để thúc đẩy luồng thông tin xuyênbiên-giới giữa các quốc gia thành viên của APEC. Luật về Quyền riêng tư của Canada Luật của Canada có tác động đến việc xử lý thông tin cá nhân liên quan đến các công dân Canada. Nổi bật trong số đó, Đạo luật Bảo vệ Thông tin Cá nhân và Tài liệu Điện tử (Personal Information Protection and Electronic Documents Act - PIPEDA) là một bộ luật cấp-quốc-gia để giới hạn cách mà các doanh nghiệp thương mại có thể thu thập, sử dụng và công bố thông tin cá nhân như thế nào. Nói chung, PIPEDA bao g ồm những thông tin về một cá nhân có thể nhận dạng được đối với cá nhân đó. Chính phủ Canada cung cấp những ví dụ sau về những thông tin được PIPEDA bao gồm: ▪ Nguồn gốc chủng tộc, quốc gia hoặc dân tộc, 355 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Tôn giáo, ▪ Tuổi, ▪ Tình trạng hôn nhân, ▪ Lịch sử y tế, giáo dục hoặc việc làm, ▪ Thông tin tài chính, ▪ DNA, ▪ Mã số căn cước, ▪ Hồ sơ về hiệu suất của nhân viên. Luật sẽ không bao gồm những thông tin không phù hợp với định nghĩa về thông tin cá nhân, bao gồm những ví dụ dưới đây được cung cấp bởi Ủy viên Thông tin của Canada: ▪ Thông tin không phải là về một cá nhân, vì mối liên hệ với một người là quá yếu hoặc quá-xa. ▪ Thông tin về một tổ chức chẳng hạn như một doanh nghiệp. ▪ Thông tin đã được kết xuất ẩn danh, miễn là không thể liên kết dữ liệu đó ngược lại một cá nhân có thể định danh được. ▪ Những thông tin nhất định về công chức như tên, vị trí, chức danh của họ. ▪ Thông tin liên hệ kinh doanh của một người mà một tổ chức thu thập, sử dụng, hoặc công bố cho mục đích duy nhất là liên lạc với người đó liên quan đến công việc, việc kinh doanh hoặc nghề nghiệp của họ. PIPEDA cũng có thể được thay thế bởi các luật cụ-thể-của-tỉnh được coi là về cơ bản tương tự như PIPEDA. Những luật này hiện đang tồn tại ở Alberta, British Columbia và Quebec. Nói chung, PIPEDA thường không áp dụng cho các tổ chức phi lợi nhuận, thành phố trực thuộc trung ương, trường đại học, trường học và bệnh viện. Các Luật lệ về Quyền riêng tư của Tiểu bang Ngoài những luật lệ của liên bang và quốc tế có ảnh hưởng đến quyền riêng tư và bảo mật của thông tin, các tổ chức cũng phải nhận biết những luật được thông qua bởi các tiểu bang, tỉnh và các khu vực pháp lý khác nơi họ tiến hành việc kinh doanh. Cũng giống như luật thông báo vi phạm dữ liệu được thảo luận ở phần trước trong chương này, các bang thường dẫn đầu trong việc tạo ra các 356 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống quy định về quyền riêng tư ph ổ biến trên toàn qu ốc và cuối cùng có thể đóng vai trò là mô hình cho luật liên bang. Đạo luật về Quyền riêng tư của Người tiêu dùng California (California Consumer Privacy Act – CCPA) là một ví dụ tuyệt vời về nguyên tắc hành động này. Tiểu bang California đã thông qua đạo luật có ảnh hưởng sâu rộng này vào năm 2018, mô hình hóa nó sau GDPR của Liên minh Châu Âu. Các điều khoản quy định của luật có hiệu lực vào năm 2020, cung cấp cho người tiêu dùng những điều sau đây: ▪ Quyền được biết những thông tin về họ nào mà các doanh nghiệp đang thu thập và cách mà các tổ chức sử dụng và chia sẻ những thông tin đó như thế nào. ▪ Quyền được quên, cho phép người tiêu dùng yêu cầu tổ chức xóa thông tin cá nhân của họ, trong một số trường hợp. ▪ Quyền được chọn từ chối bán thông tin cá nhân của họ. ▪ Quyền kiểm tra các quyền riêng tư của họ mà không sợ bị phân biệt đối xử hoặc trả thù khi sử dụng quyền này. Rất có khả năng các tiểu bang khác sẽ đi theo mô hình của California và đưa ra những luật lệ về quyền riêng tư rộng rãi của riêng mình trong vài năm sắp tới. Đây là một lĩnh vực trọng tâm quan trọng mà các chuyên gia bảo mật nên theo dõi. Tuân thủ Trong thập kỷ qua, môi trường pháp lý đang quản lý bảo mật thông tin ngày càng trở nên phức tạp. Các tổ chức có thể nhận thấy rằng chính mình phải tuân thủ nhiều luật lệ khác nhau (rất nhiều luật đã được nêu ra ở phần trước đó trong chương này) và các quy định do các cơ quan quản lý áp đặt hoặc các nghĩa vụ theo hợp đồng. Kịch bản trong Thế giới Thực 357 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (Payment Card Industry Data Security Standard - PCI DSS) là một ví dụ tuyệt vời về yêu cầu tuân thủ không được quy định bởi luật pháp mà do nghĩa vụ pháp lý theo hợp đồng. PCI DSS quản lý việc bảo mật thông tin thẻ tín dụng và được thực thi thông qua các điều khoản của một thỏa thuận kinh doanh giữa doanh nghiệp chấp nhận thẻ tín dụng và ngân hàng xử lý các giao dịch của doanh nghiệp. PCI DSS có 12 yêu cầu chính: ▪ Cài đặt và duy t rì một cấu hình tường lửa để bảo vệ dữ liệu của chủ thẻ. ▪ Không sử dụng mật khẩu mặc định được-cung-cấp-bởi-nhà-cung-cấp cho những mật khẩu hệ thống và các tham số bảo mật khác. ▪ Bảo vệ dữ liệu của chủ thẻ đã được lưu trữ. ▪ Mã hóa việc truyền tải dữ liệu của chủ thẻ qua các mạng mở và công cộng. ▪ Bảo vệ mọi hệ thống chống lại phần mềm độc hại và thường xuyên cập nhật phần mềm hoặc chương trình chống vi-rút. ▪ Phát triển và duy trì các hệ thống và ứng dụng được bảo mật. ▪ Hạn chế quyền truy cập vào dữ liệu của chủ thẻ chỉ cho doanh nghiệp cần-được-biết (need-to-know). ▪ Nhận diện và cấp phép quyền truy cập vào các thành phần hệ thống. ▪ Giới hạn quyền truy cập về mặt vật lý vào dữ liệu của chủ thẻ. ▪ Thường xuyên kiểm tra các hệ thống và quy trình bảo mật. ▪ Duy trì một chính sách xử lý bảo mật thông tin đối với mọi nhân viên. Mỗi một trong số các yêu cầu nói trên đều được trình bày chi tiết trong bộ tiêu chuẩn PCI DSS đầy đủ, có thể được tìm thấy tại trang web pcisecuritystandard.org. Các tổ chức là đối tượng của PCI DSS có thể được yêu cầu phải tiến hành các đánh giá tuân thủ hàng năm, tùy thuộc vào số lượng giao dịch mà họ xử lý và lịch sử vi phạm an ninh mạng của họ. 358 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Việc đáp ứng nhiều yêu cầu tuân thủ chồng chéo và đôi khi mâu thuẫn mà một tổ chức phải đối mặt đòi hỏi phải lập kế hoạch một cách cẩn thận. Nhiều tổ chức sử dụng nhân viên tuân thủ CNTT toàn-thời-gian chịu trách nhiệm theo dõi môi trường pháp lý, giám sát các biện pháp kiểm soát để đảm bảo tuân thủ liên tục, tạo điều kiện thuận lợi cho các cuộc kiểm toán tuân thủ và đáp ứng các nghĩa vụ báo cáo tuân thủ của tổ chức. Các tổ chức không mua bán nhưng có lưu trữ, xử lý hoặc truyền tải thông tin thẻ tín dụng dưới danh nghĩa của người bán cũng phải tuân thủ PCI DSS. Ví dụ, các yêu cầu trên cũng được áp dụng cho các nhà cung cấp dịch vụ lưu trữ được chia sẻ, những người phải bảo vệ môi trường dữ liệu của chủ thẻ. Các tổ chức có thể phải chịu các cuộc kiểm toán tuân thủ bởi các kiểm toán viên nội bộ và bên ngoài tiêu chuẩn của họ hoặc bởi các cơ quan quản lý hoặc các đại lý của họ. Ví dụ, kiểm toán viên tài chính của tổ chức có thể tiến hành một cuộc kiểm toán các biện pháp kiểm soát CNTT được thiết kế để đảm bảo rằng các biện pháp kiểm soát bảo mật thông tin đối với hệ thống tài chính của tổ chức là đủ để đảm bảo tuân thủ Đạo luật Sarbanes – Oxley (SOX). Một số quy định, chẳng hạn như PCI DSS, có thể yêu cầu tổ chức giữ lại các kiểm toán viên độc lập đã được phê duyệt để xác minh các biện pháp kiểm soát và cung cấp báo cáo trực tiếp cho các cơ quan quản lý. Ngoài các cuộc kiểm toán chính thức, các tổ chức thường phải báo cáo việc tuân thủ quy định cho một số các bên liên quan bên trong nội bộ và bên ngoài. Ví dụ, hội đồng quản trị của một tổ chức (hoặc thông thường hơn là ủy ban kiểm toán của hội đồng) có thể yêu cầu báo cáo định kỳ về các nghĩa vụ tuân thủ và tình trạng tuân thủ. Tương tự, PCI DSS yêu cầu các tổ chức không bắt buộc phải tiến hành một cuộc kiểm toán chính thức của bên-thứ-ba để hoàn thành và đệ trình một báo cáo tự-đánh-giá nêu rõ tình trạng tuân thủ của họ. 359 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Ký hợp đồng và Mua sắm Việc tăng cường sử dụng các dịch vụ đám mây và các nhà cung cấp bên ngoài khác để lưu trữ, xử lý và truyền tải những thông tin nhạy cảm dẫn các tổ chức đến một trọng tâm mới hướng đến việc triển khai các đánh giá và kiểm soát bảo mật trong các quy trình ký kết hợp đồng và mua sắm của họ. Các chuyên gia bảo mật nên tiến hành đánh giá các biện pháp kiểm soát bảo mật do nhà cung cấp đưa ra, cả trong quá trình lựa chọn và đánh giá nhà cung cấp ban đầu cũng như một phần của quá trình đánh giá quản trị nhà cung cấp liên tục. Dưới đây là một số câu hỏi cần được giải đáp trong quá trình đánh giá quản trị nhà cung cấp này: ▪ Những loại thông tin nhạy cảm nào được lưu trữ, xử lý hoặc truyền tải bởi nhà cung cấp? ▪ Đang có những biện pháp kiểm soát nào để bảo vệ thông tin của tổ chức? ▪ Thông tin của tổ chức của bạn được tách biệt với thông tin của các khách hàng khác như thế nào? ▪ Nếu mã hóa được sử dụng như một biện pháp kiểm soát bảo mật, thì thuật toán mã hóa và độ dài khóa nào được sử dụng? Quản lý khóa được xử lý như thế nào? ▪ Các loại kiểm toán bảo mật nào đang được nhà cung cấp thực hiện và khách hàng có quyền truy cập gì vào các kiểm toán đó? ▪ Nhà cung cấp có dựa vào bất kỳ bên thứ ba nào khác để lưu trữ, xử lý hoặc truyền tải dữ liệu không? Các điều khoản của hợp đồng liên quan đến bảo mật mở rộng cho các bên thứ ba đó như thế nào? ▪ Việc lưu trữ, xử lý và truyền tải dữ liệu sẽ diễn ra ở đâu? Nếu việc đó diễn ra bên ngoài quốc gia của khách hàng và/hoặc nhà cung cấp thì điều đó có những tác động nào? ▪ Quy trình ứng phó sự cố của nhà cung cấp là gì và khi nào khách hàng sẽ được thông báo về vi phạm bảo mật tiềm ẩn? ▪ Đang có những điều khoản nào để đảm bảo tính toàn vẹn và tính sẵn sàng liên tục của dữ liệu khách hàng? Đây chỉ là một danh sách ngắn gọn về một số mối quan tâm mà bạn có thể có. Hãy điều chỉnh phạm vi đánh giá bảo mật của bạn cho phù hợp với các mối quan 360 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống tâm cụ thể của tổ chức của bạn, loại dịch vụ được cung cấp bởi nhà cung cấp và thông tin sẽ được chia sẻ với họ. 361 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tóm tắt Bảo mật máy tính nhất thiết phải có sự tham gia của cộng đồng pháp luật ở mức độ cao. Trong chương này, bạn đã tìm hiểu về các luật đang chi phối các vấn đề bảo mật như tội phạm máy tính, sở hữu trí tuệ, quyền riêng tư dữ liệu và cấp phép phần mềm. Có ba thể loại chính của luật tác động đến các chuyên gia bảo mật thông tin. Luật hình sự vạch ra các quy tắc và chế tài đối với những vi phạm chính đối với sự tín nhiệm của công chúng. Luật dân sự cung cấp cho chúng ta một khuôn khổ để tiến hành công việc kinh doanh. Các cơ quan chính phủ sử dụng luật hành chính để phổ biến các quy định hàng-ngày để giải thích luật hiện hành. Các luật chi phối các hoạt động bảo mật thông tin rất đa dạng và bao gồm cả ba thể loại. Một số luật, chẳng hạn như Đạo luật về Quyền riêng tư của Giao tiếp Điện tử và Đạo luật Bản quyền Thiên niên kỷ Kỹ thuật số, là những luật hình sự mà việc vi phạm có thể dẫn đến án phạt hình sự và/hoặc ngồi tù. Những luật khác, chẳng hạn như luật về nhãn hiệu và bằng sáng chế, là các luật dân sự điều chỉnh các giao dịch kinh doanh. Cuối cùng, nhiều cơ quan chính phủ ban hành luật hành chính, chẳng hạn như Quy tắc Bảo mật HIPAA, ảnh hưởng đến các ngành và loại dữ liệu cụ thể. Các chuyên gia bảo mật thông tin nên nhận thức được các yêu cầu tuân thủ cụ thể đối với ngành và hoạt động kinh doanh của họ. Việc theo dõi những yêu cầu này là một nhiệm vụ phức tạp và nên được giao cho một hoặc nhiều chuyên gia tuân thủ, những người theo dõi những thay đổi trong luật, những thay đổi trong môi trường kinh doanh và sự giao thoa của hai lĩnh vực đó. Việc đơn giản chỉ lo lắng về bảo mật và sự tuân thủ của chính bạn cũng không đủ. Với việc tăng cường áp dụng điện toán đám mây, nhiều tổ chức hiện chia sẻ dữ liệu cá nhân và dữ liệu nhạy cảm với các nhà cung cấp đóng vai trò là nhà cung cấp dịch vụ. Các chuyên gia bảo mật phải thực hiện các bước để đảm bảo rằng các nhà cung cấp xử lý dữ liệu một cách cẩn trọng như chính tổ chức sẽ làm và cũng đáp ứng mọi yêu cầu tuân thủ hiện hành. 362 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Những điều thiết yếu cho Kỳ thi Hiểu được sự khác nhau giữa luật hình sự, luật dân sự và luật hành chính. Luật hình sự bảo vệ xã hội trước những hành vi vi phạm các nguyên tắc cơ bản mà chúng ta tin tưởng. Các hành vi vi phạm luật hình sự bị truy tố bởi chính quyền liên bang và tiểu bang. Luật dân sự tạo ra khuôn khổ cho giao dịch kinh doanh giữa con người và tổ chức. Các hành vi vi phạm pháp luật dân sự được đưa ra tòa và được tranh luận bởi cả hai bên bị ảnh hưởng. Luật hành chính được các cơ quan chính phủ sử dụng để tiến hành công việc hàng-ngày của họ một cách có hiệu quả. Có khả năng giải thích các điều khoản cơ bản của các luật chính được thiết kế để bảo vệ xã hội chống lại tội phạm máy tính. Đạo luật Lạm dụng và Gian lận Máy tính (đã được sửa đổi) bảo vệ các máy tính được sử dụng bởi chính phủ hoặc trong hoạt động thương mại giữa các tiểu bang khỏi nhiều hành vi lạm dụng. Đạo luật về Quyền riêng tư của Giao tiếp Điện tử (ECPA) coi việc xâm phạm quyền riêng tư điện tử của một cá nhân là hành vi phạm tội. Biết được sự khác biệt giữa bản quyền, nhãn hiệu, bằng sáng chế và bí mật thương mại. Bản quyền bảo vệ các tác phẩm gốc có quyền tác giả, chẳng hạn như sách, các bài báo, bài thơ và bài hát. Nhãn hi ệu là tên, khẩu hiệu và biểu trưng xác định một công ty, sản phẩm hoặc dịch vụ. Bằng sáng chế cung cấp sự bảo vệ cho người sáng tạo ra những phát minh mới. Luật bí mật thương mại bảo vệ bí mật hoạt động của một công ty. Có khả năng giải thích được các điều khoản cơ bản của Đạo luật Bản quyền Thiên niên kỷ Kỹ thuật số năm 1998. Đạo luật Bản quyền Thiên niên kỷ Kỹ thuật số nghiêm cấm việc né tránh các cơ chế bảo vệ bản sao được đặt trong các phương tiện kỹ thuật số và giới hạn trách nhiệm của các nhà cung cấp dịch vụ Internet đối với các hoạt động của người dùng của họ. Biết được các quy định cơ bản của Đạo luật Gián điệp Kinh tế năm 1996. Đạo luật Gián điệp Kinh tế đưa ra các hình phạt đối với các cá nhân 363 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống bị kết tội trộm cắp bí mật thương mại. Các hình phạt khắc nghiệt hơn được áp dụng khi cá nhân đó biết rằng thông tin đó sẽ có lợi cho một chính phủ nước ngoài. Hiểu được các loại thỏa thuận cấp phép phần mềm. Thỏa thuận cấp phép theo hợp đồng là thỏa thuận bằng văn bản giữa nhà cung cấp phần mềm và người dùng. Các thỏa thuận rút gọn được in trên bao bì phần mềm và có hiệu lực khi người dùng mở gói. Các thỏa thuận nhấp-qua (clickthrough) được bao gồm trong một gói [phần mềm] nhưng yêu cầu người dùng chấp nhận các điều khoản trong quá trình cài đ ặt phần mềm. Hiểu được các yêu cầu về thông báo đối với các tổ chức gặp phải sự cố vi phạm dữ liệu. SB 1386 của California đã triển khai yêu cầu đầu tiên trên toàn tiểu bang để thông báo cho các cá nhân về sự việc vi phạm thông tin cá nhân của họ. Tất cả các bang khác cuối cùng cũng tiếp theo với các luật tương tự. Hiện tại, luật liên bang chỉ yêu cầu thông báo cho các cá nhân khi pháp nhân được HIPAA bảo đảm đã vi phạm thông tin sức khỏe được bảo vệ của họ. Hiểu được các luật chính đang chi phối quyền riêng tư của thông tin cá nhân ở Hoa Kỳ, Liên minh Châu Âu và Canada . Hoa Kỳ có một số luật về quyền riêng tư ảnh hưởng đến việc sử dụng thông tin của chính phủ cũng như việc sử dụng thông tin của các ngành cụ thể, chẳng hạn như các công ty dịch vụ tài chính và tổ chức chăm sóc sức khỏe xử lý những thông tin nhạy cảm. Liên minh Châu Âu có Quy định Bảo vệ Dữ liệu Chung toàn diện hơn để quản lý việc sử dụng và trao đổi thông tin cá nhân. Tại Canada, Đạo luật Bảo vệ Thông tin Cá nhân và Tài liệu Điện tử (PIPEDA) chi phối việc sử dụng thông tin cá nhân. Giải thích được tầm quan trọng của một chương trình tuân thủ toàn diện. Hầu hết các tổ chức đều phải tuân theo rất nhiều yêu cầu pháp lý và quy định liên quan đến bảo mật thông tin. Việc xây dựng một chương trình tuân thủ đảm bảo rằng bạn trở thành và duy trì tính tuân thủ với các yêu cầu thường chồng chéo này. 364 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Biết cách kết hợp bảo mật vào quy trình mua s ắm và quản trị nhà cung cấp. Việc nhiều tổ chức sử dụng rộng rãi các dịch vụ đám mây đòi hỏi sự chú ý nhiều hơn đến việc tiến hành đánh giá các biện pháp kiểm soát bảo mật thông tin trong quá trình l ựa chọn nhà cung cấp và như một phần của quản trị nhà cung cấp liên tục. Có khả năng xác định sự tuân thủ và các yêu cầu khác để bảo vệ thông tin. Các chuyên gia an ninh m ạng phải có khả năng phân tích tình huống và xác định các khu vực tài phán và luật được áp dụng. Họ phải có khả năng xác định các tiêu chuẩn hợp đồng, pháp lý, quy định và ngành có liên quan và diễn giải chúng cho tình huống nhất định của họ. Biết được các vấn đề pháp lý và quy định cũng như cách chúng liên quan đến bảo mật thông tin như thế nào. Hãy tìm hiểu các khái niệm về tội phạm mạng và vi phạm dữ liệu và có thể áp dụng chúng trong môi trường của bạn khi sự cố phát sinh. Tìm hiểu những biện pháp cấp phép và bảo vệ quyền sở hữu trí tuệ nào áp dụng cho dữ liệu của tổ chức của bạn và nghĩa vụ của bạn khi gặp phải dữ liệu thuộc về các tổ chức khác. Hãy tìm hiểu các vấn đề về quyền riêng tư và kiểm soát xuất khẩu liên quan đến việc chuyển thông tin qua các biên giới quốc tế. Bài tập Viết 1. Hai cơ chế chính mà một tổ chức có thể sử dụng để chia sẻ thông tin ra bên ngoài phạm vi Liên minh Châu Âu theo các đi ều khoản của GDPR là gì? 2. Một số câu hỏi phổ biến mà một tổ chức nên hỏi khi xem xét việc thuê ngoài việc lưu trữ, xử lý hoặc truyền tải thông tin là gì? 3. Các bước phổ biến mà người sử dụng lao động thực hiện để thông báo cho người lao động về việc giám sát hệ thống là gì? 365 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Câu hỏi Đánh giá 1. Briana đang làm việc với một công ty phần mềm của Hoa Kỳ sử dụng mã hóa trong các sản phẩm của họ và đang lên kế hoạch để xuất khẩu sản phẩm của mình ra khỏi phạm vi biên giới Hoa Kỳ. Cơ quan chính phủ liên bang nào có thẩm quyền quy định việc xuất khẩu phần mềm mã hóa? A. NSA. B. NIST. C. BIS. D. FTC. 2. Gần đây, Wendy đã nhận vị trí là quản trị viên bảo mật mạng cấp cao tại một cơ quan chính phủ Hoa Kỳ và lo ngại về các yêu cầu pháp lý ảnh hưởng đến vị trí mới của cô. Luật nào đang quản lý hoạt động bảo mật thông tin tại các cơ quan liên bang? A. FISMA. B. FERPA. C. CFAA. D. ECPA. 3. Loại luật nào không yêu cầu Quốc hội triển khai ở cấp liên bang mà do cơ quan hành pháp ban hành dưới dạng các quy định, chính sách và thủ tục? A. Luật hình sự. B. Luật thông thường. C. Luật dân sự. D. Luật hành chính. 4. Tiểu bang nào của Hoa Kỳ là tiểu bang đầu tiên thông qua luật toàn diện về quyền riêng tư phỏng mô hình theo các yêu cầu của Quy định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu? A. California. B. New York. C. Vermont. D. Texas. 366 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 5. Quốc hội đã thông qua CALEA vào năm 1994, yêu cầu loại tổ chức nào hợp tác với các cuộc điều tra thực thi pháp luật? A. Các tổ chức tài chính. B. Hãng thông tin liên lạc. C. Các tổ chức chăm sóc sức khỏe. D. Các trang web. 6. Luật nào bảo vệ quyền riêng tư của công dân bằng cách đặt ra những hạn chế đối với thẩm quyền được cấp cho các cơ quan chính ph ủ để khám xét nhà ở và cơ sở tư nhân? A. Đạo luật về Quyền riêng tư. B. Tu chính án Thứ tư. C. Tu chính án Thứ hai. D. Đạo luật Gramm-Leach-Bliley. 7. Matthew gần đây là tác giả của một thuật toán sáng tạo để giải quyết một vấn đề toán học và anh ấy muốn chia sẻ nó với thế giới. Tuy nhiên, trước khi xuất bản mã phần mềm trên một tạp chí kỹ thuật, anh ấy muốn có được một số loại bảo vệ quyền sở hữu trí tuệ (IP). Loại bảo vệ nào phù hợp nhất với nhu cầu của anh ấy? A. Bản quyền. B. Thương hiệu. C. Bằng sáng chế. D. Bí mật thương mại. 8. Mary là đồng sáng lập của Acme Widgets, một công ty sản xuất. Cùng với Joe, cộng sự của mình, cô đã phát triển một loại dầu đặc biệt sẽ cải thiện đáng kể quy trình sản xuất phụ tùng. Để giữ bí mật về công thức, Mary và Joe dự định sẽ tự sản xuất một lượng lớn dầu trong nhà máy sau khi các công nhân khác r ời khỏi. Họ muốn bảo vệ công thức này càng lâu càng tốt. Loại hình bảo hộ sở hữu trí tuệ (IP) nào phù hợp nhất với nhu cầu của họ? A. Bản quyền. B. Thương hiệu. C. Bằng sáng chế. D. Bí mật thương mại. 367 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 9. Richard gần đây đã phát triển một tên gọi tuyệt vời cho một sản phẩm mới mà anh ấy dự định sẽ bắt đầu sử dụng ngay lập tức. Anh ấy đã nói chuyện với luật sư của mình và nộp đơn thích hợp để bảo vệ tên gọi của sản phẩm của mình nhưng vẫn chưa nhận được phản hồi từ chính phủ về đơn của anh ấy. Anh muốn bắt đầu sử dụng tên gọi ngay lập tức. Anh ấy nên sử dụng ký hiệu nào bên cạnh tên để biểu thị trạng thái được bảo vệ của nó? A. ©. B. ®. C. ™. D. †. 10. Tom là cố vấn cho một cơ quan chính phủ liên bang thu thập thông tin cá nhân từ những người đi bầu cử. Anh ấy muốn tạo điều kiện cho mối quan hệ nghiên cứu giữa công ty đó liên quan đến việc chia sẻ thông tin cá nhân với một số trường đại học. Luật nào ngăn các cơ quan chính phủ tiết lộ thông tin cá nhân mà một cá nhân cung cấp cho chính phủ trong các trường hợp được bảo vệ? A. Đạo luật về Quyền riêng tư. B. Đạo luật về Quyền riêng tư của Giao tiếp Điện tử. C. Đạo luật về Trách nhiệm giải trình và Cung cấp Bảo hiểm Y tế. D. Đạo luật Gramm-Leach-Bliley. 11. Tổ chức của Renee đang thiết lập quan hệ đối tác với một công ty có trụ sở đặt tại Pháp liên quan đến việc trao đổi thông tin cá nhân. Các đối tác của cô ở Pháp muốn đảm bảo rằng việc truyền tải [thông tin] sẽ tuân thủ GDPR. Cơ chế nào sẽ là thích hợp nhất? A. Các quy tắc ràng buộc của công ty. B. Lá chắn Quyền riêng tư (Privacy Shield). C. Khóa Quyền riêng tư (Privacy Lock). D. Các điều khoản hợp đồng tiêu chuẩn. 12. Đạo luật Bảo vệ Quyền riêng tư Trực tuyến của Trẻ em (COPPA) được thiết kế để bảo vệ quyền riêng tư của trẻ em sử dụng Internet. Độ tuổi tối thiểu mà một đứa trẻ phải là bao nhiêu trước khi các công ty có thể 368 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thu thập thông tin nhận dạng cá nhân từ chúng mà không cần sự đồng ý của cha mẹ? A. 13. B. 14. C. 15. D. 16. 13. Kevin đang đánh giá các nghĩa v ụ của tổ chức mình theo luật thông báo vi phạm dữ liệu của tiểu bang. Thông tin nào sau đây nói chung sẽ không bị chi phối bởi luật thông báo vi phạm dữ liệu khi nó xuất hiện cùng với tên của một người? A. Số An sinh Xã hội. B. Số giấy phép lái xe. C. Số thẻ tín dụng. D. Mã số sinh viên. 14. Roger là CISO tại một tổ chức chăm sóc sức khỏe được bảo đảm bởi HIPAA. Anh ấy muốn hợp tác với một nhà cung cấp sẽ quản lý một số dữ liệu của tổ chức. Là một phần của mối quan hệ, nhà cung cấp sẽ có quyền truy cập vào thông tin sức khỏe được bảo vệ (PHI). Trong những trường hợp nào thì thỏa thuận này được chấp thuận theo HIPAA? A. Điều này được cho chấp thuận nếu nhà cung cấp dịch vụ được Bộ Y tế và Dịch vụ Nhân sinh (Department of Health and Human Services) chứng nhận. B. Điều này được chấp thuận nếu nhà cung cấp dịch vụ ký kết thỏa thuận liên kết kinh doanh. C. Điều này được chấp thuận nếu nhà cung cấp dịch vụ ở cùng tiểu bang với tổ chức của Roger. D. Điều này không được chấp thuận trong bất kỳ trường hợp nào. 15. Frances đã tìm hiểu được rằng một người dùng trong tổ chức của cô gần đây đã đăng ký dịch vụ đám mây mà người giám sát của cô ấy đã không biết và đang lưu trữ thông tin công ty trong d ịch vụ đó. Mệnh đề nào trong số các mệnh đề dưới đây là đúng? A. Nếu người dùng không ký hợp đồng bằng văn bản, tổ chức không có nghĩa vụ gì với nhà cung cấp dịch vụ. 369 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống B. Người dùng rất có thể đã đồng ý với thỏa thuận cấp phép nhấp-qua ràng buộc với tổ chức. C. Hành động của người dùng có khả năng vi phạm luật liên bang. D. Hành động của người dùng có khả năng vi phạm luật của tiểu bang. 16. Gần đây, Greg đã nhận một vị trí là nhân viên tuân thủ bảo mật mạng của một ngân hàng tư nhân. Luật nào tác động trực tiếp nhất đến cách thức mà tổ chức của anh ấy xử lý thông tin cá nhân? A. HIPAA. B. GLBA. C. SOX. D. FISMA. 17. Gần đây, Ruth đã nhận được bằng sáng chế tiện ích bao gồm một phát minh mới mà cô ấy đã tạo ra. Cô ấy sẽ giữ được sự bảo hộ hợp pháp cho sáng chế của mình trong thời gian bao lâu? A. 14 năm kể từ ngày nộp đơn. B. 14 năm kể từ ngày bằng sáng chế được cấp. C. 20 năm kể từ ngày nộp đơn. D. 20 năm kể từ ngày được cấp bằng độc quyền. 18. Ryan đang xem xét các điều khoản của thỏa thuận nhà cung cấp được đề xuất giữa tổ chức tài chính nơi anh đang làm việc và một nhà cung cấp dịch vụ đám mây. Ryan cần quan tâm nhất đến mục nào sau đây? A. Nhà cung cấp đang thực hiện biện pháp kiểm toán bảo mật nào? B. Những quy định nào được đưa ra để bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn sàng của dữ liệu? C. Nhà cung cấp có tuân thủ HIPAA không? D. Những thuật toán mã hóa và độ dài khóa nào được sử dụng? 19. Justin là một nhà tư vấn bảo mật mạng làm việc với một nhà bán lẻ để thiết kế hệ thống điểm-bán-hàng (point-of-sale - POS) mới của họ. Nghĩa vụ tuân thủ nào liên quan đến việc xử lý thông tin thẻ tín dụng có thể diễn ra thông qua hệ thống này? A. SOX. B. HIPAA. C. PCI DSS. 370 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống D. FERPA. 20. Leonard và Sheldon gần đây là đồng tác giả của một văn bản mô tả một lý thuyết chân không siêu lỏng mới. Bản quyền của văn bản của họ sẽ tồn tại trong thời gian bao lâu? A. 70 năm sau khi công bố. B. 70 năm sau khi hoàn thành bản phác thảo đầu tiên. C. 70 năm sau khi tác giả đầu tiên mất. D. 70 năm sau khi tác giả cuối cùng mất. 371 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C h ư ơn g 5 Bảo vệ Sự bảo mật của Tài sản CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM: ✓ Lĩnh vực 2.0: Bảo mật Tài sản ▪ 2.1 Xác định và phân loại thông tin và tài sản ▪ 2.1.1 Phân loại dữ liệu ▪ 2.1.2 Phân loại tài sản ▪ 2.2 Xác lập các yêu cầu xử lý thông tin và tài sản ▪ 2.4 Quản lý vòng đời dữ liệu ▪ 2.4.1 Vai trò dữ liệu (ví dụ, chủ sở hữu, người kiểm soát, người bảo quản, người xử lý, người dùng/chủ thể) ▪ ▪ 2.4.2 Thu thập dữ liệu ▪ 2.4.3 Định vị trí dữ liệu ▪ 2.4.4 Bảo trì dữ liệu ▪ 2.4.5 Lưu giữ dữ liệu ▪ 2.4.6 Cảm ứng từ dư dữ liệu ▪ 2.4.7 Phá hủy dữ liệu 2.5 Đảm bảo lưu giữ tài sản thích hợp (ví dụ, Kết-thúc-Vòng-đời (EOL), Kết-thúc-Hỗ-trợ (EOS)) ▪ 2.6 Xác định các biện pháp kiểm soát dữ liệu và các yêu cầu tuân thủ ▪ 2.6.1 Trạng thái dữ liệu (ví dụ, đang sử dụng, đang truyền tải, đang lưu trữ) ▪ 2.6.2 Định phạm vi và điều chỉnh ▪ 2.6.3 Lựa chọn các tiêu chuẩn ▪ 2.6.4 Các phương pháp bảo vệ dữ liệu (ví dụ, Quản lý Quyền Kỹ thuật số (Digital Rights Management – DRM), Ngăn ngừa Mất Dữ liệu (Data Lost Prevention – DLP), Trung gian Bảo mật Truy cập Đám mây (Cloud Access Security Broker – CASB)) 372 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Lĩnh vực Bảo mật Tài sản tập trung vào việc thu thập, xử lý và bảo vệ thông tin trong toàn bộ vòng đời của nó. Một bước chính trong lĩnh vực này là phân loại thông tin dựa trên giá trị của nó đối với tổ chức. Tất cả các hành động tiếp theo sẽ khác nhau tùy thuộc vào phân loại. Ví dụ, dữ liệu được phân loại cao đòi hỏi các biện pháp kiểm soát bảo mật nghiêm ngặt. Ngược lại, dữ liệu chưa được phân loại sử dụng ít biện pháp kiểm soát bảo mật hơn. Xác định và Phân loại Thông tin và Tài sản Quản lý vòng đời dữ liệu đề cập đến việc bảo vệ nó từ khi bắt đầu đến khi kết thúc [vòng đời]. Các bước cần phải được thực hiện để bảo vệ dữ liệu khi nó được tạo lần đầu tiên cho đến khi nó bị phá hủy. Một trong những bước đầu tiên của vòng đời là xác định và phân loại thông tin và tài sản. Các tổ chức thường bao gồm các định nghĩa phân loại trong một chính sách bảo mật. Sau đó, nhân sự gắn nhãn các tài sản một cách thích hợp dựa trên các yêu cầu về chính sách bảo mật. Trong bối cảnh này, tài sản bao gồm dữ liệu nhạy cảm, phần cứng được sử dụng để xử lý nó và phương tiện được sử dụng để lưu giữ nó. Xác định Dữ liệu Nhạy cảm Dữ liệu nhạy cảm là bất kỳ thông tin nào không được công khai hoặc chưa được phân loại. Nó có thể bao gồm dữ liệu bí mật, độc quyền, được bảo vệ hoặc bất kỳ kiểu dữ liệu nào khác mà tổ chức cần phải bảo vệ nó vì giá trị của nó đối với tổ chức, hoặc để tuân thủ các luật lệ và quy định hiện hành. Thông tin Định danh Cá nhân Thông tin định danh cá nhân (personally identifiable information – PII) là bất kỳ thông tin nào có thể nhận diện một cá nhân. Ấn phẩm Đặc biệt (SP) 800-122 373 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống của Viện Công nghệ và Tiêu chuẩn Quốc gia Hoa Kỳ (NIST) đưa ra một định nghĩa chi tiết hơn: Bất kỳ thông tin nào về một cá nhân được duy trì bởi một cơ quan, bao gồm (1) bất kỳ thông tin nào có thể được sử dụng để phân biệt hoặc truy tìm nhân dạng của một cá nhân, chẳng hạn như tên, mã số an sinh xã hội, ngày tháng năm sinh, tên thời con gái của mẹ, hồ sơ sinh trắc học, và (2) bất kỳ thông tin nào được liên hệ hoặc có thể liên hệ với một cá nhân, chẳng hạn như thông tin ý tế, giáo dục, tài chính và công việc. Điều then chốt ở đây là tổ chức có trách nhiệm phải bảo vệ PII. Điều này bao gồm cả PII có liên quan đến nhân viên và khách hàng. Rất nhiều luật lệ yêu cầu các tổ chức phải thông báo cho các cá nhân nếu vi phạm dữ liệu dẫn đến xâm phạm PII. Bảo vệ thông tin định danh cá nhân (PII) thúc đẩy các yêu cầu về quyền riêng tư và bảo mật đối với các quy tắc, quy định và luật pháp trên toàn cầu (đặc biệt là ở Bắc Mỹ và Liên minh Châu Âu). NIST SP 800-122, Hướng dẫn Bảo vệ Tính Bí mật của Thông tin Nhận dạng Cá nhân (PII), cung cấp thêm thông tin về cách bảo vệ PII. Nó có sẵn từ trang tải xuống của NIST Special Publications (800 Series) tại địa chỉ trang web: csrc.nist.gov/publications/sp8 00. Thông tin Sức khỏe được Bảo vệ Thông tin sức khỏe được bảo vệ (protected health information – PHI) là bất kỳ thông tin nào liên-quan-đến-sức-khỏe có thể được liên hệ với một cá nhân cụ thể. Tại Hoa Kỳ, Đạo luật Trách nhiệm giải trình và Cung cấp Bảo hiểm Y tế 374 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống (HIPAA) bắt buộc phải bảo vệ PHI. HIPAA đưa ra một định nghĩa chính thức hơn về PHI: Thông tin về sức khỏe là bất kỳ thông tin nào, dù là nói miệng hay được ghi lại dưới bất kỳ hình thức hay phương tiện nào, (A) được tạo ra hoặc nhận được bởi một nhà cung cấp dịch vụ sức khỏe, chương trình sức khỏe, cơ quan y tế công cộng, người sử dụng lao động, công ty bảo hiểm nhân thọ, trường học hoặc trường đại học, hoặc cơ sở thanh toán chăm sóc sức khỏe, và (B) liên quan đ ến sức khỏe thể chất hoặc tinh thần trong quá khứ, hiện tại hoặc tương lai của bất kỳ cá nhân nào, việc cung cấp dịch vụ chăm sóc sức khỏe cho một cá nhân, hoặc khoản thanh toán tro ng quá khứ, hiện tại hoặc tương lai cho việc cung cấp dịch vụ chăm sóc sức khỏe cho một cá nhân. Một số người nghĩ rằng chỉ có các nhà cung cấp dịch vụ y tế như các bác sĩ và bệnh viện mới cần bảo vệ PHI. Tuy nhiên, HIPAA xác định phạm vi của PHI rộng lớn hơn nhiều. Bất kỳ người sử dụng lao động nào cung cấp, hoặc bổ sung các chính sách sức khỏe đều thu thập và xử lý PHI. Thông thường thì các tổ chức đều cung cấp hoặc bổ sung các chính sách chăm sóc s ức khỏe, vì vậy HIPAA áp dụng cho một tỷ lệ lớn các tổ chức ở Hoa Kỳ. Dữ liệu Độc quyền Dữ liệu độc quyền đề cập đến bất kỳ dữ liệu nào giúp tổ chức duy trì được lợi thế cạnh tranh. Nó có thể là mã phần mềm do tổ chức phát triển, các kế hoạch kỹ thuật cho sản phẩm, các quy trình nội bộ, tài sản sở hữu trí tuệ hoặc bí mật thương mại. Nếu các đối thủ cạnh tranh có thể truy cập vào dữ liệu độc quyền, nó có thể gây ảnh hưởng nghiêm trọng đến sứ mệnh chính của một tổ chức. 375 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mặc dù luật bản quyền, bằng sáng chế và bí mật thương mại cung cấp mức độ bảo vệ cho những dữ liệu độc quyền nhưng điều này không phải lúc nào cũng đủ. Rất nhiều tội phạm đã bỏ qua bản quyền, bằng sáng chế và luật. Tương tự, các thực thể nước ngoài đã đánh cắp một lượng đáng kể dữ liệu độc quyền. Xác định Phân loại Dữ liệu Các tổ chức thường đưa phân loại dữ liệu vào trong chính sách bảo mật hoặc chính sách dữ liệu của mình. Một phân loại dữ liệu xác định giá trị của dữ liệu đối với tổ chức, và là điều tối quan trọng để bảo vệ tính bảo mật và toàn vẹn của dữ liệu. Chính sách xác định các nhãn phân loại được sử dụng trong phạm vi tổ chức. Nó cũng xác định cách mà chủ sở hữu dữ liệu có thể xác định phân loại thích hợp và cách nhân viên nên bảo vệ dữ liệu dựa trên phân loại của nó như thế nào. Ví dụ, các phân loại dữ liệu của chính phủ bao gồm tuyệt mật, tối mật, mật và chưa được phân loại (tương ứng là top secret, secret, confidential và unclassified). Bất kỳ dữ liệu nào ở trên chưa được phân loại đều là dữ liệu nhạy cảm, nhưng rõ ràng, những dữ liệu này có các giá trị khác nhau. Chính phủ Hoa Kỳ cung cấp các định nghĩa rõ ràng cho các phân lo ại này. Khi bạn đọc chúng, hãy lưu ý rằng từ ngữ của mỗi định nghĩa đều gần giống nhau, ngoại trừ một vài từ chính. Tuyệt mật sử dụng cụm từ “thiệt hại đặc biệt nghiêm trọng”, tối mật sử dụng cụm từ “thiệt hại nghiêm trọng” và mật chỉ sử dụng “thiệt hại”: Tuyệt mật Nhãn tuyệt mật được “áp dụng cho những thông tin mà việc tiết lộ trái phép thông tin đó m ột cách hợp lý có thể gây ra thiệt hại đặc biệt nghiêm trọng cho an ninh quốc gia mà cơ quan phân loại ban đầu có thể xác định hoặc mô tả”. Tối mật Nhãn tối mật được “áp dụng cho thông tin mà việc tiết lộ trái phép thông tin đó một cách hợp lý có thể gây ra thiệt hại nghiêm trọng cho an ninh quốc gia mà cơ quan phân loại ban đầu có thể xác định hoặc mô tả”. 376 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mật Nhãn mật được “áp dụng cho thông tin mà việc tiết lộ trái phép thông tin đó một cách hợp lý có thể gây ra thiệt hại cho an ninh quốc gia mà cơ quan phân loại ban đầu có thể xác định hoặc mô tả." Chưa được phân loại Chưa được phân loại đề cập đến bất kỳ dữ liệu nào khác không đáp ứng một trong các mô tả cho dữ liệu tuyệt mật, tối mật hoặc mật. Tại Hoa Kỳ, dữ liệu chưa được phân loại có sẵn cho bất kỳ ai, mặc dù nó thường yêu cầu các cá nhân yêu cầu thông tin bằng cách sử dụng các thủ tục được xác định trong Đạo luật Tự do Thông tin (Freedom of Information Act -FOIA). Có một số phân loại phụ của “chưa được phân loại”, chẳng hạn như chỉ dành cho mục đích sử dụng chính thức (for official use only - FOUO) và nhạy cảm nhưng chưa được phân loại (sensitive but unclassified - SBU). Các tài liệu với những chỉ định này có sự kiểm soát chặt chẽ hạn chế việc phân phối chúng. Ví dụ: Sở Thuế vụ Hoa Kỳ (Internal Revenue Service IRS) sử dụng SBU cho các hồ sơ thuế cá nhân, hạn chế quyền truy cập vào các hồ sơ này. Cơ quan phân loại là tổ chức áp dụng phân loại ban đầu cho dữ liệu nhạy cảm, và các quy tắc nghiêm ngặt xác định ai có thể làm như vậy. Ví dụ: Tổng thống, Phó tổng thống Hoa Kỳ và những người đứng đầu cơ quan có thể phân loại dữ liệu ở Hoa Kỳ. Ngoài ra, các cá nhân ở bất kỳ vị trí nào trong số này đều có thể ủy quyền cho người khác phân loại dữ liệu. Mặc dù trọng tâm của phân loại thường là dữ liệu nhưng những phân loại này cũng được áp dụng cho tài sản phần cứng. Điều này bao gồm bất kỳ hệ thống máy tính hoặc phương tiện nào đang xử lý hoặc lưu giữ dữ liệu. Các tổ chức phi chính phủ hiếm khi cần phân loại dữ liệu của họ dựa trên những thiệt hại tiềm tàng đối với an ninh quốc gia. Tuy nhiên, các nhà quản lý lo ngại về thiệt hại tiềm ẩn đối với tổ chức. Ví dụ, nếu những kẻ tấn công truy cập vào dữ liệu của tổ chức thì tác động bất lợi tiềm ẩn là gì? Nói cách khác, một tổ 377 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống chức không chỉ xem xét tính nhạy cảm của dữ liệu mà còn xem xét tầm quan trọng của dữ liệu. Họ có thể sử dụng cùng các cụm từ “thiệt hại đặc biệt nghiêm trọng”, “thiệt hại nghiêm trọng” và “thiệt hại” mà chính phủ Hoa Kỳ sử dụng khi mô tả dữ liệu tuyệt mật, tối mật và mật. Một số tổ chức phi chính phủ sử dụng các nhãn như Lớp 3, Lớp 2, Lớp 1 và Lớp 0. Các tổ chức khác sử dụng các nhãn có ý nghĩa hơn như bí m ật (hoặc độc quyền), riêng tư, nhạy cảm và công khai. Hình 5.1 cho thấy mối quan hệ giữa các phân loại khác nhau này, với phân loại của chính phủ ở bên trái và phân loại phi chính phủ (hoặc dân sự) ở bên phải. Cũng giống như chính phủ có thể xác định dữ liệu dựa trên tác động bất lợi tiềm ẩn do vi phạm dữ liệu, các tổ chức cũng có thể sử dụng các mô tả tương tự. Cả các phân loại của chính phủ và dân sự đều xác định giá trị tương đối của dữ liệu đối với tổ chức, trong đó tuyệt mật đại diện cho phân loại cao nhất cho các chính phủ và bí mật đại diện cho phân loại cao nhất cho tổ chức trong Hình 5.1. Tuy nhiên, điều quan trọng cần nhớ là các tổ chức có thể sử dụng bất kỳ nhãn nào mà họ muốn. Khi các nhãn trong Hình 5.1 được sử dụng, thông tin nhạy cảm là bất kỳ thông tin nào chưa được phân loại (khi sử dụng nhãn của chính phủ) hoặc không công khai (khi sử dụng các phân loại dân sự). Các phần tiếp theo dưới đây xác định ý nghĩa của một số cách phân loại phi chính phủ phổ biến. Hãy nhớ rằng, mặc dù chúng được sử dụng phổ biến, nhưng không có tiêu chuẩn nào mà tất cả các tổ chức tư nhân phải sử dụng. 378 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống HÌNH 5.1 Phân loại dữ liệu Mật hoặc Độc quyền Nhãn mật hoặc độc quyền thường đề cập đến lớp cao nhất của dữ liệu đã được phân loại. Theo ngữ cảnh này, một vi phạm dữ liệu sẽ gây ra thiệt hại đặc biệt nghiêm trọng cho sứ mệnh của tổ chức. Ví dụ, những kẻ tấn công đã tấn công liên tục vào Sony, đánh cắp hon 100 terabyte dữ liệu, bao gồm phiên bản đầy-đủ của các bộ phim chưa được phát hành. Những bộ phim này nhanh chóng xuất hiện trên các trang web chia-sẻ-tập-tin và các chuyên gia bảo mật ước tính rằng mọi người đã tải xuống những bộ phim này lên đến một triệu lần. Với các phiên bản phim vi phạm bản quyền đã có sẵn, nhiều người đã bỏ qua việc xem chúng khi cuối cùng, Sony đã phát hành chúng. Điều này ảnh hưởng trực tiếp đến lợi nhuận của Sony. Các bộ phim là độc quyền, và tổ chức có thể coi đó là thiệt hại đặc biệt nghiêm trọng. Khi nhìn lại, họ có thể chọn dán nhãn phim là bí mật hoặc độc quyền và sử dụng các biện pháp kiểm soát truy cập mạnh nhất để bảo vệ chúng. 379 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Riêng tư Nhãn riêng tư đề cập đến dữ liệu nên được giữ riêng tư trong phạm vi tổ chức nhưng không khớp với định nghĩa về dữ liệu mật hoặc độc quyền. Theo ngữ cảnh này, một vi phạm dữ liệu có thể gây ra thiệt hại nghiêm trọng cho sứ mệnh của tổ chức. Rất nhiều tổ chức gán nhãn dữ liệu PII và PHI là riêng tư. Một điều cũng khá phổ biến là gán nhãn riêng tư cho dữ liệu nhân viên trong nội bộ và một số dữ liệu tài chính. Ví dụ, bộ phận tính lương của một công ty sẽ có quyền truy cập vào dữ liệu lương bổng nhưng dữ liệu này không được cung cấp cho các nhân viên bình thường khác. Nhạy cảm Dữ liệu nhạy cảm tương tự như dữ liệu mật. Theo ngữ cảnh này, một vi phạm dữ liệu sẽ gây ra thiệt hại cho sứ mệnh của tổ chức. Ví dụ, nhân viên CNTT trong m ột tổ chức có thể có những dữ liệu bao quát về mạng nội bộ, bao gồm sơ đồ bố trí, các thiết bị, Hệ điều hành, phần mềm, các địa chỉ IP, v.v… Nếu như những kẻ tấn công dễ dàng có quyền truy cập vào những dữ liệu này thì việc này khiến cho chúng dễ dàng khởi chạy các cuộc tấn công hơn. Các nhà qu ản lý có thể quyết định là họ không muốn thông tin này được công khai, do đó, họ gán nhãn nó là nhạy cảm. Công khai Dữ liệu công khai tương tự như dữ liệu chưa được phân loại. Nó bao gồm những thông tin được đăng trên các trang web, sách quảng cáo, hoặc bất kỳ nguồn công khai nào khác. Mặc dù một tổ chức không bảo vệ tính bảo mật của những dữ liệu công khai nhưng họ vẫn thực hiện các bước để bảo vệ tính toàn vẹn của nó. Ví dụ, bất kỳ ai cũng có thể xem được những dữ liệu công khai được đăng trên một trang web. Tuy nhiên, một tổ chức không muốn những kẻ tấn công sửa đổi những dữ liệu này, do đó, họ thực hiện các bước [cần thiết] để bảo vệ nó. 380 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mặc dù một số nguồn đề cập đến thông tin nhạy cảm là bất kỳ dữ liệu nào không công khai hoặc chưa được phân loại, nhưng rất nhiều tổ chức sử dụng nhạy cảm làm nhãn. Nói cách khác, thu ật ngữ thông tin nhạy cảm có thể mang một ý nghĩa trong một tổ chức nhưng lại có ý nghĩa khác trong một tổ chức khác. Đối với kỳ thi CISSP, hãy nhớ rằng “thông tin nhạy cảm” thường đề cập đến bất kỳ thông tin nào không công khai ho ặc chưa được phân loại. Sau khi phân loại dữ liệu, một tổ chức tiến hành thực hiện các bước bổ sung để quản lý dữ liệu dựa trên phân loại của nó. Việc truy cập trái phép đến thông tin nhạy cảm có thể dẫn đến những tổn thất đáng kể cho tổ chức. Tuy nhiên, những thực tiễn bảo mật cơ bản, chẳng hạn như đánh dấu, xử lý, lưu trữ và phá hủy dữ liệu và tài sản phần cứng một cách đúng đắn dựa trên sự phân loại có thể giúp ngăn ngừa những tổn thất. Xác định Phân loại Tài sản Những phân loại tài sản nên khớp với phân loại dữ liệu. Hay nói cách khác, nếu một máy tính đang xử lý dữ liệu tuyệt mật, máy tính đó cũng nên được phân loại là tuyệt mật. Tương tự, nếu phương tiện lưu trữ chẳng hạn như các ổ đĩa bên trong hoặc bên ngoài đang chứa dữ liệu tuyệt mật thì phương tiện đó cũng nên được phân loại là tuyệt mật. Người ta thường sử dụng cách đánh dấu rõ ràng trên tài sản phần cứng để nhân viên được nhắc nhở về dữ liệu có thể được xử lý hoặc lưu trữ trên tài sản đó. Ví dụ, nếu máy tính được sử dụng để xử lý dữ liệu tối mật, máy tính và màn hình sẽ có các nhãn rõ ràng và nổi bật nhắc nhở người dùng về phân loại dữ liệu có thể được xử lý trên máy tính đó. Hiểu Trạng thái Dữ liệu Điều quan trọng là phải bảo vệ dữ liệu trong mọi trạng thái dữ liệu, bao gồm đang được lưu trữ, đang di chuyển và đang sử dụng [tương ứng là at rest, in motion và in use]. 381 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Dữ liệu đang Lưu trữ Dữ liệu đang được lưu trữ (thỉnh thoảng được gọi là dữ liệu đang trong bộ lưu trữ) là bất kỳ dữ liệu nào đang được lưu trữ trong các phương tiện như hệ thống ổ cứng, ổ đĩa thể-rắn (SSD), đĩa USB gắn ngoài, mạng khu vực lưu trữ (SAN), và các băng từ sao lưu. Các [cơ chế] mã hóa đối xứng mạnh mẽ sẽ bảo vệ dữ liệu đang lưu trữ. Dữ liệu đang Truyền tải Dữ liệu đang truyền tải (đôi khi được gọi là dữ liệu đang di chuyển hoặc đang được truyền thông) là bất kỳ dữ liệu nào đang được truyền tải qua một mạng. Dữ liệu này bao gồm dữ liệu được truyền qua một mạng nội bộ sử dụng các phương pháp có dây ho ặc không dây và dữ liệu được truyền qua các mạng công cộng như Internet. Một sự kết hợp giữa mã hóa đối xứng và bất đối xứng sẽ bảo vệ dữ liệu đang truyền tải. Dữ liệu đang Sử dụng Dữ liệu đang sử dụng (thỉnh thoảng c gọi là dữ liệu đang được xử lý) đề cập đến những dữ liệu trong bộ nhớ hoặc bộ đệm lưu trữ tạm thời trong khi một ứng dụng đang sử dụng nó. Các ứng dụng thường giải mã dữ liệu trước khi đưa nó vào trong b ộ nhớ. Điều này cho phép ứng dụng làm việc với dữ liệu, tuy nhiên, điều quan trọng là phải làm sạch (flush) những bộ nhớ đệm này khi dữ liệu không còn được cần đến nữa. Trong một số trường hợp, một ứng dụng sẽ có khả năng làm việc với dữ liệu được mã hóa bằng cách mã hóa đồng hình (homomorphic encryption). Điều này giới hạn được rủi ro bởi vì bộ nhớ không chứa những dữ liệu chưa được mã hóa. Cách thức tốt nhất để bảo vệ tính bí mật của dữ liệu là sử dụng các giao thức mã hóa mạnh mẽ, được thảo luận một cách bao quát trong Chương 6, “Các Thu ật toán Mật mã và Khóa Đối xứng”. Ngoài ra, các biện pháp kiểm soát xác thực và cấp phép mạnh mẽ cũng giúp ngăn chặn việc truy cập trái phép. Ví dụ, hãy xem xét một ứng dụng web truy xuất dữ liệu thẻ tín dụng để truy cập nhanh chóng và tái sử dụng với sự cho phép của người dùng đối với một giao dịch thương mại. Dữ liệu thẻ tín dụng được lưu trữ trên một máy chủ cơ sở dữ liệu và được bảo vệ khi ở trạng thái đang lưu trữ, khi đang truyền tải và cả khi sử dụng. 382 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Các quản trị viên cơ sở dữ liệu thực hiện các bước để mã hóa dữ liệu nhạy cảm được lưu trữ trên máy chủ cơ sở dữ liệu (dữ liệu ở trạng thái lưu trữ). Họ thường mã hóa các cột chứa dữ liệu nhạy cảm như dữ liệu thẻ tín dụng. Ngoài ra, họ cũng sẽ triển khai các biện pháp kiểm soát xác thực và cấp phép mạnh mẽ để ngăn các thực thể trái phép truy cập vào cơ sở dữ liệu. Khi ứng dụng web gửi một yêu cầu dữ liệu từ máy chủ web, máy chủ cơ sở dữ liệu xác minh rằng ứng dụng web được cấp phép truy xuất dữ liệu và nếu có, máy chủ cơ sở dữ liệu sẽ gửi dữ liệu đó. Tuy nhiên, điều này đòi hỏi thêm một số bước. Ví dụ, hệ quản trị cơ sở dữ liệu trước tiên truy xuất và giải mã dữ liệu và định dạng dữ liệu theo cách mà ứng dụng web có thể đọc được. Sau đó, máy chủ cơ sở dữ liệu sử dụng một thuật toán mã hóa truyền tải để mã hóa dữ liệu trước khi truyền nó đi. Điều này đảm bảo rằng dữ liệu đang truyền tải được an toàn. Máy chủ ứng dụng web nhận được dữ liệu ở định dạng được mã hóa. Nó sẽ giải mã dữ liệu và gửi đến ứng dụng web. Ứng dụng web lưu trữ dữ liệu trong bộ nhớ đệm tạm thời trong khi sử dụng nó để cấp phép giao dịch. Khi ứng dụng web không còn cần dữ liệu nữa, nó sẽ thực hiện các bước để xóa bộ nhớ đệm, đảm bảo loại bỏ hoàn toàn tất cả những dữ liệu nhạy cảm còn sót lại. Trung tâm Tài nguyên Trộm cắp Danh tính (Identity Theft Resource Center - ITRC) thường xuyên theo dõi các vụ vi phạm dữ liệu. Họ sẽ đăng các báo cáo thông qua trang web c ủa mình (idtheftcenter.org) miễn phí cho bất kỳ ai. Năm 2020, họ đã theo dõi được 1,108 vụ vi phạm dữ liệu, làm rò rỉ hơn 300 triệu hồ sơ đã biết. Xác định các Yêu cầu Tuân thủ Mọi tổ chức đều có trách nhiệm tìm hiểu những yêu cầu pháp lý áp dụng cho họ và đảm bảo rằng họ đáp ứng tất cả các yêu cầu tuân thủ. Điều này đặc biệt quan trọng nếu một tổ chức xử lý PII ở các quốc gia khác nhau. Chương 4, “Các Luật lệ, Quy định và Tuân thủ”, bao gồm nhiều loại luật và quy định áp dụng cho các tổ chức trên toàn thế giới. Đối với bất kỳ tổ chức nào tham gia vào thương mại 383 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống điện tử, điều này có thể trở nên phức tạp một cách rất nhanh chóng. Một điểm quan trọng cần nhớ là một tổ chức cần xác định những luật nào áp dụng cho tổ chức đó. Hãy tưởng tượng một nhóm sinh viên đại học làm việc cùng nhau và tạo ra một ứng dụng giải quyết vấn đề cho họ. Theo ý thích, họ bắt đầu bán ứng dụng từ Apple App Store và nó lan truyền mạnh mẽ. Mọi người trên khắp thế giới đang mua ứng dụng, mang lại nguồn tiền mặt dồi dào cho những sinh viên này. Nó cũng gây ra những cơn đau đầu nghiêm trọng. Đột nhiên những sinh viên đại học này cần phải hiểu biết về các luật trên thế giới áp dụng cho họ. Một số tổ chức đã tạo ra một vị trí chính thức được gọi là chuyên viên tuân thủ. Người đảm nhận vai trò này đảm bảo rằng tổ chức đang tiến hành tất cả các hoạt động kinh doanh bằng cách tuân theo các luật và quy định áp dụng cho tổ chức. Tất nhiên, điều này bắt đầu bằng cách xác định trước tiên tổ chức hoạt động ở đâu và áp dụng các yêu cầu tuân thủ nào. Xác định các Biện pháp kiểm soát Bảo mật Dữ liệu Sau khi xác định phân loại dữ liệu và tài sản, bạn phải xác định các yêu cầu bảo mật và xác định các biện pháp kiểm soát bảo mật để triển khai các yêu cầu đó. Hãy tưởng tượng rằng tổ chức của bạn đã quyết định sử dụng các nhãn dữ liệu Bí mật/Độc quyền, Riêng tư, Nhạy cảm và Công khai, như đã mô tả trước đó. Sau đó, các nhà quản lý sẽ quyết định chính sách bảo mật dữ liệu chỉ định việc sử dụng các biện pháp kiểm soát bảo mật cụ thể để bảo vệ dữ liệu trong các thể loại này. Chính sách có thể sẽ giải quyết dữ liệu được lưu trữ trong các tập tin, trong cơ sở dữ liệu, trên các máy chủ như máy chủ email, trên hệ thống người dùng, được gửi qua email và được lưu trữ trên đám mây. Đối với ví dụ này, chúng tôi đang giới hạn loại dữ liệu chỉ trong email. Tổ chức của bạn đã xác định cách họ muốn bảo vệ email trong từng thể loại dữ liệu. Họ đã quyết định rằng bất kỳ email nào thuộc thể loại Công khai đều không cần mã hóa. Tuy nhiên, email thuộc tất cả các thể loại khác (Bí mật/Độc quyền, Riêng tư và Nhạy cảm) phải được mã hóa khi được gửi đi (dữ liệu đang chuyển tiếp) và khi được lưu trữ trên máy chủ email (dữ liệu ở trạng thái lưu trữ). Mã hóa chuyển đổi dữ liệu dạng văn bản rõ thành văn bản mã bị xáo trộn và khiến cho 384 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống nó trở nên khó đọc hơn. Sử dụng các phương pháp mã hóa mạnh như Tiêu chuẩn Mã hóa Nâng cao với các khóa 256-bit (AES 256) khiến người không được cấp phép gần như không thể đọc được văn bản. Bảng 5.1 minh họa các yêu cầu bảo mật khác đối với email mà các nhà quản lý đã xác định trong chính sách bảo mật dữ liệu của họ. Hãy lưu ý rằng dữ liệu trong thể loại phân loại cấp cao nhất (Bí mật/Độc quyền) trong ví dụ này) có các yêu cầu bảo mật nhất được xác định trong chính sách bảo mật. BẢNG 5.1 Bảo mật dữ liệu email Phân loại Yêu cầu bảo mật đối với email Bí mật/Độc quyền (mức bảo Email và đính kèm phải được mã hóa bằng AES 256. vệ cao nhất đối với bất kỳ dữ Email và đính kèm tiếp tục được mã hóa trừ khi được xem. liệu nào Email chỉ có thể được gửi đến cho những người nhận trong tổ chức. Email có thể được mở và xem chỉ bởi người nhận (email đư ợc chuyển tiếp không thể mở được). Các đính kèm chỉ có thể được mở và xem, không thể lưu được. Nội dung email không thể được sao chép và dán vào các tài liệu khác. Email không thể được in ra. Riêng tư (các ví dụ bao gồm Email và đính kèm phải được mã hóa bằng AES 256. PII và PHI) Email và đính kèm vẫn tiếp tục được mã hóa trừ khi được xem. Email chỉ có thể được gửi cho những người nhận trong tổ chức. Nhạy cảm (mức bảo vệ thấp Email và đính kèm phải được mã hóa bằng AES 256. nhất đối với dữ liệu đã đư ợc phân loại) Công khai Email và đính kèm có thể được gửi dưới dạng văn bản rõ. 385 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Các yêu cầu được liệt kê trong Bảng 5.1 được cung cấp chỉ như một ví dụ. Bất kỳ tổ chức nào cũng có thể sử dụng những yêu cầu này hoặc định nghĩa những yêu cầu khác phù hợp với họ. Các quản trị viên bảo mật sử dụng các yêu cầu đã được xác định trong chính sách bảo mật để xác định các biện pháp kiểm soát bảo mật. Đối với Bảng 5.1, biện pháp kiểm soát bảo mật chính là mã hóa mạnh sử dụng AES 256. Các quản trị viên nên xác định các phương pháp luận, giúp nhân viên dễ dàng đáp ứng các yêu cầu. Mặc dù có thể đáp ứng tất cả các yêu cầu về bảo mật email được trình bày trong Bảng 5.1, nhưng làm như vậy có thể đòi hỏi việc triển khai thêm các giải pháp khác. Ví dụ, một số công ty phần mềm bán một loạt các sản phẩm mà các tổ chức có thể sử dụng để tự động hóa các tác vụ này. Người dùng áp dụng các nhãn có liên quan (chẳng hạn như bí mật, riêng tư, nhạy cảm và công khai) cho email trước khi gửi chúng. Những email này đi qua máy chủ ngăn mất dữ liệu (DLP) để phát hiện các nhãn và áp dụng biện pháp bảo vệ cần thiết. Các thiết lập cài đặt cho các giải pháp DLP này có thể được định cấu hình theo các nhu cầu cụ thể của tổ chức. Dĩ nhiên, Boldon James không phải là tổ chức duy nhất tạo ra và kinh doanh phần mềm DLP. Những công ty khác cũng cung cấp các giải pháp DLP tương tự bao gồm Titus và Spirion. Bảng 5.1 trình bày các yêu cầu khả dĩ mà tổ chức của bạn có thể muốn áp dụng cho email. Tuy nhiên, bạn không nên dừng lại ở đó. Bất kỳ loại dữ liệu nào mà tổ chức của bạn muốn bảo vệ đều cần các định nghĩa bảo mật tương tự. Ví dụ, bạn nên xác định các yêu cầu đối với dữ liệu được lưu trữ trên các tài sản chẳng hạn như máy chủ, bản sao lưu dữ liệu được lưu trữ tại chỗ và ngoại biên cũng như những dữ liệu độc quyền. Ngoài ra, các bi ện pháp kiểm soát bảo mật quản lý danh tính và truy c ập giúp đảm bảo rằng chỉ những người được cấp phép mới có thể truy cập vào tài nguyên. 386 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Chương 13, “Quản lý Nhân dạng và Xác thực,” và Chương 14, “Kiểm soát và Giám sát Truy cập”, sẽ trình bày sâu hơn về các biện pháp kiểm soát bảo mật quản lý danh tính và truy cập. Xác lập Các Yêu cầu Xử lý Thông tin và Tài sản Mục đích then chốt của việc quản lý dữ liệu nhạy cảm là ngăn chặn những vụ vi phạm dữ liệu. Vi phạm dữ liệu là một sự kiện trong đó một thực thể trái phép có thể xem hoặc truy cập vào những dữ liệu nhạy cảm. Nếu bạn chú ý đến tin tức, bạn có thể nghe về các vụ vi phạm dữ liệu khá thường xuyên. Các vụ vi phạm dữ liệu lớn như vi phạm dữ liệu Marriott năm 2020 là tin tức nổi bật. Marriott báo cáo rằng những kẻ tấn công đã đánh cắp dữ liệu cá nhân, bao gồm tên, địa chỉ, địa chỉ email, thông tin chủ nhân và số điện thoại của khoảng 5,2 triệu khách hàng. Tuy nhiên, thậm chí ngay cả khi bạn có thể chưa bao giờ nghe về những vụ vi phạm nhỏ hơn, chúng vẫn diễn ra một cách thường xuyên. ITRC đã báo cáo về 540 vụ vi phạm dữ liệu gây ảnh hưởng đến 163 triệu người chỉ trong nửa đầu năm 2020. Điều này tương đương với trung bình 20 vụ vi phạm dữ liệu được báo cáo trong một tuần. Những phần tiếp theo đây xác định các bước cơ bản mà mọi người trong tổ chức nên tuân theo để hạn chế khả năng vi phạm dữ liệu. Bảo trì Dữ liệu Bảo trì dữ liệu đề cập đến những nỗ lực liên tục để tổ chức và chăm sóc dữ liệu trong toàn bộ vòng đời của nó. Nói chung, nếu một tổ chức đang lưu trữ mọi dữ liệu nhạy cảm trên một máy chủ, sẽ tương đối dễ dàng để áp dụng mọi biện pháp kiểm soát thích hợp cho máy chủ duy nhất này. Ngược lại, nếu dữ liệu nhạy cảm được lưu trữ trong toàn bộ tổ chức trên nhiều máy chủ và máy tính của người dùng đầu cuối và kết hợp với những dữ liệu không nhạy cảm, việc bảo vệ nó [dữ liệu] trở nên khó khăn hơn nhiều. Một mạng chỉ xử lý dữ liệu chưa được phân loại. Một mạng khác xử lý dữ liệu đã được phân loại. Các kỹ thuật như khoảng trống không khí (air gap) đảm bảo hai mạng không bao giờ tiếp xúc với nhau về mặt vật lý. Khoảng trống không khí là một biện pháp kiểm soát bảo mật vật lý và có nghĩa là các hệ thống và cáp từ mạng đã phân loại không bao giờ chạm vào hệ thống và cáp từ mạng chưa được 387 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống phân loại. Ngoài ra, mạng đã phân loại không thể truy cập vào Internet và những kẻ tấn công Internet không thể truy cập nó. Tuy nhiên, đôi khi nhân viên cần bổ sung thêm dữ liệu vào mạng đã được phân loại, chẳng hạn như khi thiết bị, hệ thống và ứng dụng cần cập nhật. Một cách là thủ công, nhân viên sao chép dữ liệu từ mạng chưa được phân loại vào thiết bị USB và mang nó đến mạng đã được phân loại. Một phương pháp khác là sử dụng cầu nối mạng một chiều, điều này kết nối hai mạng nhưng cho phép dữ liệu chỉ được truyền tải theo một hướng, từ mạng chưa được phân loại đến mạng đã được phân loại. Phương pháp thứ ba là sử dụng giải pháp bảo vệ kỹ thuật, là sự kết hợp giữa phần cứng và phần mềm được đặt giữa hai mạng. Một giải pháp bảo vệ cho phép dữ liệu được đánh dấu một cách thích hợp được di chuyển giữa hai mạng. Ngoài ra, một tổ chức nên thường xuyên xem xét các chính sách d ữ liệu để đảm bảo rằng chúng được cập nhật và nhân viên đang tuân thủ các chính sách đó. Thông thường, một thực tiẽn tốt là xem xét nguyên nhân của các vụ vi phạm dữ liệu gần đây và đảm bảo rằng các lỗi tương tự không gây ra những lỗ hổng không cần thiết. Ngăn ngừa Mất mát Dữ liệu Các hệ thống ngăn ngừa mất dữ liệu (data lost prevention – DLP) cố gắng phát hiện và ngăn chặn những nỗ lực trích lọc dữ liệu. Các hệ thống này có khả năng quét dữ liệu chưa được mã hóa để tìm kiếm từ khóa và các hình mẫu dữ liệu. Ví dụ: hãy tưởng tượng rằng tổ chức của bạn sử dụng các phân loại dữ liệu là Bí mật, Độc quyền, Riêng tư và Nhạy cảm. Một hệ thống DLP có thể quét các tập tin để tìm những từ này và phát hiện ra chúng. Hệ thống DLP đối-sánh-mẫu tìm kiếm các hình mẫu cụ thể. Ví dụ: mã số An sinh Xã hội của Hoa Kỳ có hình mẫu là nnn-nn-nnnn (ba con số, một dấu gạch ngang, hai con số, một dấu gạch ngang và bốn con số). DLP có thể tìm kiếm hình mẫu này và phát hiện ra nó. Các quản trị viên có thể thiết lập một hệ thống DLP để tìm kiếm bất kỳ hình mẫu nào dựa trên nhu cầu của họ. Các hệ thống DLP dựatrên-đám-mây có thể tìm kiếm các từ hoặc chuỗi mã giống nhau. 388 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Có hai loại hệ thống DLP chính: DLP Dựa-trên-Mạng Một DLP dựa-trên-mạng quét tất cả dữ liệu gửi đi ra để tìm kiếm dữ liệu cụ thể. Các quản trị viên đặt nó ở biên của mạng để quét tất cả dữ liệu rời khỏi tổ chức. Nếu người dùng gửi đi một tập tin chứa dữ liệu bị hạn chế, hệ thống DLP sẽ phát hiện ra tập tin đó và ngăn không cho nó rời khỏi tổ chức. Hệ thống DLP sẽ gửi một cảnh báo, chẳng hạn như một email đến quản trị viên. DLP dựa-trên-đám-mây là một tập hợp con của DLP dựa-trên-mạng. DLP Dựa-trên-Điểm-đầu-cuối Một DLP dựa-trên-điểm-đầu-cuối có thể quét các tập tin được lưu trữ trên một hệ thống cũng như các tập tin được gửi đến các thiết bị bên ngoài, chẳng hạn như máy in. Ví dụ: DLP dựatrên-điểm-đầu-cuối của tổ chức có thể ngăn người dùng sao chép dữ liệu nhạy cảm vào ổ đĩa flash USB hoặc gửi dữ liệu nhạy cảm đến máy in. Các quản trị viên thiết lập cấu hình DLP để quét tập tin bằng các từ khóa thích hợp và nếu nó phát hiện ra các tập tin có chứa các từ khóa này, nó sẽ chặn lệnh sao chép hoặc in. Cũng có thể định cấu hình hệ thống DLP dựatrên-điểm-đầu-cuối để thường xuyên quét các tập tin (chẳng hạn như trên máy chủ tập tin) để tìm ra tập tin chứa từ khóa hoặc hình mẫu cụ thể hoặc thậm chí đối với các loại tập tin trái phép, chẳng hạn như tập tin MP3. Hệ thống DLP thường có thể thực hiện kiểm tra ở mức-độ-sâu. Ví dụ: nếu người dùng nhúng tập tin vào tập tin nén dạng .zip, hệ thống DLP vẫn có thể phát hiện ra các từ khóa và hình mẫu. Tuy nhiên, một hệ thống DLP không thể giải mã dữ liệu hoặc kiểm tra dữ liệu đã được mã hóa. Hầu hết các giải pháp DLP cũng đều bao gồm khả năng khám phá. Mục đích là khám phá vị trí của dữ liệu có giá trị trong một mạng nội bộ. Khi quản trị viên bảo mật biết được dữ liệu đang ở đâu, họ có thể thực hiện các bước bổ sung để bảo vệ dữ liệu đó. Ví dụ, một máy chủ cơ sở dữ liệu có thể bao gồm số thẻ tín dụng chưa được mã hóa. Khi DLP phát hi ện và báo cáo điều này, các quản trị viên cơ sở dữ liệu có thể đảm bảo các mã số được mã hóa. Một ví dụ khác, chính sách của công ty có thể quy định rằng máy tính xách tay của nhân viên không được chứa bất kỳ dữ liệu PII nào. Một hệ thống khám phá nội dung DLP có thể tìm kiếm những nội dung này và phát hiện ra bất kỳ dữ liệu trái phép nào. Ngoài 389 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ra, rất nhiều hệ thống khám phá nội dung có thể tìm kiếm tài nguyên đám mây được sử dụng bởi một tổ chức. Đánh dấu Dữ liệu và Tài sản Nhạy cảm Đánh dấu (thường được gọi là dán nhãn) thông tin nhạy cảm đảm bảo rằng người dùng có thể xác định mức độ phân loại của bất kỳ dữ liệu nào một cách dễ dàng. Thông tin quan trọng nhất mà một đánh dấu hoặc một nhãn cung cấp chính là phân loại dữ liệu. Ví dụ: nhãn tuyệt mật sẽ làm rõ cho bất kỳ ai nhìn thấy nhãn đó rằng thông tin đã được phân loại là tuyệt mật. Khi người dùng biết được giá trị của dữ liệu, họ có nhiều khả năng thực hiện các bước thích hợp để kiểm soát và bảo vệ nó dựa trên phân loại. Việc đánh dấu bao gồm cả đánh dấu vật lý và đánh dấu điện tử và các nhãn. Các nhãn vật lý cho biết phân loại bảo mật cho dữ liệu được lưu trữ trên những tài sản như phương tiện lưu trữ hoặc được xử lý trên một hệ thống. Ví dụ: nếu một băng từ sao lưu bao gồm dữ liệu bí mật thì một nhãn vật lý được gắn vào băng từ sẽ giúp người dùng biết rõ rằng nó đang chứa dữ liệu bí mật. Tương tự, nếu như một máy tính đang xử lý thông tin nhạy cảm, máy tính sẽ có một nhãn cho biết mức phân loại thông tin cao nhất mà nó đang xử lý. Máy tính được sử dụng để xử lý dữ liệu bí mật, tối mật và tuyệt mật phải được đánh dấu bằng nhãn chỉ ra rằng nó đang xử lý dữ liệu tuyệt mật. Các nhãn vật lý vẫn được giữ trên hệ thống hoặc phương tiện trong suốt thời gian tồn tại của nó. Việc đánh dấu cũng bao gồm việc sử dụng các đánh dấu hoặc nhãn kỹ thuật số. Một phương pháp đơn giản là bao gồm phân loại dưới dạng đầu trang hoặc chân trang trong tài liệu hoặc nhúng nó dưới dạng một hình ảnh chìm. Một lợi ích của các phương pháp này là chúng cũng xuất hiện trên các bản in. Ngay cả khi người dùng đã bao gồm đầu trang và chân trang trên bản in, hầu hết các tổ chức đều yêu cầu người dùng đặt các tài liệu nhạy cảm đã được in trong một tập hồ sơ có nhãn hoặc trang bìa chỉ rõ phân loại. Tiêu đề không chỉ giới hạn cho các tập tin. Băng từ dự phòng thường bao gồm thông tin tiêu đề và phân loại có thể được bao gồm trong tiêu đề này. 390 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Một lợi ích khác của đầu trang, chân trang và hình ảnh mờ là hệ thống DLP có thể xác định các tài liệu bao gồm thông tin nhạy cảm và áp dụng các biện pháp kiểm soát bảo mật thích hợp. Một số hệ thống DLP cũng sẽ bổ sung thêm thẻ siêu dữ liệu vào tài liệu khi chúng phát hiện rằng tài liệu đã được phân loại. Các thẻ này cung cấp thông tin chi ti ết về nội dung của tài liệu và giúp hệ thống DLP xử lý nó một cách thích hợp. Tương tự như vậy, một số tổ chức bắt buộc các hình nền máy tính cụ thể trên máy tính của họ. Ví dụ, một hệ thống được sử dụng để xử lý dữ liệu độc quyền có thể có nền màn hình màu đen với từ “Độc quyền (Proprietary)” màu trắng và viền rộng màu cam. Hình nền cũng có thể bao gồm các tuyên bố như “Máy tính này đang xử lý dữ liệu độc quyền” và các tuyên bố nhắc nhở người dùng về trách nhiệm của họ trong việc bảo vệ dữ liệu. Trong rất nhiều môi trường an toàn, nhân viên cũng sử dụng các nhãn cho các phương tiện và thiết bị chưa được phân loại. Điều này ngăn ngừa lỗi sơ sót khi thông tin nhạy cảm đã không được đánh dấu. Ví dụ, nếu băng từ dự phòng chứa dữ liệu nhạy cảm không được đánh dấu, người dùng có thể cho rằng băng từ này chỉ chứa dữ liệu chưa được phân loại. Tuy nhiên, nếu tổ chức cũng đang đánh dấu dữ liệu là chưa được phân loại thì phương tiện không được gắn nhãn sẽ dễ bị chú ý và người dùng sẽ xem một băng từ chưa được đánh dấu với sự nghi ngờ. Các tổ chức thường xác định các thủ tục để hạ cấp phương tiện. Ví dụ, nếu một băng từ dự phòng bao gồm thông tin bí mật, một quản trị viên có thể muốn hạ cấp băng từ này xuống thành chưa được phân loại. Tổ chức sẽ xác định các thủ tục đáng tin cậy sẽ xóa băng từ có chứa tất cả dữ liệu có thể sử dụng được. Sau khi quản trị viên xóa băng từ, họ có thể hạ cấp và thay thế các nhãn. Tuy nhiên, nhiều tổ chức nghiêm cấm việc hạ cấp các phương tiện lưu trữ. Ví dụ, chính sách dữ liệu có thể cấm việc hạ cấp một băng từ sao lưu có chứa dữ liệu tối mật. Thay vào đó, chính sách có th ể bắt buộc phải tiêu hủy băng từ này khi nó kết thúc vòng đời. Tương tự, rất hiếm khi hạ cấp một hệ thống. Hay nói cách khác, nếu một hệ thống đang xử lý dữ liệu tối mật, sẽ rất hiếm khi hạ cấp nó và gắn nhãn lại là hệ thống chưa được phân loại. Trong bất kỳ trường hợp 391 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống nào, các thủ tục đã được phê duyệt sẽ cần phải được tạo ra để thông báo cho nhân viên những gì có thể bị hạ cấp và những gì nên bị phá hủy. Nếu phương tiện lưu trữ hoặc hệ thống máy tính cần được hạ cấp xuống phân loại ít nhạy cảm hơn, nó phải được làm sạch bằng các quy trình thích hợp, như được mô tả trong phần “Phá hủy dữ liệu”, ở phần sau của chương này. Tuy nhiên, việc mua các phương tiện lưu trữ hoặc thiết bị mới thường an toàn và dễ dàng hơn thay vì làm theo các bước làm sạch để sử dụng lại. Xử lý Thông tin và Tài sản Nhạy cảm Việc xử lý đề cập đến việc vận chuyển an toàn các phương tiện trong suốt thời gian tồn tại của nó. Nhân sự xử lý dữ liệu theo cách khác nhau dựa trên giá trị và phân loại của nó, và như bạn kỳ vọng, thông tin được phân loại cao cần phải được bảo vệ nhiều hơn. Mặc dù đây là lẽ thường nhưng mọi người vẫn mắc sai lầm. Mọi người thường xuyên quen với việc xử lý thông tin nhạy cảm và trở nên thiếu hiểu biết về việc bảo vệ thông tin đó. Một sự cố thường xảy ra là mất quyền kiểm soát đối với các băng từ sao lưu. Các băng từ sao lưu phải được bảo vệ với mức độ bảo vệ tương tự như dữ liệu mà chúng chứa bên trong. Hay nói cách khác, nếu thông tin bí mật nằm trên băng từ sao lưu, thì băng sao lưu phải được bảo vệ như một tài sản bí mật. Tương tự, dữ liệu đã lưu trữ trên đám mây cần được bảo vệ với cùng mức độ bảo vệ mà dữ liệu được bảo vệ ở địa điểm tại chỗ. Dịch vụ Lưu trữ Đơn giản (Simple Storage Service) của Amazon Web Services (AWS) (S3) là m ột trong những nhà cung cấp dịch vụ đám mây lớn nhất. Dữ liệu được lưu trữ trong các thùng chứa (bucket) AWS, giống như các thư mục trên hệ thống Windows. Cũng giống như bạn việc thiết lập các quyền trên bất kỳ thư mục nào, bạn sẽ thiết lập quyền trên thùng chứa AWS. Thật không may, khái niệm này vượt quá hiểu biết của nhiều người dùng AWS. Ví dụ, một thùng chứa thuộc sở hữu của THSuite, một nhà bán lẻ cây gai dầu, đã tiết lộ PII của hơn 30,000 cá nhân vào đầu năm 2020. Một ví dụ khác từ năm 2020 liên quan đến 900,000 hình ảnh và video trước và sau phẫu thuật thẩm mỹ được lưu trữ trong một thùng chứa không bảo mật. 392 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Rất nhiều hình ảnh và video trong số này bao gồm các góc nhìn rõ ràng về khuôn mặt của bệnh nhân, cùng với tất cả các bộ phận trên cơ thể của họ. Cần có các chính sách và thủ tục để đảm bảo rằng mọi người hiểu cách xử lý dữ liệu nhạy cảm. Điều này bắt đầu bằng cách đảm bảo rằng các hệ thống và phương tiện được dán nhãn một cách thích hợp. Ngoài ra, như Tổng thống Reagan đã có một câu nói nổi tiếng khi thảo luận về quan hệ với Liên Xô, “Hãy tin tưởng, nhưng hãy xác minh”. Chương 17, “Ngăn ngừa và Ứng phó với Sự cố”, thảo luận về tầm quan trọng của việc ghi lại nhật ký, giám sát và kiểm toán. Các biện pháp kiểm soát này xác minh rằng thông tin nhạy cảm được xử lý một cách thích hợp trước khi mất mát đáng kể xảy ra. Nếu xảy ra tổn thất, các nhà điều tra sử dụng các dấu vết kiểm toán để giúp khám phá xem ra điều gì đã xảy ra. Bất kỳ sự cố nào xảy ra do nhân viên đã không xử lý dữ liệu một cách thích hợp cần được nhanh chóng điều tra và các hành động được thực hiện để ngăn chặn sự tái diễn. Giới hạn Thu thập Dữ liệu Một trong những cách dễ dàng nhất để ngăn chặn mất mát dữ liệu đơn giản là không thu thập chúng. Ví dụ, hãy xem xét một công ty thương mại nhỏ cho phép khách hàng mua hàng bằng thẻ tín dụng. Công ty này sử dụng một bộ xử lý thẻ tín dụng để xử lý các khoản thanh toán bằng thẻ tín dụng. Nếu công ty chỉ chuyển dữ liệu về thẻ tín dụng cho bộ xử lý để phê duyệt và không bao giờ lưu trữ nó trong một máy chủ của công ty, công ty có thể không bao giờ mất dữ liệu về thẻ tín dụng do bị phạm [dữ liệu]. Ngược lại, hãy tưởng tượng về một công ty thương mại khác đang bán những sản phẩm trực tuyến. Mỗi lần một khách hàng đặt mua một đơn hàng, công ty sẽ thu thập càng nhiều thông tin càng tốt về khách hàng, chẳng hạn như tên, địa chỉ email, địa chỉ thực tế, số điện thoại, dữ liệu thẻ tín dụng, v.v… Công ty này bị vi phạm dữ liệu và tất cả những dữ liệu này đã bị lộ, dẫn đến những trách nhiệm pháp lý đáng kể cho công ty. Hướng dẫn là rất rõ ràng. Nếu dữ liệu không có một mục đích sử dụng rõ ràng, hãy đừng thu thập và lưu trữ chúng. Đây cũng là lý do t ại sao nhiều quy định về quyền riêng tư đề cập đến việc hạn chế thu thập dữ liệu. 393 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Vị trí Dữ liệu Vị trí dữ liệu đề cập đến vị trí của các bản sao lưu dữ liệu hoặc các bản sao của dữ liệu. Hãy tưởng tượng về địa điểm kinh doanh chính c ủa một tổ chức nhỏ là ở Norfolk, Virginia. T ổ chức lưu trữ tất cả dữ liệu tại chỗ. Tuy nhiên, họ đang thực hiện sao lưu dữ liệu một cách thường xuyên. Cách tốt nhất là giữ một bản sao lưu tại chỗ và một bản sao lưu khác ngoại biên. Nếu một thảm họa, chẳng hạn như hỏa hoạn, phá hủy địa điểm kinh doanh chính, tổ chức sẽ vẫn có một bản sao lưu được lưu trữ ở ngoại biên. Quyết định về khoảng cách để lưu trữ các bản sao lưu ngoại biên cần phải được cân nhắc. Nếu nó được lưu trữ trong một cơ sở kinh doanh nằm trong cùng một tòa nhà, nó có thể bị phá hủy trong cùng một đám cháy. Ngay cả khi bản sao lưu đã được cất giữ cách đó 5 dặm, có thể một cơn bão hoặc lũ lụt có thể đồng thời phá hủy cả hai địa điểm. Một số tổ chức duy trì dữ liệu trong các trung tâm dữ liệu lớn. Việc nhân bản dữ liệu này sang một hoặc nhiều trung tâm dữ liệu khác là điều phổ biến để duy trì tính sẵn sàng của những dữ liệu quan trọng. Các trung tâm dữ liệu này thường được đặt tại các khu vực vị trí địa lý riêng biệt. Khi sử dụng lưu trữ trên đám mây để sao lưu, một số tổ chức có thể cần xác minh vị trí [thực tế] của bộ lưu trữ đám mây để đảm bảo nó ở một vị trí địa lý riêng biệt. Lưu trữ Dữ liệu Nhạy cảm Dữ liệu nhạy cảm phải được lưu trữ theo cách mà nó được bảo vệ khỏi bất kỳ hình thức mất mát nào. Các phương pháp mã hóa ngăn chặn các thực thể trái phép truy cập vào dữ liệu ngay cả khi họ có được cơ sở dữ liệu hoặc tài sản phần cứng. Nếu dữ liệu nhạy cảm được lưu trữ trên các phương tiện vật lý như ổ đĩa di động hoặc băng từ sao lưu, nhân viên nên tuân thủ các quy tắc bảo mật vật lý cơ bản để ngăn ngừa tổn thất do trộm cắp. Điều này bao gồm việc cất giữ các thiết bị này trong két hoặc hầm có khóa hoặc trong một phòng an toàn có một số biện pháp kiểm soát bảo mật vật lý bổ sung. Ví dụ, phòng máy chủ bao gồm các biện pháp bảo mật vật lý để ngăn việc truy cập trái phép, vì vậy việc lưu trữ phương 394 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống tiện di động trong một tủ có khóa trong phòng máy chủ sẽ mang lại khả năng bảo vệ mạnh mẽ. Ngoài ra, các biện pháp kiểm soát môi trường cũng bảo vệ các phương tiện lưu trữ. Điều này bao gồm các điều khiển nhiệt độ và độ ẩm như hệ thống sưởi ấm, thông gió và điều hòa không khí (HVAC). Đây là một điểm mà người dùng cuối thường hay bỏ quên: giá trị của bất kỳ dữ liệu nhạy cảm nào lớn hơn nhiều so với giá trị của phương tiện đang lưu giữ dữ liệu nhạy cảm. Nói cách khác, sẽ tiết kiệm chi phí hơn khi mua những phương tiện lưu trữ chất lượng cao, đặc biệt nếu dữ liệu sẽ được lưu trữ trong thời gian dài, chẳng hạn như trên băng từ sao lưu. Tương tự như vậy, việc mua ổ đĩa flash USB chất lượng cao có mã hóa tích hợp cũng đáng giá. Một số ổ flash USB này bao gồm cơ chế xác thực sinh trắc học sử dụng dấu vân tay, giúp tăng cường khả năng bảo vệ. Mã hóa dữ liệu nhạy cảm cung cấp thêm một lớp bảo vệ bổ sung và nên được cân nhắc cho bất kỳ dữ liệu đang được lưu trữ nào. Nếu dữ liệu được mã hóa, nó khiến cho những kẻ tấn công khó truy cập hơn, thậm chí ngay cả khi nó bị đánh cắp. Phá hủy Dữ liệu Khi một tổ chức không còn cần đến dữ liệu nhạy cảm, nhân viên nên phá hủy nó. Việc phá hủy đúng cách đảm bảo rằng nó không thể rơi vào tay kẻ xấu và dẫn đến việc tiết lộ [dữ liệu] trái phép. Dữ liệu được phân loại cao đòi hỏi các bước khác nhau để phá hủy nó so với dữ liệu đã được phân loại ở cấp thấp hơn. Chính sách bảo mật hoặc chính sách dữ liệu của tổ chức phải xác định các phương pháp có thể được chấp nhận để phá hủy dữ liệu dựa trên phân loại của dữ liệu. Ví dụ, một tổ chức có thể yêu cầu phá hủy hoàn toàn phương tiện chứa dữ liệu được phân loại cao, nhưng cho phép nhân viên sử dụng các công cụ phần mềm để ghi đè lên các tập tin dữ liệu được phân loại ở cấp độ thấp hơn. NIST SP 800-88 Rev. 1, “Hướng dẫn Làm sạch Phương tiện” (Guidelines for Media Sanitization), cung cấp những thông tin chi tiết toàn diện về các phương pháp 395 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống làm sạch khác nhau. Các phương pháp làm sạch (chẳng hạn như xóa, thanh lọc và phá hủy) giúp đảm bảo rằng dữ liệu không thể được khôi phục. Các bước làm sạch thích hợp sẽ loại bỏ tất cả dữ liệu nhạy cảm trước khi xử lý máy tính. Điều này bao gồm việc loại bỏ hoặc phá hủy dữ liệu trên bộ nhớ không mất dữ liệu (nonvolatile), ổ cứng bên trong và ổ cứng thể rắn (SSD). Nó cũng bao gồm việc loại bỏ tất cả các đĩa CD/DVD và các ổ đĩa Universal Serial Bus (USB). Làm sạch có thể đề cập đến việc phá hủy phương tiện lưu trữ hoặc sử dụng một phương pháp đáng tin cậy để xóa dữ liệu đã phân loại khỏi phương tiện mà không cần phá hủy nó. Loại bỏ Dữ liệu Còn sót lại Dữ liệu còn sót lại (data remanence) là dữ liệu vẫn còn lại trên phương tiện sau khi dữ liệu được cho là đã bị xóa. Nó thường đề cập đến dữ liệu trên một ổ cứng dưới dạng từ thông dư hoặc không gian chùng. Nếu phương tiện bao gồm bất kỳ loại dữ liệu riêng tư và nhạy cảm nào, điều quan trọng là phải loại bỏ dữ liệu còn sót lại. Không gian chùng là không gian chưa được sử dụng trong một cụm đĩa. Hệ điều hành lưu trữ các tập tin trên ổ đĩa cứng theo cụm (cluster), là nhóm các cung (sector) (đơn vị lưu trữ nhỏ nhất trên ổ đĩa cứng). Kích thước cung và cụm khác nhau, nhưng đối với ví dụ này, hãy tưởng tượng kích thước cụm là 4,096-byte và kích thước tập tin là 1,024-byte. Sau khi lưu trữ tập tin, cụm sẽ có 3,072byte không gian chưa sử dụng hoặc còn được gọi là không gian chùng. Một số Hệ điều hành lấp đầy không gian chùng này bằng dữ liệu từ bộ nhớ. Nếu người dùng mới đang làm việc trên một tập tin tối mật một lúc trước và sau đó tạo ra một tập tin nhỏ chưa được phân loại, tập tin nhỏ đó có thể chứa dữ liệu tối mật được lấy ra từ bộ nhớ. Đây là một trong những lý do tại sao nhân viên không bao giờ nên xử lý dữ liệu đã được phân loại trên các hệ thống chưa được phân loại. Người dùng sành sỏi cũng có thể ẩn dữ liệu trong không gian chùng bằng các công cụ như bmap (Linux) và slacker (Windows). Việc sử dụng các công cụ hệ thống để xóa dữ liệu thường để lại phần lớn dữ liệu còn lại trên phương tiện lưu trữ, và các công cụ có sẵn rộng rãi có thể dễ dàng 396 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống phục hồi dữ liệu đó. Ngay cả khi bạn sử dụng các công cụ tinh vi để ghi đè lên phương tiện, dấu vết của dữ liệu gốc có thể vẫn còn dưới dạng từ trường ít quan sát được hơn. Điều này giống như một hình ảnh ma có thể vẫn còn trên một số màn hình TV và máy tính cũ hơn n ếu cùng một dữ liệu được hiển thị trong thời gian dài. Các chuyên gia điều tra pháp y và những kẻ tấn công có các công cụ mà họ có thể sử dụng để truy xuất dữ liệu này ngay cả sau khi được cho là đã bị ghi đè. Một cách để xóa dữ liệu còn sót lại là dùng bộ khử từ. Bộ khử từ tạo ra một từ trường mạnh, từ trường này sẽ sắp xếp lại từ trường trong các phương tiện từ tính như ổ cứng truyền thống, băng từ và ổ đĩa mềm. Bộ khử từ sử dụng nguồn điện sẽ ghi đè các từ trường này một cách đáng tin cậy và loại bỏ dữ liệu còn sót lại. Tuy nhiên, chúng chỉ có hiệu quả trên các phương tiện từ tính. Ngược lại, SSD sử dụng mạch tích hợp thay vì từ thông trên đĩa quay. Vì lý do này, việc khử từ SSD sẽ không xóa dữ liệu. Tuy nhiên, ngay cả khi sử dụng các phương pháp khác để xóa dữ liệu khỏi các ổ SSD, phần còn lại của dữ liệu thường vẫn còn tồn tại. Một số SSD bao gồm các lệnh xóa tích-hợp để làm sạch toàn bộ đĩa, nhưng thật không may, các lệnh này không có hiệu quả trên một số SSD của các nhà sản xuất khác nhau. Vì những rủi ro này, phương pháp tốt nhất để làm sạch SSD là phá hủy nó. Cơ quan An ninh Quốc gia Hoa Kỳ (U.S. National Security Agency NSA) yêu cầu tiêu hủy các ổ SSD bằng các bộ phân hủy đã được phê duyệt. Những bộ phân hủy được chấp thuận đã cắt nhỏ ổ SSD thành kích thước 2 mi-limét (mm) hoặc nhỏ hơn. Nhiều tổ chức bán nhiều giải pháp phá hủy và làm sạch thông tin được sử dụng bởi các cơ quan chính phủ và tổ chức trong khu vực tư nhân mà NSA đã phê duyệt. Một phương pháp khác để bảo vệ SSD là đảm bảo rằng tất cả dữ liệu đã được lưu trữ đều được mã hóa. Nếu một phương pháp làm sạch không loại bỏ được tất cả dữ liệu còn sót lại, thì dữ liệu còn lại sẽ không thể đọc được. 397 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Hãy cẩn trọng khi thực hiện bất kỳ loại quy trình dọn dẹp, thanh lọc hoặc làm sạch nào. Người vận hành hoặc công cụ liên quan đến hoạt động có thể đã không thực hiện đúng nhiệm vụ loại bỏ hoàn toàn dữ liệu ra khỏi phương tiện lưu trữ. Phần mềm có thể có sai sót, nam châm có thể bị lỗi và có thể được sử dụng một cách không đúng đắn. Hãy luôn xác minh rằng kết quả mong muốn đã đạt được sau khi thực hiện bất kỳ quá trình vệ sinh nào. Các phương pháp Phá hủy Dữ liệu Phổ biến Danh sách dưới đây bao gồm một số thuật ngữ tương ứng với việc phá hủy dữ liệu: Xóa (Erasing) Xóa phương tiện lưu trữ chỉ đơn giản là thực hiện hành động xóa (delete) hoặc tiến trình loại bỏ để loại bỏ thư mục hoặc danh mục liên kết tới dữ liệu. Dữ liệu thực tế vẫn còn trên ổ cứng. Khi những tập tin mới được ghi lên phương tiện lưu trữ, cuối cùng hệ thống sẽ ghi đè lên dữ liệu đã xóa, tuy nhiên, tùy thuộc vào dung lượng của ổ cứng, bao nhiêu không gian trống mà nó đang có, và một vài yếu tố khác, dữ liệu có thể đã không bị ghi đè trong vài tháng. Thông thườngm bất kỳ ai cũng có thể truy xuất dữ liệu bằng các công cụ khôi phục xóa sẵn có rộng rãi. Làm sạch (Clearing) Làm sạch, hoặc ghi đè (overwriting), là một tiến trình chuẩn bị để tái sử dụng phương tiện lưu trữ và đảm bảo rằng dữ liệu đã bị loại bỏ không thể được khôi phục bằng cách sử dụng các công cụ khôi phục truyền thống. Khi phương tiện lưu trữ đã được làm sạch, những dữ liệu chưa được phân loại được ghi lên tất cả những vị trí có thể đánh địa chỉ trên phương tiện lưu trữ. Một phương pháp là ghi một ký tự đơn, hoặc một mẫu bit cụ thể, trên toàn bộ phương tiện. Một phương pháp kỹ lưỡng hơn viết một ký tự duy nhất trên toàn bộ phương tiện, ghi phần bổ sung của ký tự trên toàn bộ phương tiện và kết thúc bằng cách ghi các bit ngẫu nhiên trên toàn bộ phương tiện. Phương pháp này lặp lại điều này trong ba tiến trình riêng biệt, như trong Hình 5.2. Mặc dù điều này nghe có vẻ như dữ liệu gốc sẽ bị mất đi vĩnh viễn, nhưng có thể lấy lại một số 398 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống dữ liệu gốc bằng cách sử dụng các kỹ thuật phòng thí nghiệm hoặc điều tra pháp y phức tạp. Ngoài ra, không phải tất cả các kiểu lưu trữ dữ liệu đều đáp ứng tốt với các kỹ thuật xóa. Ví dụ, các khu vực (sector) còn trống để dự phòng (spare) trên ổ cứng, các khu vực được gắn nhãn là “xấu” và các khu vực trên nhiều ổ SSD hiện đại không nhất thiết phải bị xóa và có thể vẫn giữ lại dữ liệu. HÌNH 5.2 Làm sạch một đĩa cứng Thanh lọc (Purging) Thanh lọc là một hình thức xóa dữ liệu mạnh hơn nhằm chuẩn bị phương tiện để tái sử dụng trong các môi trường kém bảo mật hơn. Nó cung cấp một mức độ đảm bảo rằng dữ liệu gốc không thể khôi phục được bằng bất kỳ phương pháp nào đã biết. Một tiến trình thanh lọc sẽ lặp lại quá trình xóa nhiều lần và có thể kết hợp nó với một phương pháp khác, chẳng hạn như khử từ, để loại bỏ hoàn toàn dữ liệu. Mặc dù quá trình thanh lọc nhằm mục đích xóa tất cả dữ liệu còn sót lại, nhưng nó không phải lúc nào cũng đáng tin cậy. Ví dụ, chính phủ Hoa Kỳ không coi bất kỳ phương pháp thanh lọc nào là có thể chấp nhận được để thanh lọc dữ liệu tuyệt mật. Phương tiện được dán nhãn tối mật sẽ luôn ở mức tuyệt mật cho đến khi nó bị phá hủy. Khử từ (Degaussing) Một bộ khử từ tạo ra một từ trường mạnh để xóa dữ liệu trên một số phương tiện lưu trữ trong một tiến trình được gọi là 399 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống khử từ. Các kỹ thuật viên thường sử dụng phương pháp khử từ để loại bỏ dữ liệu khỏi băng từ với mục đích đưa băng từ trở lại trạng thái ban đầu. Có thể khử từ các đĩa cứng, nhưng chúng tôi không khuyên b ạn nên làm như vậy. Việc khử từ ổ đĩa cứng thông thường sẽ phá hủy các thiết bị điện tử được sử dụng để truy cập dữ liệu. Tuy nhiên, bạn sẽ không có bất kỳ đảm bảo nào rằng tất cả dữ liệu trên đĩa đã thực sự bị phá hủy. Ai đó có thể mở ổ đĩa [về mặt vật lý] trong một phòng sạch và đặt các đĩa vào một ổ đĩa khác để đọc dữ liệu. Khử từ không ảnh hưởng đến các phương tiện quang học như các đĩa Liên tục Cải tiến Dịch vụ, DVD hoặc SSD. Phá hủy (Destruction) Phá hủy là giai đoạn cuối cùng trong vòng đ ời của phương tiện lưu trữ và là phương pháp làm sạch phương tiện an toàn nhất. Khi phá hủy phương tiện, hãy đảm bảo rằng phương tiện đó không thể được tái sử dụng hoặc sửa chữa và không thể trích xuất dữ liệu từ phương tiện đã bị phá hủy. Các phương pháp phá hủy bao gồm đốt, nghiền, cắt nhỏ, phân hủy và hòa tan bằng cách sử dụng các hóa chất ăn da hoặc axit. Một số tổ chức loại bỏ các đĩa trong ổ đĩa được phân loại cao và tiêu hủy chúng một cách riêng biệt. Khi các tổ chức quyên tặng hoặc bán thiết bị máy tính đã qua sử dụng, họ thường loại bỏ và phá hủy các thiết bị lưu trữ chứa dữ liệu nhạy cảm hơn là tìm cách thanh lọc chúng. Điều này giúp loại bỏ nguy cơ quá trình thanh lọc đã không được hoàn tất, do đó dẫn đến mất tính bảo mật. Giải mật (declassification) liên quan đến bất kỳ tiến trình nào thanh lọc phương tiện hoặc hệ thống để chuẩn bị tái sử dụng trong môi trường chưa được phân loại. Các phương pháp làm sạch có thể được sử dụng để chuẩn bị phương tiện để giải mật, nhưng thường thì những nỗ lực cần thiết để giải mật phương tiện lưu trữ một cách an toàn lớn hơn đáng kể so với chi phí của phương tiện mới cho một môi trường kém an toàn hơn. Ngoài ra, mặc dù không thể khôi phục dữ liệu đã bị xóa bằng bất kỳ phương pháp nào đã biết, nhưng vẫn có khả năng từ 400 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống xa là có sẵn một phương pháp không xác đ ịnh. Thay vì chấp nhận rủi ro, nhiều tổ chức chọn giải mật bất kỳ phương tiện nào và thay vào đó tiêu hủy nó khi không còn cần thiết. Xóa Mật mã (Cryptographic Erasure) Nếu dữ liệu đã được mã hóa trên một thiết bị, bạn có thể sử dụng tính năng xóa hoặc băm nhỏ bằng mật mã để phá hủy dữ liệu. Tuy nhiên, các thuật ngữ này dễ gây ra hiểu nhầm. Chúng không xóa hoặc cắt nhỏ dữ liệu. Thay vào đó, chúng phá hủy khóa mã hóa hoặc cả khóa mã hóa và khóa giải mã nếu cả hai được sử dụng. Khi các khóa mật mã đã bị xóa, dữ liệu vẫn được mã hóa và không thể truy cập được. Khi sử dụng phương pháp này, bạn cũng nên sử dụng thêm phương pháp khác để ghi đè dữ liệu. Nếu mã hóa ban đầu không đủ mạnh, ai đó có thể giải mã nó mà không cần đến khóa mã hóa. Ngoài ra, thường có các bản sao lưu các khóa mật mã và nếu ai đó phát hiện ra khóa dự phòng, họ vẫn có thể truy cập vào dữ liệu. Khi sử dụng lưu trữ đám mây, việc phá hủy khóa mật mã có thể là hình thức xóa an toàn duy nhất có sẵn cho một tổ chức. Đảm bảo Lưu giữ Dữ liệu và Tài sản Thích hợp Các yêu cầu về lưu giữ được áp dụng cho cả dữ liệu hoặc hồ sơ, phương tiện lưu giữ những dữ liệu nhạy cảm, hệ thống xử lý dữ liệu nhạy cảm và nhân viên có quyền truy cập vào dữ liệu nhạy cảm. Lưu giữ hồ sơ và lưu giữ phương tiện là phần tử quan trọng nhất của việc lưu giữ tài sản. Chương 3, "Hoạch định Liên tục Kinh doanh", bao gồm một chương trình hồ sơ mang tính sống còn, có thể được tham khảo để xác định hồ sơ cần lưu giữ. Lưu giữ hồ sơ (record retention) liên quan đến việc giữ lại và duy trì những thông tin quan trọng miễn là nó còn cần thiết và phá hủy nó khi không còn cần thiết nữa. Chính sách bảo mật hoặc chính sách dữ liệu của tổ chức thường xác định khung thời gian lưu giữ. Một số luật và quy định chỉ định khoảng thời gian mà một tổ chức nên lưu giữ dữ liệu, chẳng hạn như ba năm, bảy năm hoặc thậm chí là vô thời hạn. Các tổ chức có trách nhiệm xác định các luật và quy định áp 401 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống dụng và tuân thủ chúng. Tuy nhiên, ngay cả khi không có các yêu cầu từ bên ngoài, tổ chức vẫn nên xác định thời gian lưu giữ dữ liệu. Ví dụ, nhiều tổ chức yêu cầu lưu giữ tất cả nhật ký kiểm toán trong một khoảng thời gian cụ thể. Khoảng thời gian này có thể được quy định bởi luật, quy định, yêu cầu liên quan đến quan hệ đối tác với các tổ chức khác hoặc các quyết định quản lý nội bộ. Các nhật ký kiểm toán này cho phép tổ chức xây dựng lại các chi tiết của các sự cố bảo mật trong quá khứ. Khi một tổ chức không có chính sách lưu giữ, quản trị viên có thể xóa dữ liệu có giá trị sớm hơn thời gian mà các nhà quản lý dự kiến hoặc cố gắng lưu giữ dữ liệu một cách vô thời hạn. Một tổ chức lưu giữ dữ liệu càng lâu thì càng t ốn nhiều chi phí về phương tiện, địa điểm để lưu trữ dữ liệu và nhân sự để bảo vệ dữ liệu đó. Kết-thúc-vòng-đời (end-of-life - EOL), hết-hạn-hỗ-trợ (end-of-support - EOS) và hết-hạn-sử-dụng (end-of-service-life - EOSL) có thể áp dụng cho cả phần mềm lẫn phần cứng. Trong bối cảnh lưu giữ tài sản, chúng áp dụng trực tiếp cho các tài sản phần cứng. Hầu hết các nhà cung cấp gọi EOL là thời điểm họ ngừng cung cấp một sản phẩm để bán ra thị trường. Tuy nhiên, họ vẫn sẽ hỗ trợ cho các sản phẩm mà họ đã bán, ít nhất là trong một khoảng thời gian. EOS đề cập đến thời điểm sự hỗ trợ này kết thúc. Hầu hết phần cứng đều có chu kỳ làm mới dựa trên khung thời gian EOL và EOS. Các tổ chức đôi khi giữ lại phần cứng cũ để truy cập dữ liệu cũ hơn, chẳng hạn như dữ liệu trên các băng từ. Kịch bản trong Thế giới Thực Chính sách Lưu giữ có thể Giảm Trách nhiệm pháp lý Việc lưu lại dữ liệu lâu hơn mức cần thiết cũng làm xuất hiện những vấn đề pháp lý không cần thiết. Ví dụ, nhà sản xuất máy bay Boeing đã từng là mục tiêu của một vụ kiện tập thể. Các luật sư của những người yêu cầu bồi thường được biết rằng Boeing có một kho chứa 14,000 băng từ sao lưu email và những băng từ có liên quan theo yêu cầu. Không phải tất cả các cuộn băng đều có liên quan đến vụ kiện, nhưng trước tiên Boeing phải khôi phục lại 14,000 cuốn băng và kiểm tra nội dung trước khi họ có thể lật lại vụ kiện. Cuối cùng, Boeing 402 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống đã giải quyết vụ kiện với số tiền 92,5 triệu USD và các chuyên gia phân tích suy đoán rằng có thể sẽ có một kết quả khác nếu 14,000 cuộn băng đó không tồn tại. Vụ kiện Boeing là một ví dụ điển hình, nhưng nó không phải là trường hợp duy nhất. Những sự kiện này đã thúc đẩy nhiều công ty thực hiện các chính sách lưu giữ email chủ động. Không có gì lạ khi chính sách email yêu cầu xóa tất cả các email cũ hơn sáu tháng. Các chính sách này thường được thực hiện bằng cách sử dụng các công cụ tự động tìm kiếm các email cũ và xóa chúng mà không cần phải có bất kỳ sự can thiệp nào của người dùng hoặc quản trị viên. Một công ty không thể xóa bằng chứng tiềm năng một cách hợp pháp sau khi đơn kiện được đệ trình. Tuy nhiên, nếu một chính sách lưu giữ quy định việc xóa dữ liệu sau một khoảng thời gian cụ thể, thì việc xóa dữ liệu này trước khi đơn kiện được gửi là hợp pháp. Thực tiễn này không chỉ ngăn chặn sự lãng phí tài nguyên để lưu trữ những dữ liệu không cần thiết mà còn cung cấp thêm một lớp bảo vệ pháp lý chống lại việc lãng phí tài nguyên b ằng cách xem xét những thông tin cũ, không liên quan. Các Phương pháp B ảo vệ Dữ liệu Một trong những phương pháp chính để bảo vệ tính bảo mật của dữ liệu là mã hóa, như đã được thảo luận trước đó trong phần “Hiểu được Trạng thái của Dữ liệu” của chương này. Các phương pháp DLP (đư ợc thảo luận trước đó trong phần “Ngăn ngừa Mất mát Dữ liệu” của chương) giúp ngăn dữ liệu rời khỏi mạng hoặc thậm chí rời khỏi một máy tính. Phần này đề cập đến một số phương pháp bảo vệ dữ liệu bổ sung. Quản lý Quyền Kỹ thuật số (Digital Rights Management) Phương pháp quản lý quyền kỹ thuật số cố gắng cung cấp sự bảo vệ bản quyền đối với các tác phẩm có bản quyền. Mục đích là để ngăn chặn việc sử dụng, sửa đổi và phân phối trái phép các tác phẩm có bản quyền chẳng hạn như những tài sản sở hữu trí tuệ. Dưới đây là một số phương pháp liên quan đến các giải pháp DRM: 403 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Giấy phép DRM (DRM License) Một giấy phép cấp quyền truy cập vào một sản phẩm và xác đ ịnh các điều khoản sử dụng. Giấy phép DRM thường là một tập tin nhỏ bao gồm các điều khoản sử dụng, cùng với khóa giải mã để mở khóa quyền truy cập vào sản phẩm. Xác thực Trực tuyến Liên tục (Persistent Online Authentication) Xác thực trực tuyến liên tục (hay còn được gọi là DRM luôn-bật) yêu cầu mọt hệ thống được kết nối với Internet để sử dụng sản phẩm. Hệ thống kết nối định kỳ với máy chủ xác thực và nếu kết nối hoặc xác thực không thành công, DRM sẽ khóa việc sử dụng sản phẩm. Dấu vết Kiểm toán Liên tục (Continuous Audit Trail) Dấu vết kiểm toán liên tục theo dõi tất cả việc sử dụng sản phẩm có bản quyền. Khi kết hợp với sự kiên trì, nó có thể phát hiện ra sự lạm dụng, chẳng hạn như sử dụng đồng thời một sản phẩm nhưng ở hai vị trí địa lý khác nhau. Hết hạn Tự động (Automatic Expiration) Nhiều sản phẩm được bán trên cơ sở đăng ký thuê bao. Ví dụ, bạn thường có thể thuê phim phát trực tuyến mới, nhưng những phim này chỉ sẵn sàng trong một thời gian giới hạn, chẳng hạn như 30 ngày. Khi thời gian đăng ký thuê bao kết thúc, chức năng tự động hết hạn sẽ chặn mọi quyền truy cập tiếp theo. Ví dụ, hãy tưởng tượng rằng bạn đã mơ một ý tưởng tuyệt vời cho một cuốn sách. Khi thức dậy, bạn mạnh dạn viết ra tất cả những gì bạn nhớ được. Trong năm tiếp theo, bạn đã dành mọi khoảnh khắc rảnh rỗi để phát triển ý tưởng và cuối cùng đã xuất bản cuốn sách của mình. Để giúp một số người đọc sách của bạn dễ dàng, bạn đã đưa ra một phiên bản Định dạng Tài liệu Di động (Portable Document Format - PDF) của sách. Bạn đã cảm thấy rất thích thú khi thấy quyển sách của mình tăng vọt lên danh sách bán chạy nhất. Bạn đang trên đà tự do tài chính để phát triển một ý tưởng tuyệt vời khác đã đến với bạn trong một giấc mơ khác. Thật không may, ai đó đã sao chép tập tin PDF và đăng nó trên dark web. Mọi người từ khắp nơi trên thế giới đã tìm thấy nó và sau đó bắt đầu bán nó trực tuyến với giá rẻ bất ngờ, tuyên bố rằng họ được bạn cho phép làm như vậy. Dĩ 404 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống nhiên là bạn đã không cho phép họ. Thay vào đó, họ đang thu tiền từ năm làm việc của bạn, trong khi doanh thu bán hàng của bạn bắt đầu sụt giảm. Kiểu sao chép và phân phối này, thường được gọi là vi phạm bản quyền, đã làm giàu cho bọn tội phạm trong nhiều năm. Chúng không chỉ bán những cuốn sách chúng không viết ra mà còn sao chép và bán nhạc, video, trò chơi điện tử, phần mềm, v.v… Một số phương pháp DRM cố gắng ngăn chặn việc sao chép, in ấn và chuyển tiếp các tài liệu đã được bảo vệ. Hình chìm kỹ thuật số đôi khi được đặt trong các tập tin âm thanh hoặc video bằng cách sử dụng kỹ thuật stenography. Chúng không ngăn chặn việc sao chép nhưng có thể được sử dụng để phát hiện việc sao chép trái phép đến tập tin. Chúng cũng có thể được sử dụng để thực thi bản quyền và truy tố. Tương tự, siêu dữ liệu đôi khi được đặt vào các tập tin để xác định người mua. Rất nhiều tổ chức và cá nhân phản đối DRM. Họ cho rằng nó hạn chế việc sử dụng hợp lý các tài liệu mà họ đã mua. Ví dụ, sau khi trả tiền cho một số bài hát, họ muốn sao chép chúng vào cả máy nghe nhạc MP3 và điện thoại thông minh. Ngoài ra, những người chống lại DRM cho rằng nó không hiệu quả đối với những người muốn vượt qua nó mà thay vào đó làm phức tạp việc sử dụng cho những người dùng hợp pháp. Chương 4 trình bày sâu hơn về tài sản sở hữu trí tuệ, bản quyền, nhãn hiệu, bằng sáng chế và bí mật thương mại. Các phương pháp DRM được sử dụng để bảo vệ dữ liệu có bản quyền, nhưng chúng không được sử dụng để bảo vệ nhãn hiệu, bằng sáng chế hoặc bí mật kinh doanh. Trung gian bảo mật Truy cập Đám mây Trung gian bảo mật truy cập đám mây (CASB) là phần mềm được đặt một cách logic giữa người dùng và các tài nguyên d ựa-trên-đám-mây. Nó có thể là tại-chỗ hoặc trong đám mây. Bất kỳ ai truy cập vào đám mây đều phải đi qua phần mềm CASB. Nó giám sát tất cả các hoạt động và thực thi các chính sách bảo mật do quản trị viên xác định. 405 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Ví dụ đơn giản, hãy tưởng tượng về một công ty đã quyết định sử dụng một nhà cung cấp đám mây để lưu trữ dữ liệu nhưng các nhà quản lý lại muốn tất cả dữ liệu được lưu trữ trên đám mây phải được mã hóa. CASB có thể giám sát tất cả dữ liệu đi lên đám mây và đảm bảo rằng dữ liệu đó đi đến và được lưu trữ ở định dạng được mã hóa. CASB thường sẽ bao gồm các biện pháp kiểm soát xác thực và cấp phép và đảm bảo rằng chỉ có những người dùng đã được cấp phép mới có thể truy cập vào các tài nguyên đám mây. CASB cũng có thể ghi lại mọi hoạt động truy cập, giám sát hoạt động và gửi cảnh báo về những hoạt động đáng ngờ. Nói chung, bất kỳ biện pháp kiểm soát bảo mật nào mà một tổ chức đã tạo ra trong nội bộ đều có thể được sao chép sang CASB. Điều này bao gồm bất kỳ chức năng DLP nào đã được triển khai bởi một tổ chức. Các giải pháp CASB cũng có thể có hiệu quả trong việc phát hiện CNTT bóng tối. Công nghệ thông tin bóng tối là việc sử dụng các tài nguyên CNTT (chẳng hạn như các dịch vụ đám mây) mà không có sự chấp thuận hoặc thậm chí không nhận thức được của bộ phận CNTT. Nếu bộ phận CNTT không nhận thức được về việc sử dụng thì bộ phận này không thể quản lý nó. Một cách mà giải pháp CASB có thể phát hiện CNTT bóng tối là thu thập và phân tích nhật ký từ tường lửa mạng và proxy web. Chương 16, “Quản lý Vận hành Bảo mật”, bao gồm các chủ đề đám mây khác. Sử dụng biệt danh (Pseudonymization) Pseudonymization đề cập đến quá trình sử dụng biệt danh (pseudonym) để đại diện cho dữ liệu khác. Khi bút danh được thực hiện một cách hiệu quả, nó có thể dẫn đến các yêu cầu ít nghiêm ngặt hơn mà nếu không sẽ được áp dụng theo Quy định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu (EU) (GDPR), đã được đề cập trong Chương 4. 406 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống GDPR của Liên minh Châu Âu thay thế cho Chỉ thị Bảo vệ Dữ liệu Châu Âu (European Data Protection Directive – Directive 95/46/EC), và có hiệu lực thi hành vào ngày 25/5/2018. Nó áp dụng cho tất cả các quốc gia thành viên của EU và cho mọi quốc gia đang truyền dữ liệu đến và đi khỏi EU và bất kỳ ai đang lưu trú tại EU. Biệt danh là một bí danh. Ví dụ, tác giả của Harry Potter, J. K. Rowling đã xuất bản một cuốn sách có tựa đề The Cuckoo’s Calling (tạm dịch Tiếng gọi của Chim cúc cu) dưới bút danh Robert Galbraith. Không một ai biết đó là cô ấy, ít nhất là trong vài tháng. Có một ai đó đã tiết lộ rằng Galbraith là một bút danh, và người đại diện của cô sau đó đã xác nhận tin đồn. Bây giờ, nếu bạn đã biết được bút danh, bạn sẽ biết rằng bất kỳ cuốn sách nào được cho là của Robert Galbraith đều được viết bởi J. K. Rowling. Tương tự, biệt danh có thể ngăn chặn dữ liệu từ việc nhận dạng trực tiếp một thực thể, chẳng hạn như một cá nhân. Ví dụ, hãy xem xét hồ sơ y tế do văn phòng bác sĩ lưu giữ. Thay vì bao gồm các thông tin cá nhân như tên, đ ịa chỉ và số điện thoại của bệnh nhân, nó chỉ có thể gọi bệnh nhân là Bệnh nhân 23456 trong hồ sơ bệnh án. Văn phòng bác sĩ vẫn cần thông tin cá nhân này và nó có thể được lưu giữ trong một cơ sở dữ liệu khác liên kết nó với biệt danh của bệnh nhân (Bệnh nhân 23456). Hãy lưu ý rằng trong ví dụ, biệt danh (Bệnh nhân 23456) đề cập đến một số thông tin về người đó. Một biệt danh cũng có thể đề cập đến một phần thông tin. Ví dụ, bạn có thể sử dụng một biệt danh cho tên và một biệt danh khác cho họ. Điều quan trọng là phải có một tài nguyên khác (chẳng hạn như một cơ sở dữ liệu khác) cho phép bạn xác định dữ liệu gốc bằng cách sử dụng biệt danh. Văn phòng bác sĩ có thể phát hành dữ liệu biệt danh cho các nhà nghiên cứu y tế mà không ảnh hưởng đến thông tin riêng tư của bệnh nhân. Tuy nhiên, văn phòng bác sĩ vẫn có thể đảo ngược lại quy trình để khám phá dữ liệu ban đầu nếu cần. 407 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống GDPR đề cập đến biệt danh là việc thay thế dữ liệu bằng số nhận dạng nhân tạo. Các định danh nhân tạo này chính là các biệt danh. Sử dụng mã thông báo ( Tokenization) Tokenization là sử dụng một mã thông báo (token), thường là một chuỗi ký tự ngẫu nhiên, để thay thế dữ liệu khác. Nó thường được sử dụng với các giao dịch thẻ tín dụng. Ví dụ, hãy tưởng tượng rằng Becky Smith đã liên kết một thẻ tín dụng với điện thoại thông minh của cô ấy. Việc sử dụng mã thông báo với một thẻ tín dụng thường hoạt động như sau: Đăng ký (Registration) Lần đầu tiên, khi cô ấy liên kết thẻ tín dụng với điện thoại thông minh của mình, một ứng dụng trên điện thoại đã gửi số thẻ tín dụng đến bộ xử lý thẻ tín dụng một cách bảo mật. Bộ xử lý thẻ tín dụng đã gửi thẻ tín dụng đến một kho mã thông báo do bộ xử lý thẻ tín dụng kiểm soát. Kho này tạo ra một mã thông báo (một chuỗi ký tự) và ghi lại mã thông báo cùng với số thẻ tín dụng được mã hóa và liên kết nó với điện thoại của người dùng. Sử dụng (Usage) Sau đó, Becky đến một cửa hàng Starbucks và mua một ít cà phê bằng điện thoại thông minh của cô ấy. Điện thoại thông minh của cô ấy chuyển mã thông báo đến hệ thống điểm-bán-hàng (POS). Hệ thống POS gửi mã thông báo đến bộ xử lý thẻ tín dụng để cho phép tính phí. Xác minh (Validation) Bộ xử lý thẻ tín dụng gửi mã thông báo đến kho mã thông báo. Kho mã thông báo trả lời bằng dữ liệu thẻ tín dụng chưa được mã hóa và bộ xử lý thẻ tín dụng sau đó sẽ xử lý khoản phí. Hoàn tất việc bán hàng (Completing the Sale) Bộ xử lý thẻ tín dụng gửi trả lời đến hệ thống POS cho biết khoản phí đã được chấp thuận và ghi có cho người bán đối với giao dịch mua. Trong quá khứ, dữ liệu thẻ tín dụng đã bị chặn lại và đánh cắp tại hệ thống POS. Tuy nhiên, khi mã thông báo được sử dụng, số thẻ tín dụng không bao giờ được 408 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống sử dụng hoặc được biết đến với hệ thống POS. Người dùng chuyển nó một lần đến bộ xử lý thẻ tín dụng và bộ xử lý thẻ tín dụng lưu lại một bản sao đã được mã hóa của dữ liệu thẻ tín dụng cùng với một mã thông báo khớp với thẻ tín dụng này. Sau đó, người dùng xuất trình mã thông báo và b ộ xử lý thẻ tín dụng xác thực mã thông báo thông qua kho mã thông báo. Các trang thương mại điện tử có phí định kỳ cũng sử dụng mã thông báo. Thay vì trang thương mại điện tử thu thập và lưu trữ dữ liệu về thẻ tín dụng, trang này sẽ lấy mã thông báo từ bộ xử lý thẻ tín dụng. Bộ xử lý thẻ tín dụng tạo ra mã thông báo, lưu trữ bản sao đã được mã hóa của dữ liệu thẻ tín dụng và xử lý tính phí giống như cách thực hiện đối với hệ thống POS. Tuy nhiên, trang thương mại điện tử không giữ bất kỳ dữ liệu nhạy cảm nào. Ngay cả khi kẻ tấn công lấy được mã thông báo và cố gắng sử dụng nó, nó sẽ thất bại vì các khoản phí chỉ được chấp nhận từ trang thương mại điện tử. Sử dụng mã thông báo cũng tương t ự như sử dụng biệt danh. Pseudonymization sử dụng biệt danh để đại diện cho các dữ liệu khác. Tokenization hóa sử dụng mã thông báo để đại diện cho dữ liệu khác. Cả biệt danh và mã thông báo đều không có bất kỳ ý nghĩa hoặc giá trị nào bên ngoài quy trình t ạo ra chúng và liên kết chúng với dữ liệu khác. Biệt danh hữu ích nhất khi phát hành một tập dữ liệu cho bên thứ ba (chẳng hạn như các nhà nghiên cứu tổng hợp dữ liệu) mà không tiết lộ bất kỳ dữ liệu quyền riêng tư nào cho bên thứ ba. Mã thông báo cho phép bên th ứ ba (chẳng hạn như một bộ xử lý thẻ tín dụng) biết mã thông báo và dữ liệu gốc. Tuy nhiên, không ai khác biết được đồng thời cả mã thông báo và dữ liệu gốc. Sử dụng ẩn danh (Anonymization) Nếu bạn không cần đến dữ liệu cá nhân, một tùy chọn khác là sử dụng tính năng ẩn danh. Ẩn danh là quá trình loại bỏ tất cả dữ liệu có liên quan để về mặt lý thuyết là không thể xác định chủ thể hoặc cá nhân ban đầu. Nếu được thực hiện một cách hiệu quả, GDPR không còn phù hợp với dữ liệu ẩn danh nữa. Tuy nhiên, có thể rất khó để thực sự ẩn danh được dữ liệu. Các kỹ thuật suy luận dữ liệu 409 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống có thể xác định các cá nhân, ngay cả khi dữ liệu cá nhân đã được loại bỏ. Điều này đôi khi được gọi là xác định lại dữ liệu bị ẩn danh. Ví dụ, hãy xem xét một cơ sở dữ liệu bao gồm một danh sách chứa tất cả các diễn viên đã đóng vai chính hoặc đóng chung trong các b ộ phim trong 75 năm qua, cùng với số tiền họ kiếm được cho mỗi bộ phim. Cơ sở dữ liệu có ba bảng. Bảng Diễn viên bao gồm tên diễn viên, bảng Phim liệt kê tên phim và bảng Thanh toán báo cáo số tiền mà mỗi diễn viên kiếm được cho mỗi bộ phim. Ba bảng được liên kết với nhau để bạn có thể truy vấn cơ sở dữ liệu và dễ dàng xác định số tiền mà bất kỳ diễn viên nào kiếm được cho bất kỳ bộ phim nào. Nếu bạn đã xóa các tên khỏi bảng Diễn viên, bảng này sẽ không còn bao gồm dữ liệu cá nhân nữa nhưng không thực sự được ẩn danh. Ví dụ, Gene Hackman đã tham gia hơn 70 bộ phim và không có diễn viên nào khác tham gia tất cả các bộ phim tương tự. Nếu bạn xác định được những bộ phim đó, bây giờ bạn có thể truy vấn cơ sở dữ liệu và tìm hiểu chính xác số tiền anh ấy kiếm được cho mỗi bộ phim đó. Mặc dù tên của anh ấy đã được loại bỏ khỏi cơ sở dữ liệu và đó là dữ liệu cá nhân rõ ràng duy nhất trong cơ sở dữ liệu, các kỹ thuật suy luận dữ liệu có thể xác định các bản ghi áp dụng cho anh ấy. Tạo ra mặt nạ ngẫu nhiên có thể là một phương pháp ẩn danh dữ liệu hiệu quả. Mặt nạ hoán đổi dữ liệu trong các cột dữ liệu riêng lẻ để các bản ghi không còn đại diện cho dữ liệu thực tế. Tuy nhiên, dữ liệu vẫn duy trì các giá trị tổng hợp có thể được sử dụng cho các mục đích khác, chẳng hạn như mục đích khoa học. Ví dụ, Bảng 5.2 cho thấy bốn bản ghi trong cơ sở dữ liệu với các giá trị ban đầu. Một ví dụ về dữ liệu tổng hợp là độ tuổi trung bình của bốn người, là 29. BẢNG 5.2 Dữ liệu chưa được điều chỉnh trong một cơ sở dữ liệu Tên Họ Tuổi Joe Smith 25 Sally Jones 28 Bob Johnson 37 Maria Doe 26 410 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bảng 5.3 thể hiện các bản ghi sau khi dữ liệu đã được hoán đổi xung quanh, che đi dữ liệu gốc một cách hiệu quả. Lưu ý rằng đây sẽ trở thành một tập hợp ngẫu nhiên của tên, một tập hợp ngẫu nhiên của họ và một tập hợp ngẫu nhiên của tuổi. Nó trông giống như dữ liệu thực, nhưng không có cột nào liên quan đến nhau. Tuy nhiên, vẫn có thể lấy dữ liệu tổng hợp từ bảng. Độ tuổi trung bình vẫn là 29. BẢNG 5.3 Dữ liệu đã được ẩn Tên Họ Tuổi Sally Doe 37 Maria Johnson 25 Bob Smith 28 Joe Jones 26 Một ai đó quen thuộc với tập dữ liệu có thể có khă năng tái cấu trúc một số dữ liệu nếu như bảng chỉ có 3 cột và 4 bản ghi. Tuy nhiên, đây vẫn là một phương pháp hiệu quả về ẩn danh dữ liệu nếu như bảng biểu có hàng tá cột và hàng nghìn bản ghi. Không giống như sử dụng biệt danh và mã thông báo, ẩn danh không thể được đảo ngược. Sau khi dữ liệu đã được ngẫu nhiên hóa bằng cách sử dụng một quy trình ẩn danh, nó không thể được trả về trạng thái ban đầu. Hiểu về các Vai trò (đối với) Dữ liệu Nhiều người trong tổ chức quản lý, xử lý và sử dụng dữ liệu và họ sẽ có các yêu cầu khác nhau dựa trên vai trò của họ. Những tài liệu khác nhau đề cập đến những vai trò này hơi khác nhau một chút. Một số thuật ngữ bạn có thể thấy khớp với thuật ngữ được sử dụng trong một số tài liệu NIST và các thuật ngữ khác khớp với một số thuật ngữ được sử dụng trong GDPR của Liên minh Châu Âu. Khi thích hợp, chúng tôi đã liệt kê nguồn để bạn có thể tìm hiểu sâu hơn một chút về các thuật ngữ này nếu muốn. 411 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Một trong những khái niệm quan trọng nhất ở đây là đảm bảo rằng nhân sự biết ai là người sở hữu thông tin và tài sản. Chủ sở hữu có trách nhiệm chính trong việc bảo vệ dữ liệu và tài sản. Chủ sở hữu Dữ liệu (Data Owner) Chủ sở hữu dữ liệu (đôi khi được gọi là chủ sở hữu tổ chức hoặc nhà quản lý cấp cao) là người có trách nhiệm mang tính tổ chức cuối cùng về dữ liệu. Chủ sở hữu thường là giám đốc điều hành (CEO), chủ tịch hoặc trưởng bộ phận (department head - DH). Chủ sở hữu dữ liệu xác định phân loại của dữ liệu và đảm bảo rằng nó đã được gắn nhãn đúng cách. Họ cũng đảm bảo rằng tổ chức có các biện pháp kiểm soát bảo mật đầy đủ dựa trên phân loại và các yêu cầu về chính sách bảo mật của tổ chức. Chủ sở hữu có thể phải chịu trách nhiệm về sự sơ suất nếu họ không thực hiện trách nhiệm giải trình trong việc thiết lập và thực thi các chính sách bảo mật để bảo vệ và duy trì dữ liệu nhạy cảm. NIST SP 800-18 Rev. 1, “Hướng dẫn Phát triển Kế hoạch Bảo mật cho Hệ thống Thông tin Liên bang (Guide for Developing Security Plans for Federal Information Systems)” nêu ra những trách nhiệm sau đây đối với chủ sở hữu thông tin, vốn có thể được hiểu giống như chủ sở hữu dữ liệu: ▪ Xác lập các quy tắc để sử dụng và bảo vệ một cách thích hợp dữ liệu/thông tin của chủ thể (các quy tắc hành vi). ▪ Cung cấp thông tin đầu vào cho chủ sở hữu hệ thống thông tin liên quan đến các yêu cầu bảo mật và biện pháp kiểm soát bảo mật đối với (các) hệ thống thông tin nơi thông tin đang lưu trú. ▪ Quyết định xem ai có quyền truy cập vào hệ thống thông tin và với những loại đặc quyền hoặc quyền truy cập nào. ▪ Hỗ trợ xác định và đánh giá các biện pháp kiểm soát bảo mật chung nơi thông tin đang lưu trú. 412 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống NIST SP 800-18 thường sử dụng cụm từ “quy tắc hành vi”, vốn tương tự như chính sách sử dụng có thể được chấp thuận (AUP). Cả hai đều nêu rõ trách nhiệm và hành vi mong đợi của các cá nhân và nêu hậu quả của việc không tuân thủ các quy tắc hoặc AUP. Ngoài ra, các cá nhân được yêu cầu định kỳ xác nhận rằng họ đã đọc, hiểu và đồng ý tuân theo các quy tắc hoặc AUP. Nhiều tổ chức đăng những điều này trên một trang web và cho phép người dùng thừa nhận rằng họ hiểu và đồng ý tuân theo chúng bằng cách sử dụng chữ ký số điện tử trực tuyến. Chủ sở hữu Tài sản Chủ sở hữu tài sản (hoặc chủ sở hữu hệ thống) là cá nhân sở hữu tài sản hoặc hệ thống đang xử lý những dữ liệu nhạy cảm. NIST SP 800-18 nêu ra những trách nhiệm sau đối với chủ sở hữu hệ thống: ▪ Phát triển một kế hoạch bảo mật hệ thống cùng phối hợp với chủ sở hữu thông tin, quản trị viên hệ thống và người dùng đầu cuối của chức năng. ▪ Duy trì kế hoạch bảo mật hệ thống và đảm bảo rằng hệ thống đã được triển khai và vận hành theo các yêu cầu bảo mật đã thống-nhất. ▪ Đảm bảo rằng người dùng hệ thống và nhân viên hỗ trợ được đào tạo thích hợp về bảo mật, chẳng hạn như hướng dẫn về các quy tắc hành vi (hoặc AUP). ▪ Cập nhật kế hoạch bảo mật hệ thống bất cứ khi nào diễn ra một thay đổi quan trọng. ▪ Hỗ trợ xác định, triển khai và đánh giá các biện pháp kiểm soát bảo mật chung. Thông thường, chủ sở hữu hệ thống và chủ sở hữu dữ liệu là cùng một người, nhưng đôi khi cũng có thể là người khác, chẳng hạn như một trưởng bộ phận khác (DH). Ví dụ, hãy xem xét một máy chủ web được sử dụng cho thương mại điện tử đang có tương tác với một máy chủ cơ sở dữ liệu ở phía-sau (back-end). Bộ phận phát triển phần mềm có thể thực hiện việc phát triển cơ sở dữ liệu và quản trị cơ sở dữ liệu cho cơ sở dữ liệu và máy chủ cơ sở dữ liệu, nhưng bộ phận CNTT sẽ duy trì máy chủ web. Trong trường hợp này, DH của bộ phận phát 413 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống triển phần mềm là chủ sở hữu hệ thống cho máy chủ cơ sở dữ liệu và DH CNTT là chủ sở hữu hệ thống cho máy chủ web. Tuy nhiên, nếu các nhà phát triển phần mềm làm việc trong bộ phận CNTT, DH CNTT sẽ là chủ sở hữu hệ thống cho cả hai hệ thống. Chủ sở hữu hệ thống chịu trách nhiệm cho việc đảm bảo rằng dữ liệu được xử lý trên hệ thống vẫn được bảo mật. Điều này bao gồm việc xác định mức dữ liệu cao nhất mà hệ thống đang xử lý. Sau đó, chủ sở hữu hệ thống đảm bảo rằng hệ thống được dán nhãn một cách chính xác và có các biện pháp kiểm soát bảo mật thích hợp để bảo vệ dữ liệu. Chủ sở hữu hệ thống tương tác với chủ sở hữu dữ liệu để đảm bảo rằng dữ liệu được bảo vệ khi ở trạng thái nghỉ trên hệ thống, khi truyền đi giữa các hệ thống và đang được sử dụng bởi các ứng dụng hoạt động trên hệ thống. Chủ sở hữu hệ thống và chủ sở hữu dữ liệu là nhân sự cấp cao trong một tổ chức. Do đó, các nhóm quản lý thường bao gồm chủ sở hữu hệ thống và dữ liệu. Điều này đặc biệt hữu ích khi một hệ thống có một chủ sở hữu đối với hệ thống và một chủ sở hữu khác đối với dữ liệu. Chủ sở hữu Doanh nghiệp/Nhiệm vụ Vai trò chủ sở hữu doanh nghiệp/nhiệm vụ được nhìn nhận một cách khác nhau trong các tổ chức khác nhau. NIST SP 800-18 đề cập đến chủ sở hữu doanh nghiệp/nhiệm vụ với tư cách là một nhà quản lý chương trình hoặc chủ sở hữu hệ thống thông tin. Do đó, trách nhiệm của chủ sở hữu doanh nghiệp/nhiệm vụ có thể trùng lặp với trách nhiệm của chủ sở hữu hệ thống hoặc có vai trò tương tự. Chủ sở hữu doanh nghiệp có thể sở hữu các quy trình sử dụng hệ thống được quản lý bởi các tổ chức khác. Ví dụ, bộ phận bán hàng có thể là chủ sở hữu doanh nghiệp, nhưng bộ phận CNTT và bộ phận phát triển phần mềm có thể là chủ sở hữu hệ thống đối với các hệ thống được sử dụng trong quy trình bán hàng. Hãy tưởng tượng rằng bộ phận bán hàng tập trung vào bán hàng trực tuyến bằng cách sử dụng trang web thương mại điện tử và trang web truy cập vào một máy chủ cơ sở dữ liệu phía-sau. Như trong ví dụ trước, bộ phận CNTT quản lý máy chủ web với tư cách là chủ sở hữu hệ thống của nó, và bộ phận 414 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống phát triển phần mềm duy trì máy chủ cơ sở dữ liệu với tư cách là chủ sở hữu hệ thống của nó. Mặc dù bộ phận bán hàng không sở hữu các hệ thống này, nhưng bộ phận này sở hữu các quy trình kinh doanh t ạo ra doanh s ố bán hàng bằng cách sử dụng các hệ thống này. Trong các doanh nghiệp, chủ sở hữu doanh nghiệp có trách nhiệm đảm bảo rằng các hệ thống mang lại giá trị cho tổ chức. Điều này nghe có vẻ hiển nhiên. Tuy nhiên, hãy so sánh điều này với các bộ phận CNTT. Nếu có bất kỳ cuộc tấn công hoặc vụ vi phạm dữ liệu thành công nào, lỗi có thể thuộc về họ [các bộ phận CNTT]. Các bộ phận CNTT thường đề xuất các biện pháp kiểm soát bảo mật hoặc các hệ thống không mang lại giá trị tức thì cho tổ chức nhưng làm giảm rủi ro tổng thể. Chủ sở hữu doanh nghiệp chịu trách nhiệm đánh giá các đề xuất này và có thể quyết định rằng tổn thất tiềm ẩn liên quan đến rủi ro mà họ loại bỏ sẽ nhỏ hơn tổn thất doanh thu mà những rủi ro sẽ gây ra. Một cách khác để xem xét điều này là bằng cách so sánh xung đ ột giữa các trung tâm chi phí và trung tâm lợi nhuận. Bộ phận CNTT không tạo ra doanh thu. Thay vào đó, nó là một trung tâm chi phí gây ra chi phí. Ngược lại, phía kinh doanh tạo ra doanh thu là trung tâm lợi nhuận. Chi phí do bộ phận CNTT tạo ra có thể giảm rủi ro, nhưng chúng ăn mòn l ợi nhuận do phía kinh doanh tạo ra. Phía doanh nghiệp có thể xem bộ phận IT đang tiêu tiền, làm giảm lợi nhuận và khó tạo ra lợi nhuận hơn cho doanh nghiệp. Tương tự, bộ phận CNTT có thể nghĩ rằng phía doanh nghiệp không quan tâm đến việc giảm thiểu rủi ro, ít nhất là cho đến khi một sự cố bảo mật tốn kém xảy ra. Các tổ chức thường triển khai các phương pháp quản trị CNTT như Mục tiêu Kiểm soát đối với Thông tin và Công nghệ Liên quan (COBIT). Những phương pháp này giúp chủ sở hữu doanh nghiệp và chủ sở hữu nhiệm vụ cân bằng các yêu cầu kiểm soát bảo mật với các nhu cầu kinh doanh hoặc nhu cầu nhiệm vụ. Mục tiêu chung là cung cấp một ngôn ngữ chung mà tất cả các bên liên quan có thể sử dụng để đáp ứng các nhu cầu về bảo mật và nhu cầu về kinh doanh. Bộ Xử lý Dữ liệu và Người Kiểm soát Dữ liệu Nói chung, một bộ xử lý dữ liệu là bất kỳ hệ thống nào được sử dụng để xử lý dữ liệu. Tuy nhiên, trong bối cảnh của GDPR, bộ xử lý dữ liệu có một ý nghĩa cụ 415 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thể hơn. GDPR định nghĩa một bộ xử lý dữ liệu là “một cá nhân về mặt bản chất hoặc pháp lý, cơ quan công quyền, cơ quan chính phủ hoặc cơ quan khác, đang xử lý dữ liệu cá nhân chỉ thay mặt cho người kiểm soát dữ liệu”. Theo ngữ cảnh này, người kiểm soát dữ liệu là cá nhân hoặc thực thể kiểm soát quá trình xử lý dữ liệu. Người kiểm soát dữ liệu quyết định những dữ liệu nào được xử lý, tại sao dữ liệu này nên được xử lý và cách thức nó được xử lý. Ví dụ, một công ty đang thu thập thông tin cá nhân của nhân viên để tính lương là một người kiểm soát dữ liệu. Nếu họ chuyển những thông tin này cho một công ty bên-thứ-ba để xử lý tính lương, công ty tính lương là người xử lý dữ liệu. Trong ví dụ này, công ty tính lương (người xử lý dữ liệu) không được sử dụng dữ liệu cho bất kỳ việc gì khác ngoài việc xử lý bảng tính lương theo chỉ đạo của người kiểm soát dữ liệu. GDPR hạn chế việc truyền dữ liệu cho các quốc gia nằm ngoài EU. Các công ty vi phạm các quy tắc về quyền riêng tư trong GDPR có thể đối mặt với các khoản phạt lên đến 4% doanh thu toàn cầu của họ. Thật không may, nó chứa đầy ngôn ngữ của luật sư, gây ra nhiều thách thức cho các tổ chức. Ví dụ, điều khoản 107 bao gồm một mệnh đề đơn sau đây: Do đó, việc chuyển giao dữ liệu cá nhân cho quốc gia thứ ba hoặc tổ chức quốc tế đó nên được nghiêm cấm, trừ khi các yêu cầu trong Quy định này liên quan đến việc chuyển giao tuân theo các biện pháp bảo vệ thích hợp, bao gồm các quy tắc ràng buộc của công ty và các vi phạm đối với các tình huống cụ thể được thực hiện. Kết quả là nhiều tổ chức đã tạo ra những vai trò chuyên trách, chẳng hạn như chuyên viên bảo mật dữ liệu, để giám sát việc kiểm soát dữ liệu và đảm bảo tổ chức tuân thủ tất cả các luật lệ và quy định có liên quan. GDPR đã bắt buộc vai trò của chuyên viên bảo vệ dữ liệu cho bất kỳ tổ chức nào phải tuân thủ GDPR. Cá nhân với vai trò này chịu trách nhiệm cho việc đảm bảo tổ chức đang áp dụng luật lệ để bảo vệ dữ liệu riêng tư của các cá nhân. 416 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Người Bảo quản Dữ liệu Chủ sở hữu dữ liệu thường ủy thác các nhiệm vụ hàng-ngày cho người bảo quản dữ liệu. Người bảo quản giúp bảo vệ tính toàn vẹn và bảo mật của dữ liệu bằng cách đảm bảo rằng dữ liệu đã được lưu trữ và bảo vệ một cách đúng đắn. Ví dụ, người bảo quản sẽ đảm bảo rằng dữ liệu được sao lưu bằng cách tuân theo các nguyên tắc trong chính sách sao lưu. Nếu quản trị viên đã thiết lập cấu hình kiểm toán dữ liệu, người bảo quản cũng sẽ duy trì các nhật ký này. Trong thực tế, nhân sự trong bộ phận CNTT hoặc các quản trị viên bảo mật hệ thống thường là người bảo quản. Họ có thể là các quản trị viên giống nhau chịu trách nhiệm chỉ định các quyền đối với dữ liệu. Quản trị viên Bạn sẽ thường nghe thấy thuật ngữ (các) quản trị viên. Tuy nhiên, thuật ngữ này có nghĩa là những điều khác nhau trong các ngữ cảnh khác nhau. Nếu Sally đăng nhập vào tài khoản Quản trị viên trong hệ thống Windows, cô ấy là một quản trị viên. Tương tự, bất kỳ ai được thêm vào nhóm Quản trị viên (Administrators) trong Windows cũng là một quản trị viên. Tuy nhiên, rất nhiều tổ chức xem bất kỳ ai có những đặc quyền được nâng cao là những quản trị viên, thậm chí ngay cả khi họ không có toàn bộ đặc quyền quản trị viên. Ví dụ, nhân viên hỗ trợ dịch vụ được cấp một số đặc quyền được nâng cao để thực hiện công việc của họ nhưng không được cấp toàn bộ đặc quyền quản trị viên. Theo ngữ cảnh này, thỉnh thoảng họ được gọi là các quản trị viên. Trong bối cảnh các vai trò dữ liệu, một quản trị viên dữ liệu có thể là một người bảo quản dữ liệu hoặc một ai đó trong một vai trò dữ liệu khác. Người dùng và Đối tượng Người dùng là bất kỳ cá nhân nào truy cập vào dữ liệu thông qua hệ thống máy tính để hoàn thành nhiệm vụ công việc. Người dùng chỉ nên có quyền truy cập vào dữ liệu mà họ cần để thực hiện các nhiệm vụ công việc của mình. Bạn cũng có thể coi người dùng là nhân viên hoặc người dùng đầu cuối. Người dùng thuộc một loại đối tượng rộng hơn, được thảo luận kỹ hơn trong Chương 8, “Các Nguyên tắc về Mô hình, Thiết kế và Năng lực Bảo mật” và Chương 417 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 13. Một chủ thể là bất kỳ thực thể nào truy cập vào một đối tượng như tập tin hoặc thư mục. Chủ thể có thể là người dùng, các chương trình, quy trình, d ịch vụ, máy tính hoặc bất kỳ thứ gì khác có thể truy cập vào tài nguyên. GDPR xác định một chủ thể dữ liệu (data chủ thể) (không chỉ một chủ thể) là một người có thể được xác định thông qua một bộ nhận dạng, chẳng hạn như tên, mã số nhận dạng hoặc các phương tiện khác. Ví dụ, nếu một tập tin bao gồm PII về Sally Smith thì Sally Smith là ch ủ thể dữ liệu. Sử dụng các Đường cơ sở Bảo mật Một khi một tổ chức đã xác định và phân loại được tài sản của mình, thông thường tổ chức sẽ muốn bảo mật chúng. Đó là nơi các đường cơ sở bảo mật xuất hiện. Các đường cơ sở cung cấp một điểm khởi đầu và đảm bảo một tiêu chuẩn bảo mật tối thiểu. Một đường cơ sở phổ biến mà các tổ chức sử dụng là tạo hình ảnh. Chương 16 sẽ trình bày sâu hơn về việc tạo ra hình ảnh trong bối cảnh quản lý cấu hình. Như phần giới thiệu, quản trị viên thiết lập cấu hình một hệ thống duy nhất với các cài đặt mong muốn, chụp nó lại dưới dạng một hình ảnh, sau đó triển khai hình ảnh này cho các hệ thống khác. Điều này đảm bảo rằng các hệ thống được triển khai với một trạng thái bảo mật tương tự, giúp bảo vệ tính riêng tư của dữ liệu. Sau khi triển khai các hệ thống ở một trạng thái bảo mật, các quy trình kiểm toán sẽ kiểm tra hệ thống một cách định kỳ để đảm bảo chúng luôn ở trạng thái bảo mật. Ví dụ, Microsoft Group Policy có th ể kiểm tra hệ thống một cách định kỳ và áp dụng lại các cài đặt để phù hợp với đường cơ sở. NIST SP 800-53 Rev. 5, “Các Biện pháp kiểm soát Bảo mật và Quyền riêng tư dành cho các Hệ thống và Tổ chức Thông tin”, đề cập đến các đường cơ sở kiểm soát bảo mật và xác định chúng như một tập hợp các biện pháp kiểm soát bảo mật tối thiểu được xác định cho một hệ thống thông tin. Nó nhấn mạnh rằng một bộ kiểm soát bảo mật duy nhất không áp dụng cho tất cả các tình huống. Tuy nhiên, bất kỳ tổ chức nào cũng có thể chọn một tập hợp các đường cơ sở kiểm soát bảo mật và điều chỉnh đường cơ sở theo nhu cầu của mình. NIST SP 80053B, “Đường cơ sở Kiểm soát dành cho Hệ thống Thông tin và Tổ chức”, bao gồm một danh sách toàn diện các biện pháp kiểm soát bảo mật và đã xác định nhiều 418 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống trong số chúng để đưa vào các đường cơ sở khác nhau. Cụ thể, họ đưa ra bốn đường cơ sở dựa trên tác động tiềm tàng đối với sứ mệnh của tổ chức nếu mất tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng của một hệ thống. Bốn đường cơ sở bao gồm: Các Đường cơ sở có Tác-động-Thấp Các biện pháp kiểm soát trong đường cơ sở này được khuyến nghị nếu việc mất tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng sẽ có tác động thấp đến sứ mệnh của tổ chức. Các Đường cơ sở có Tác-động-Trung-bình Các biện pháp kiểm soát trong đường cơ sở này được khuyến nghị nếu việc mất tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng sẽ có tác động trung bình đến sứ mệnh của tổ chức. Các Đường cơ sở có Tác-động-Cao Các biện pháp kiểm soát trong đường cơ sở này được khuyến nghị nếu việc mất tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng sẽ có tác động lớn đến sứ mệnh của tổ chức. Các Đường cơ sở Kiểm soát Quyền riêng tư Đường cơ sở này cung cấp một đường cơ sở khởi đầu cho bất kỳ hệ thống nào đang xử lý PII. Các tổ chức có thể kết hợp đường cơ sở này với một trong số các đường cơ sở khác. Những đường cơ sở này đề cập đến tác động tiềm ẩn trong trường hợp xấu-nhất nếu hệ thống bị xâm nhập và vi phạm dữ liệu xảy ra. Ví dụ, hãy tưởng tượng một hệ thống đã bị xâm phạm. Bạn sẽ cố gắng dự đoán tác động của sự xâm phạm đối với tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống và bất kỳ dữ liệu nào mà nó đang nắm giữ: ▪ Nếu xâm phạm này khiến dữ liệu về quyền riêng tư bị xâm phạm, bạn sẽ cân nhắc việc bổ sung thêm các biện pháp kiểm soát bảo mật được xác định là các hạng mục đường cơ sở kiểm soát quyền riêng tư vào đường cơ sở của mình. ▪ Nếu tác động là thấp, bạn sẽ cân nhắc việc bổ sung thêm các biện pháp kiểm soát bảo mật được xác định là các kiểm soát tác động thấp vào đường cơ sở của bạn. 419 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Nếu tác động của xâm phạm này là trung bình, bạn sẽ cân nhắc bổ sung thêm các biện pháp kiểm soát bảo mật được xác định là có tác động trung bình, ngoài các kiểm soát có tác động thấp. ▪ Nếu tác động là cao, bạn sẽ cân nhắc thêm tất cả các biện pháp kiểm soát được liệt kê là có tác động cao ngoài các kiểm soát tác động thấp và tác động trung bình. Cần lưu ý rằng nhiều mục trong các danh sách này là những thông lệ bảo mật cơ bản. Ngoài ra, việc triển khai các nguyên tắc bảo mật cơ bản như nguyên tắc đặc quyền ít nhất sẽ không gây ngạc nhiên cho bất kỳ ai đang về nghiên cứu kỳ thi CISSP. Tất nhiên, chỉ vì đây là các phương pháp bảo mật cơ bản không có nghĩa là các tổ chức sẽ triển khai chúng. Thật không may, nhiều tổ chức vẫn chưa phát hiện ra hoặc thực thi những điều cơ bản. So sánh Việc Điều chỉnh và Xác lập phạm vi Sau khi lựa chọn một đường cơ sở kiểm soát, các tổ chức sẽ tinh chỉnh nó bằng các quy trình điều chỉnh và xác định phạm vi. Một phần quan trọng của quá trình điều chỉnh là việc liên kết các biện pháp kiểm soát với các yêu cầu bảo mật cụ thể của tổ chức. Để so sánh, hãy nghĩ đến một người thợ may quần áo, người thay đổi hoặc sửa quần áo. Nếu một người mua một bộ quần áo ở một cửa hàng bán lẻ cao-cấp, một người thợ may sẽ điều chỉnh bộ quần áo này để vừa vặn với người đó. Tương tự, việc điều chỉnh một đường cơ sở đảm bảo nó phù hợp với tổ chức. Điều chỉnh đề cập đến việc sửa đổi danh sách các biện pháp kiểm soát bảo mật trong một đường cơ sở để phù hợp với sứ mệnh của tổ chức. NIST SP 800-53B chính thức định nghĩa nó là “một phần của quy trình quản lý rủi ro trên phạm vi toàn-tổ-chức bao gồm việc lập khung, đánh giá, phản hồi và giám sát các rủi ro về quyền riêng tư và bảo mật thông tin” và chỉ ra rằng nó bao gồm những hoạt động sau: ▪ Xác định và chỉ định các biện pháp kiểm soát chung, ▪ Áp dụng các cân nhắc về phạm vi, ▪ Lựa chọn các biện pháp kiểm soát bù trừ, ▪ Chỉ định giá trị của biện pháp kiểm soát. 420 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Đường cơ sở đã được chọn có thể không bao g ồm các biện pháp kiểm soát thường được triển khai. Tuy nhiên, chỉ vì kiểm soát bảo mật không có trong đường cơ sở không có nghĩa là nó nên b ị loại bỏ. Ví dụ, hãy tưởng tượng rằng một trung tâm dữ liệu bao gồm các máy quay video để quan sát lối vào bên ngoài, lối ra bên trong và mọi hàng máy chủ, nhưng đường cơ sở chỉ đề xuất một máy quay video quan sát lối vào bên ngoài. Trong quá trình điều chỉnh, nhân viên sẽ đánh giá các camera phụ này và xác định xem chúng có cần thiết hay không. Họ có thể quyết định loại bỏ một số để tiết kiệm chi phí hoặc giữ lại chúng. Một tổ chức có thể quyết định rằng một tập hợp các biện pháp kiểm soát cơ bản áp dụng hoàn hảo cho các máy tính ở vị trí trung tâm của họ, nhưng một số biện pháp kiểm soát không phù hợp hoặc không khả thi ở một vị trí văn phòng ở xa. Trong tình huống này, tổ chức có thể chọn các biện pháp kiểm soát an ninh bù trừ để điều chỉnh đường cơ sở cho phù hợp với địa điểm từ xa. Ví dụ khác, hãy tưởng tượng chính sách khóa tài khoản được đặt để khóa người dùng nếu họ nhập sai mật khẩu năm lần. Trong ví dụ này, giá trị của biện pháp kiểm soát là 5, nhưng quá trình điều chỉnh có thể thay đổi giá trị đó thành 3. Xác định phạm vi là một phần của quy trình điều chỉnh và đề cập đến việc xem xét một danh sách các biện pháp kiểm soát bảo mật cơ bản và chỉ chọn những kiểm soát áp dụng cho hệ thống CNTT mà bạn đang cố gắng bảo vệ. Hoặc, theo cách đơn giản nhất, các quy trình xác đ ịnh phạm vi loại bỏ các biện pháp kiểm soát đã được khuyến nghị trong một đường cơ sở. Ví dụ, nếu một hệ thống không cho phép bất kỳ hai người nào đăng nhập đồng thời thì sẽ không cần áp dụng biện pháp kiểm soát phiên đồng thời. Trong phần này của quá trình điều chỉnh, tổ chức xem xét mọi biện pháp kiểm soát trong đường cơ sở và bảo vệ một cách mạnh mẽ (bằng văn bản) bất kỳ quyết định nào để bỏ qua một kiểm soát ra khỏi đường cơ sở. Lựa chọn các Tiêu chuẩn Khi lựa chọn các biện pháp kiểm soát bảo mật trong phạm vi một đường cơ sở, hoặc nói cách khác, các tổ chức cần phải đảm bảo rằng các biện pháp kiểm soát đó tuân thủ các tiêu chuẩn bảo mật bên ngoài. Các yếu tố bên ngoài thường xác định các yêu cầu bắt buộc đối với một tổ chức. Ví dụ, Tiêu chuẩn Bảo mật Dữ 421 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống liệu Ngành Thẻ Thanh toán (PCI DSS) xác đ ịnh các yêu cầu mà doanh nghiệp phải tuân theo để xử lý các thẻ tín dụng trọng yếu. Tương tự, các tổ chức thu thập hoặc xử lý dữ liệu thuộc về công dân EU bắt buộc phải tuân thủ các yêu cầu trong GDPR. Rõ ràng, không phải tất cả các tổ chức đều phải tuân thủ các tiêu chuẩn này. Các tổ chức không xử lý giao dịch thẻ tín dụng không cần tuân thủ PCI DSS. Tương tự, các tổ chức không thu thập hoặc xử lý dữ liệu của công dân của Liên minh Châu Âu không cần phải tuân thủ các yêu cầu của GDPR. Các tổ chức cần xác định các tiêu chuẩn để áp dụng và đảm bảo rằng các biện pháp kiểm soát bảo mật mà họ lựa chọn hoàn toàn tuân thủ các tiêu chuẩn này. Ngay cả khi tổ chức của bạn không bắt buộc phải tuân thủ một tiêu chuẩn cụ thể về mặt pháp lý thì việc sử dụng một tiêu chuẩn cộng đồng được thiết kế tốt có thể sẽ hữu ích. Ví dụ, các tổ chức chính phủ Hoa Kỳ được yêu cầu tuân thủ nhiều tiêu chuẩn được công bố bởi các tài liệu NIST SP 800. Những tài liệu tương tự này được sử dụng bởi rất nhiều tổ chức trong khu vực tư nhân để giúp họ phát triển và triển khai các tiêu chuẩn bảo mật của riêng họ. Tóm tắt Bảo mật tài sản tập trung vào việc thu thập, xử lý và bảo vệ thông tin trong toàn bộ vòng đời của nó. Điều này bao gồm những thông tin nhạy cảm được lưu trữ hoặc xử lý trên hệ thống máy tính hoặc được truyền tải qua mạng và những tài sản được sử dụng trong các quy trình này. Thông tin nh ạy cảm là bất kỳ thông tin nào mà một tổ chức giữ kín và có thể bao gồm nhiều cấp độ phân loại. Các phương pháp phá hủy phù hợp đảm bảo rằng dữ liệu không thể được truy xuất lại sau khi đã phá hủy. Các phương pháp bảo vệ dữ liệu bao gồm quản lý quyền kỹ thuật số (DRM) và sử dụng trung gian bảo mật truy cập đám mây (CASB) khi sử dụng tài nguyên đám mây. Các phương pháp DRM cố gắng bảo vệ các tài liệu có bản quyền. CASB là phần mềm được đặt một cách logic giữa người dùng và tài nguyên dựa-trênđám-mây. Nó có thể đảm bảo rằng các tài nguyên đám mây có cùng s ự bảo vệ với các tài nguyên trong một mạng. Các thực thể phải tuân thủ GDPR của Liên 422 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống minh Châu Âu sử dụng các phương pháp bảo vệ dữ liệu bổ sung như biệt danh, mã hóa và ẩn danh. Các cá nhân có thể đảm nhiệm nhiều vai trò khác nhau khi xử lý dữ liệu. Chủ sở hữu dữ liệu chịu trách nhiệm cuối cùng trong việc phân loại, ghi nhãn và bảo vệ dữ liệu. Chủ sở hữu hệ thống chịu trách nhiệm về hệ thống xử lý dữ liệu. GDPR xác định người kiểm soát dữ liệu, người xử lý dữ liệu và người bảo quản dữ liệu. Người kiểm soát dữ liệu quyết định dữ liệu nào cần được xử lý và xử lý như thế nào. Người kiểm soát d ữ liệu có thể thuê một bên thứ ba để xử lý dữ liệu và trong bối cảnh này, bên thứ ba là người xử lý dữ liệu. Người xử lý dữ liệu chịu trách nhiệm bảo vệ tính riêng tư của dữ liệu và không được sử dụng dữ liệu đó cho bất kỳ mục đích nào khác ngoài s ự chỉ dẫn của người kiểm soát dữ liệu. Người bảo quản được giao trách nhiệm hàng-ngày đối với việc lưu trữ và bảo vệ dữ liệu một cách đúng đắn. Các đường cơ sở bảo mật cung cấp một tập hợp các biện pháp kiểm soát bảo mật mà một tổ chức có thể triển khai như một điểm khởi đầu an toàn. Một số ấn phẩm (chẳng hạn như NIST SP 800-53B) xác định các đường cơ sở kiểm soát bảo mật. Tuy nhiên, những đường cơ sở này không áp dụng như nhau cho tất cả các tổ chức. Thay vào đó, các t ổ chức sử dụng các kỹ thuật xác định phạm vi và điều chỉnh để xác định các biện pháp kiểm soát an ninh cần triển khai sau khi lựa chọn các đường cơ sở. Ngoài ra, các tổ chức đảm bảo rằng họ triển khai các biện pháp kiểm soát bảo mật theo yêu cầu của các tiêu chuẩn bên ngoài áp dụng cho tổ chức của họ. Những điều thiết yếu cho Kỳ thi Hiểu được tầm quan trọng của phân loại tài sản và dữ liệu. Chủ sở hữu dữ liệu chịu trách nhiệm cho việc xác định phân loại dữ liệu và tài sản và đảm bảo rằng dữ liệu và hệ thống được đánh dấu một cách thích hợp. Ngoài ra, chủ sở hữu dữ liệu xác định các yêu cầu để bảo vệ dữ liệu ở các mức phân loại khác nhau, chẳng hạn như mã hóa dữ liệu nhạy cảm ở trạng thái đang được lưu trữ và khi truyền tải. Phân loại dữ liệu thường được xác định trong các chính sách bảo mật hoặc chính sách dữ liệu. 423 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Xác định được PII và PHI. Thông tin nhân dạng cá nhân (PII) là bất kỳ thông tin nào có thể nhận dạng một cá nhân. Thông tin về sức khỏe được bảo vệ (PHI) là bất kỳ thông tin liên quan đến sức khỏe nào có thể liên quan đến một cá nhân cụ thể. Nhiều luật và quy định bắt buộc bảo vệ PII và PHI. Biết được cách quản lý thông tin nhạy cảm. Thông tin nhạy cảm là bất kỳ loại thông tin nào đã được phân loại, và việc quản lý thích hợp giúp ngăn chặn việc tiết lộ trái phép dẫn đến mất tính bảo mật. Quản lý thích hợp bao gồm đánh dấu, xử lý, lưu trữ và phá hủy thông tin nhạy cảm. Hai lĩnh vực mà các tổ chức thường bỏ sót là bảo vệ đầy đủ phương tiện dự phòng chứa thông tin nhạy cảm và làm sạch phương tiện hoặc thiết bị khi nó kết thúc vòng đời. Mô tả được ba trạng thái của dữ liệu. Ba trạng thái dữ liệu là ở trạng thái đang lưu trữ, đang truyền tải và đang được sử dụng. Dữ liệu ở trạng thái đang lưu trữ là bất kỳ dữ liệu nào được lưu trữ trên phương tiện như ổ cứng hoặc phương tiện bên ngoài. Dữ liệu đang truyền tải là bất kỳ dữ liệu nào đang được truyền qua mạng. Các phương pháp mã hóa b ảo vệ dữ liệu ở trạng thái lưu trữ và đang truyền tải. Dữ liệu đang được sử dụng đề cập đến dữ liệu trong bộ nhớ và được sử dụng bởi một ứng dụng. Các ứng dụng nên xóa bộ đệm bộ nhớ để xóa dữ liệu sau khi nó không còn cần thiết nữa. Xác định được DLP. Hệ thống ngăn chặn mất dữ liệu (DLP) phát hiện và ngăn chặn các nỗ lực xâm nhập dữ liệu bằng cách quét các tập tin chưa được mã hóa và tìm kiếm các từ khóa và hình mẫu dữ liệu. Hệ thống dựatrên-mạng (bao gồm cả hệ thống dựa-trên-đám-mây) quét các tập tin trước khi chúng rời khỏi mạng. Hệ thống dựa-trên-điểm-đầu-cuối ngăn người dùng sao chép hoặc in một số tập tin. So sánh được các phương pháp phá h ủy dữ liệu. Xóa (erasing) một tập tin sẽ không xóa nó. Làm sạch phương tiện sẽ ghi đè lên nó bằng các ký tự hoặc các bit. Thanh lọc lặp lại quá trình xóa nhiều lần và xóa dữ liệu để phương tiện có thể được tái sử dụng. Khử từ xóa dữ liệu ra khỏi 424 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống băng từ và ổ đĩa cứng từ tính, nhưng nó không ảnh hưởng đến phương tiện quang học hoặc SSD. Các phương pháp phá hủy bao gồm đốt, nghiền, băm nhỏ và phân hủy. Mô tả được dữ liệu còn lại. Dữ liệu còn lại là dữ liệu vẫn còn trên phương tiện sau khi lẽ ra đã bị xóa. Ổ đĩa cứng đôi khi giữ lại từ thông dư có thể đọc được bằng các công cụ tiên tiến. Các công cụ nâng cao có thể đọc không gian chùng trên một ổ đĩa, đó là không gian chưa được sử dụng trong các cụm (cluster). Việc xóa (erasing) dữ liệu trên đĩa khiến dữ liệu vẫn còn tồn tại. Hiểu được chính sách lưu giữ hồ sơ. Các chính sách lưu giữ hồ sơ đảm bảo rằng dữ liệu được giữ ở trạng thái có thể sử dụng được khi nó được cần đến và được phá hủy khi không còn cần thiết nữa. Nhiều luật và quy định bắt buộc việc lưu giữ dữ liệu trong một khoảng thời gian cụ thể, nhưng trong trường hợp không có quy định chính thức, các tổ chức chỉ định khoảng thời gian lưu giữ trong một chính sách. Dữ liệu về dấu vết kiểm toán cần được lưu giữ đủ lâu để tái tạo lại các sự cố trong quá khứ, nhưng tổ chức phải xác định xem họ muốn điều tra xa đến mức nào. Một xu hướng hiện nay ở nhiều tổ chức là giảm trách nhiệm pháp lý bằng cách thực hiện các chính sách lưu giữ ngắn với email. Biết được sự khác biệt giữa EOL và EOS. Ngày hết-hạn-sử-dụng (EOL) là ngày do nhà cung cấp thông báo khi ngừng bán sản phẩm. Tuy nhiên, nhà cung cấp vẫn hỗ trợ cho sản phẩm sau khi đã EOL. Hết-hạn-hỗ-trợ (EOS) xác định ngày nhà cung cấp sẽ không hỗ trợ cho sản phẩm nữa. Giải thích được DRM. Các phương pháp quản lý quyền kỹ thuật số (DRM) đem lại khả năng bảo vệ bản quyền cho các tác phẩm có bản quyền. Mục đích là để ngăn chặn việc sử dụng, sửa đổi và phân phối trái phép các tác phẩm có bản quyền. Giải thích được CASB. Một trung gian bảo mật truy cập đám mây (CASB) được đặt một cách logic giữa người dùng và tài nguyên đám mây. Nó có 425 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thể áp dụng các biện pháp kiểm soát bảo mật nội bộ cho tài nguyên đám mây. Thành phần CASB có thể được đặt tại-chỗ hoặc trên đám mây. Xác định được biệt danh. Sử dụng biệt danh là quá trình thay thế một số thành phần dữ liệu bằng biệt danh hoặc bí danh. Nó xóa dữ liệu riêng tư để một tập dữ liệu có thể được chia sẻ. Tuy nhiên, dữ liệu gốc vẫn có sẵn trong một tập dữ liệu riêng biệt. Xác định được mã thông báo. Sử dụng mã thông báo thay thế các phần tử dữ liệu bằng một chuỗi ký tự hoặc mã thông báo. Bộ xử lý thẻ tín dụng thay thế dữ liệu thẻ tín dụng bằng mã thông báo và bên thứ ba giữ ánh xạ tới dữ liệu gốc và mã thông báo. Xác định được ẩn danh. Tính năng ẩn danh thay thế dữ liệu quyền riêng tư bằng dữ liệu hữu ích nhưng không chính xác. T ập dữ liệu có thể được chia sẻ và sử dụng cho mục đích phân tích, nhưng ẩn danh sẽ loại bỏ danh tính cá nhân. Ẩn danh là vĩnh viễn. Biết được trách nhiệm của các vai trò dữ liệu. Chủ sở hữu dữ liệu là người chịu trách nhiệm phân loại, ghi nhãn và bảo vệ dữ liệu. Chủ sở hữu hệ thống chịu trách nhiệm về hệ thống xử lý dữ liệu. Các chủ sở hữu doanh nghiệp và nhiệm vụ sở hữu các quy trình và đ ảm bảo rằng các hệ thống mang lại giá trị cho tổ chức. Người kiểm soát dữ liệu quyết định dữ liệu nào cần được xử lý và được xử lý như thế nào. Người xử lý dữ liệu thường là các thực thể bên thứ ba xử lý dữ liệu cho một tổ chức theo chỉ đạo của người kiểm soát dữ liệu. Quản trị viên cấp quyền truy cập vào dữ liệu dựa trên các nguyên tắc do chủ sở hữu dữ liệu cung cấp. Người dùng hoặc chủ thể truy cập dữ liệu trong khi thực hiện các tác vụ công việc. Một người bảo quản có trách nhiệm bảo vệ và lưu trữ dữ liệu hàng ngày. Biết được về đường cơ sở kiểm soát bảo mật. Đường cơ sở kiểm soát bảo mật cung cấp danh sách các biện pháp kiểm soát mà một tổ chức có thể áp dụng để làm đường cơ sở. Không phải tất cả các đường cơ sở đều áp dụng cho tất cả các tổ chức. Các tổ chức áp dụng các kỹ thuật xác định 426 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống phạm vi và điều chỉnh để điều chỉnh đường cơ sở phù hợp với nhu cầu của họ. Bài tập Viết 1. Hãy mô tả dữ liệu nhạy cảm. 2. Hãy xác định sự khác biệt giữa EOL và EOS. 3. Hãy xác định cách sử dụng phổ biến của sử dụng biệt danh, sử dụng mã thông báo và sử dụng ẩn danh. 4. Hãy mô tả sự khác biệt giữa việc xác định phạm vi và điều chỉnh. Câu hỏi Đánh giá 1. Những gì sau đây mang lại sự bảo vệ tốt nhất chống lại việc mất tính bảo mật đối với dữ liệu nhạy cảm? A. Các nhãn dữ liệu. B. Phân loại dữ liệu. C. Xử lý dữ liệu. D. Các phương pháp khử từ dữ liệu. 2. Các quản trị viên thường xuyên sao lưu dữ liệu trên tất cả các máy chủ trong tổ chức của bạn. Họ chú thích một bản sao lưu trữ với máy chủ mà nó đến từ đó và ngày nó được tạo ra, và chuyển nó đến một kho lưu trữ không được quản lý. Sau đó, họ phát hiện ra rằng có ai đó đã làm rò rỉ các email nhạy cảm được gửi giữa các giám đốc điều hành trên Internet. Các nhân viên an ninh đã phát hiện ra một số băng lưu trữ bị mất và những đoạn băng này có thể bao gồm các email bị rò rỉ. Trong số các lựa chọn sau đây, điều gì có thể ngăn chặn sự mất mát này mà không phải hy sinh tính bảo mật? A. Đánh dấu phương tiện lưu trữ ngoại biên. B. Không lưu trữ dữ liệu ngoại biên. C. Phá hủy các bản sao lưu ngoại biên. D. Sử dụng một cơ sở lưu trữ an toàn ngoại biên. 3. Các uản trị viên đã sử dụng băng từ để sao lưu các máy chủ trong tổ chức của bạn. Tuy nhiên, tổ chức đang chuyển đổi sang một hệ thống sao lưu khác, lưu trữ các bản sao lưu trên ổ đĩa. Giai đo ạn cuối cùng 427 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống trong vòng đời của băng từ đã được sử dụng làm phương tiện sao lưu là gì? A. Khử từ. B. Phá hủy. C. Hủy phân loại. D. Lưu giữ. 4. Bạn đang cập nhật chính sách dữ liệu của tổ chức và bạn muốn xác định trách nhiệm của các vai trò khác nhau. Vai trò d ữ liệu nào dưới đây chịu trách nhiệm cho việc phân loại dữ liệu? A. Người kiểm soát. B. Người bảo quản. C. Chủ sở hữu. D. Người dùng. 5. Bạn được giao nhiệm vụ cập nhật chính sách dữ liệu của tổ chức và bạn cần xác định trách nhiệm của các vai trò khác nhau. Vai trò dữ liệu nào chịu trách nhiệm triển khai các biện pháp bảo vệ được xác định bởi chính sách bảo mật? A. Người bảo quản dữ liệu. B. Người dùng dữ liệu. C. Người xử lý dữ liệu. D. Người kiểm soát dữ liệu. 6. Một công ty duy trì một máy chủ thương mại điện tử được sử dụng để bán các sản phẩm kỹ thuật số qua Internet. Khi khách hàng mua hàng, máy chủ sẽ lưu trữ những thông tin sau về người mua: tên, địa chỉ thực, địa chỉ email và dữ liệu thẻ tín dụng. Bạn được thuê với tư cách là một nhà tư vấn bên ngoài và khuyên họ thay đổi các phương pháp của mình. Công ty có thể thực hiện điều nào dưới đây để tránh một lỗ hổng bảo mật rõ ràng? A. Ẩn danh. B. Giả ẩn danh. C. Chuyển địa điểm công ty. D. Giới hạn việc thu thập. 428 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 7. Bạn đang thực hiện đánh giá hàng năm về chính sách dữ liệu của công ty mình và bạn bắt gặp một số tuyên bố khó hiểu liên quan đến nhãn bảo mật. Những thông tin nào dưới đây bạn có thể chèn vào để mô tả chính xác việc dán nhãn bảo mật? A. Ghi nhãn bảo mật chỉ cần thiết trên các phương tiện kỹ thuật số. B. Nhãn bảo mật xác định việc phân loại dữ liệu. C. Nhãn bảo mật chỉ cần thiết đối với các tài sản phần cứng. D. Nhãn bảo mật không bao giờ được sử dụng cho dữ liệu không nhạy cảm. 8. Một tập tin cơ sở dữ liệu bao gồm thông tin nhận dạng cá nhân (PII) về một số cá nhân, bao gồm cả Karen C. Park. Giá trị nào sau đây là giá trị nhận dạng tốt nhất cho hồ sơ về Karen C. Park? A. Người kiểm soát dữ liệu. B. Chủ thể của dữ liệu. C. Người xử lý dữ liệu. D. Chủ thể dữ liệu. 9. Các quản trị viên thường xuyên sao lưu tất cả các máy chủ email trong công ty của bạn và họ thường xuyên xóa các email tại-chỗ cũ hơn sáu tháng để tuân thủ chính sách bảo mật của tổ chức. Họ giữ một bản sao lưu tại chỗ và gửi một bản sao đến một trong các kho lưu trữ của công ty để lưu trữ dài-hạn. Sau đó, họ phát hiện ra rằng ai đó đã làm rò rỉ các email nhạy cảm được gửi giữa các giám đốc điều hành hơn ba năm trước. Trong số các lựa chọn sau, chính sách nào đã bị bỏ qua và cho phép vi phạm dữ liệu này? A. Phá hủy phương tiện lưu trữ. B. Lưu giữ hồ sơ. C. Quản lý cấu hình. D. Đánh số phiên bản. 10. Một giám đốc điều hành đang xem xét các vấn đề về quản trị và tuân thủ và đảm bảo chính sách bảo mật hoặc dữ liệu sẽ giải quyết chúng. Biện pháp kiểm soát bảo mật nào sau đây có nhiều khả năng được thúc đẩy bởi một yêu cầu pháp lý? A. Dữ liệu còn lại. 429 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống B. Phá hủy hồ sơ. C. Vai trò người dùng dữ liệu. D. Lưu giữ dữ liệu. 11. Tổ chức của bạn đang quyên tặng một số máy tính cho một trường học địa phương. M ột số máy tính này bao g ồm ổ đĩa thể rắn (SSD). Lựa chọn nào sau đây là phương pháp h ủy dữ liệu đáng tin cậy nhất trên các ổ SSD này? A. Xóa (erasing). B. Khử từ (degaussing). C. Xóa (deleting) D. Thanh lọc (purging). 12. Một kỹ thuật viên chuẩn bị tháo ổ đĩa ra khỏi một số máy tính. Người giám sát của anh ấy đã yêu cầu anh ấy đảm bảo rằng các ổ đĩa không còn chứa bất kỳ dữ liệu nhạy cảm nào. Phương pháp nào sau đây sẽ đáp ứng yêu cầu của người giám sát? A. Ghi đè các đĩa nhiều lần. B. Định dạng đĩa. C. Khử từ các đĩa. D. Chống phân mảnh đĩa. 13. Bộ phận CNTT đang cập nhật ngân sách cho năm sau và h ọ muốn có đủ tiền để làm mới phần cứng cho một số hệ thống cũ hơn. Thật không may, ngân sách bị hạn chế. Điều nào sau đây nên được ưu tiên hàng đầu? A. Hệ thống có ngày kết-thúc-vòng-đời (EOL) xảy ra trong năm tiếp theo. B. Hệ thống được sử dụng để ngăn ngừa mất dữ liệu. C. Hệ thống được sử dụng để xử lý dữ liệu nhạy cảm. D. Các hệ thống có ngày kết-thúc-hỗ-trợ (EOS) diễn ra vào năm sau. 14. Các nhà phát triển đã tạo ra một ứng dụng thường xuyên xử lý dữ liệu nhạy cảm. Dữ liệu được mã hóa và lưu trữ trong một cơ sở dữ liệu. Khi ứng dụng xử lý dữ liệu, nó sẽ truy xuất dữ liệu từ cơ sở dữ liệu, giải mã để sử dụng và lưu trữ trong bộ nhớ. Phương pháp nào sau đây có thể bảo vệ dữ liệu trong bộ nhớ sau khi ứng dụng sử dụng nó? 430 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống A. Mã hóa nó bằng mã hóa không đối xứng. B. Mã hóa nó trong cơ sở dữ liệu. C. Thực hiện chống mất dữ liệu. D. Xóa bộ nhớ đệm. 15. Chính sách bảo mật của tổ chức của bạn quy định việc sử dụng mã hóa đối xứng cho dữ liệu nhạy cảm được lưu trữ trên máy chủ. Nguyên tắc nào dưới đây đang được họ triển khai? A. Bảo vệ dữ liệu ở trạng thái đang được lưu trữ. B. Bảo vệ dữ liệu khi truyền tải. C. Bảo vệ dữ liệu đang được sử dụng. D. Bảo vệ vòng đời dữ liệu. 16. Một quản trị viên đang có kế hoạch triển khai một máy chủ cơ sở dữ liệu và muốn đảm bảo nó được bảo mật. Cô ấy xem xét danh sách các kiểm soát bảo mật cơ bản và xác định các kiểm soát bảo mật áp dụng cho máy chủ cơ sở dữ liệu này. Điều này được gọi là gì? A. Tokenization. B. Định phạm vi. C. Lựa chọn tiêu chuẩn. D. Hình ảnh. 17. Một tổ chức đang có kế hoạch triển khai một trang thương mại điện tử được lưu trữ trên một trang trại web. Các quản trị viên CNTT đã xác định một danh sách các biện pháp kiểm soát bảo mật mà họ cho rằng sẽ mang lại sự bảo vệ tốt nhất cho dự án này. Các nhà quản lý hiện đang xem xét danh sách và loại bỏ mọi biện pháp kiểm soát bảo mật không phù hợp với sứ mệnh của tổ chức. Điều này được gọi là gì? A. Điều chỉnh. B. Làm sạch. C. Phân loại tài sản. D. Giảm thiểu. 18. Một tổ chức đang có kế hoạch sử dụng một nhà cung cấp đám mây để lưu trữ một số dữ liệu. Các nhà quản lý muốn đảm bảo rằng tất cả các chính sách bảo mật dựa trên dữ liệu được triển khai trong mạng nội bộ 431 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống của tổ chức cũng có thể được triển khai trên đám mây. Điều nào dưới đây sẽ hỗ trợ mục đích này? A. CASB. B. DLP. C. DRM. D. EOL. 19. Các nhà quản lý lo ngại rằng người dùng có thể vô tình truyền dữ liệu nhạy cảm ra bên ngoài tổ chức. Họ muốn thực hiện một phương pháp để phát hiện và ngăn chặn điều này xảy ra. Cách nào sau đây có thể phát hiện dữ liệu nhạy cảm, gửi đi dựa trên các hình mẫu dữ liệu cụ thể và là lựa chọn tốt nhất để đáp ứng các yêu cầu này? A. Phần mềm chống phần mềm độc hại. B. Hệ thống ngăn ngừa mất dữ liệu. C. Hệ thống quản lý sự kiện và thông tin bảo mật. D. Hệ thống ngăn chặn xâm nhập. 20. Một nhà phát triển phần mềm đã tạo ra một ứng dụng và muốn bảo vệ nó bằng các công nghệ DRM. Cô ấy có khả năng bao gồm những thứ nào sau đây nhất? (Hãy chọn ba). A. Cấp phép ảo. B. Xác thực trực tuyến liên tục. C. Tự động hết hạn. D. Đường mòn kiểm toán liên tục. 432 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C h ư ơn g 6 M ậ t m ã h ọ c v à c á c T h u ậ t t o á n K h óa Đ ố i xứng CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM: ✓ Lĩnh vực 3.0: Công nghệ và Kiến trúc Bảo mật ▪ 3.5 Đánh giá và giảm thiểu các lỗ hổng của kiến trúc, thiết kế và các thành phần giải pháp bảo mật ▪ ▪ 3.5.4 Các hệ thống mật mã 3.6 Lựa chọn và xác định các giải pháp mật mã ▪ 3.6.1 Vòng đời mật mã (ví dụ, khóa, lựa chọn thuật toán) ▪ 3.6.2 Các phương pháp mật mã (ví dụ, đối xứng, bất đối xứng, đường cong elliptic, lượng tử) ▪ 3.6.6 Không-khước-từ ▪ 3.6.7 Tính toàn vẹn (ví dụ, băm) 433 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mật mã mang lại tính bảo mật, tính toàn vẹn, xác thực và không khước từ đối với thông tin nhạy cảm khi nó được lưu trữ (ở trạng thái đang lưu trữ), di chuyển qua mạng (đang truyền/đang chuyển động) và tồn tại trong bộ nhớ (đang sử dụng/đang xử lý). Mật mã là một công nghệ bảo mật cực kỳ quan trọng được nhúng trong nhiều biện pháp kiểm soát được sử dụng để bảo vệ thông tin khỏi bị hiển thị và sử dụng trái phép. Trong những năm qua, các nhà toán học và khoa học máy tính đã phát triển một loạt các thuật toán mật mã ngày càng phức tạp được thiết kế để gia tăng mức độ bảo vệ cho dữ liệu. Trong khi các nhà mật mã đã dành thời gian phát triển các thuật toán mã hóa mạnh mẽ thì các tin tặc ác ý và các chính phủ cũng dành nhiều nguồn lực đáng kể để phá hoại chúng. Điều này dẫn đến một “cuộc chạy đua vũ trang” trong mật mã và dẫn đến sự phát triển của các thuật toán cực kỳ phức tạp đang được sử dụng ngày nay. Chương này xem xét các khái niệm cơ bản của truyền thông mật mã và các nguyên tắc cơ bản của hệ thống mật mã khóa riêng. Chương ti ếp theo tiếp tục thảo luận về mật mã bằng cách kiểm tra các hệ thống mật mã khóa công khai và các kỹ thuật khác nhau mà kẻ tấn công sử dụng để đánh bại mật mã. Nền móng của Mật mã Nghiên cứu về bất kỳ ngành khoa học nào đều phải bắt đầu bằng một cuộc thảo luận về các nguyên tắc nền tảng mà nó (ngành khoa học) được xây dựng trên đó. Những phần dưới đây trình bày về nền tảng này với việc xem xét những mục đích của mật mã, một cái nhìn tổng quan về các khái niệm cơ bản của công nghệ mật mã và xem xét các nguyên tắc toán học chính được sử dụng bởi các hệ thống mật mã. 434 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mục đích của Mật mã Những chuyên gia hành nghề bảo mật sử dụng các hệ thống mật mã để đáp ứng 4 mục đích mang tính nền tảng: tính bảo mật, tính toàn vẹn, tính xác thực và không khước từ. Việc đạt được từng mục đích này đòi hỏi phải đáp ứng một số các yêu cầu thiết kế, và không phải mọi hệ thống mật mã đều được dự định nhằm đạt được cả 4 mục đích đó. Trong những phần tiếp theo, chúng ta sẽ xem xét chi tiết về từng mục đích và đưa ra mô tả ngắn gọn về những yêu cầu về mặt kỹ thuật cần thiết để đạt được nó. Tính bảo mật Tính bảo mật đảm bảo rằng dữ liệu vẫn giữ được sự riêng tư trong 3 tình huống khác nhau: khi nó đang được lưu trữ, khi nó đang được truyền tải và khi nó đang được sử dụng. Tính bảo mật có lẽ là mục đích được trích dẫn một cách rộng rãi nhất của các hệ thống mật mã – sự bảo tồn tính bí mật đối với những thông tin được lưu trữ, hoặc đối với các giao tiếp giữa các cá nhân và các nhóm. Hai ki ểu hệ thống mật mã chính thực thi tính bảo mật bao gồm: ▪ Hệ thống mật mã đối xứng sử dụng một khóa bí mật được chia sẻ cho tất cả người dùng của hệ thống mật mã. ▪ Hệ thống mật mã bất đối xứng sử dụng các kết hợp riêng lẻ giữa các khóa bí mật và khóa công khai đối với từng người dùng của hệ thống mật mã. Cả hai khái niệm này sẽ được khám phá trong phần “Mật mã Hiện đại” ở đoạn sau của chương. Khi phát triển một hệ thống mật mã cho mục đích cung cấp tính bảo mật, bạn phải suy nghĩ về 3 kiểu dữ liệu khác nhau mà chúng ta đã thảo luận trong Chương 5, “Bảo vệ Tính bảo mật của Tài sản”. ▪ Dữ liệu đang lưu trữ (at rest), hoặc dữ liệu được lưu trữ, lưu trú trong một vị trí thường trực đang đợi được truy cập. Các ví dụ về dữ liệu đang lưu trữ bao gồm dữ liệu được lưu trữ trên các ổ cứng, băng từ sao lưu, dịch vụ lưu trữ đám mây, thiết bị USB, và các phương tiện lưu trữ khác. 435 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Dữ liệu đang di chuyển (in motion), hoặc dữ liệu trên cáp, là dữ liệu đang được truyền tải qua một mạng giữa hai hệ thống. Dữ liệu đang di chuyển có thể đi qua một mạng công ty, một mạng không dây, hoặc Internet. ▪ Dữ liệu đang sử dụng là dữ liệu được lưu trữ trong bộ nhớ hoạt động của một hệ thống máy tính, nơi nó [dữ liệu] có thể được truy cập bởi một tiến trình đang hoạt động trên hệ thống đó. Khái niệm bảo vệ dữ liệu đang lưu trữ và dữ liệu đang truyền tải thường được đề cập trong kỳ thi CISSP. Bạn cũng nên biết rằng dữ liệu đang truyền tải cũng thường được gọi là dữ liệu trên cáp, đề cập đến các loại cáp mạng đang mang tín hiệu giao tiếp dữ liệu. Mỗi tình huống này lại đặt ra những loại rủi ro bảo mật khác nhau mà mật mã có thể bảo vệ để chống lại chúng. Ví dụ: dữ liệu đang di chuyển có thể dễ bị tấn công kiểu nghe trộm, trong khi dữ liệu ở trạng thái nghỉ dễ bị đánh cắp các thiết bị vật lý hơn. Dữ liệu đang được sử dụng có thể bị truy cập bởi các tiến trình trái phép nếu Hệ điều hành không thực hiện việc cô lập tiến trình một cách đúng đắn. Tính toàn vẹn Tính toàn vẹn đảm bảo rằng dữ liệu không bị thay đổi nếu không được cấp phép. Nếu các cơ chế toàn vẹn được áp dụng, người nhận thông điệp có thể chắc chắn rằng thông điệp nhận được giống với thông điệp đã được gửi đi. Tương tự, kiểm tra tính toàn vẹn có thể đảm bảo rằng dữ liệu được lưu trữ đã không bị thay đổi trong khoảng thời gian giữa thời điểm nó được tạo và thời điểm nó được truy cập. Các biện pháp kiểm soát tính toàn vẹn giúp bảo vệ chống lại tất cả các hình thức thay đổi, bao gồm việc cố tình chèn thông tin sai lệch bởi một bên thứ ba, cố ý xóa một phần dữ liệu và vô tinh thay đổi do lỗi trong quá trình truyền. Tính toàn vẹn của thông điệp được thực thi thông qua việc sử dụng các đồng hóa thông điệp được mã hóa, còn được gọi là chữ ký kỹ thuật số, được tạo ra khi truyền tải một thông điệp. Người nhận của thông điệp chỉ cần xác minh rằng chữ ký số của thông điệp là hợp lệ, đảm bảo rằng thông điệp đã không bị thay đổi trong khi chuyển tiếp. Tính toàn vẹn có thể được thực thi bởi cả những hệ 436 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thống mật mã khóa công khai và khóa bí mật. Khái niệm này sẽ được thảo luận chi tiết trong Chương 7, “Ứng dụng PKI và Mật mã”. Việc sử dụng các hàm băm mật mã để bảo vệ tính toàn vẹn của tập tin được thảo luận trong Chương 21, “Mã Độc hại và các Cuộc tấn công Ứng dụng”. Xác thực Xác thực xác minh danh tính đã tuyên bố của người dùng hệ thống và là một chức năng chính của hệ thống mật mã. Ví dụ, giả sử rằng Bob muốn thiết lập một phiên giao tiếp với Alice và cả hai đều là những người tham gia vào một hệ thống giao tiếp bí mật được chia sẻ. Alice có thể sử dụng kỹ thuật xác thực phản-hồi-thách-thức để đảm bảo rằng Bob chính là người mà anh ta đã tuyên bố. Hình 6.1 cho thấy cách thức hoạt động của giao thức phản hồi thách thức này. Trong ví dụ này, mã bí mật dùng chung được Alice và Bob sử dụng khá đơn giản - chỉ đơn giản là đảo ngược các chữ cái của mỗi từ. Đầu tiên, Bob liên lạc với Alice và xác định danh tính của mình. Alice sau đó gửi một thông điệp thách thức cho Bob, yêu cầu anh ta mã hóa một thông điệp ngắn bằng mã bí mật chỉ Alice và Bob mới biết. Bob trả lời bằng thông điệp được mã hóa. Sau khi Alice xác minh rằng thông điệp được mã hóa là chính xác, cô ấy tin rằng bản thân Bob thực sự đang ở đầu bên kia của kết nối. HÌNH 6.1 Giao thức xác thực phản-hồi-thách-thức 437 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Không khước từ Không khước từ cung cấp sự đảm bảo cho người nhận rằng thông điệp đã được bắt nguồn bởi chính người gửi chứ không phải ai đó giả mạo là người gửi. Nó cũng ngăn người gửi tuyên bố rằng họ chưa bao giờ gửi thông điệp ngay từ đầu (còn được gọi là từ chối thông điệp). Khóa bí mật, hoặc khóa đối xứng, các hệ thống mật mã (chẳng hạn như mật mã thay thế đơn giản) không cung cấp sự đảm bảo không khước từ này. Nếu Jim và Bob tham gia vào m ột hệ thống liên lạc khóa bí mật, cả hai đều đã có thể tạo ra cùng một thông điệp được mã hóa bằng cách sử dụng khóa bí mật được chia sẻ của họ. Tính không khước từ chỉ được cung cấp bởi khóa công khai, hoặc các hệ thống mật mã bất đối xứng, một chủ đề được thảo luận chi tiết hơn trong Chương 7. Các khái niệm về Mật mã Cũng như với bất kỳ ngành khoa học nào, bạn phải làm quen với những thuật ngữ nhất định trước khi nghiên cứu về mật mã học. Hãy cùng xem xét m ột số những thuật ngữ chính được sử dụng để mô tả các mã và mật mã. Trước khi một thông điệp được chuyển thành dạng mã, nó còn được gọi là một thông điệp bản rõ (plaintext) và được đại diện bởi ký tự P khi các hàm mã hóa được mô tả. Người gửi của một thông điệp sử dụng một thuật toán mã hóa để mã hóa thông điệp bản rõ và tạo ra một thông điệp bản mã (ciphertext), được đại diện bởi ký tự C. Thông điệp này được truyền đi bởi một vài phương tiện vật lý và điện tử đến cho người nhận. Sau đó, người nhận sử dụng một thuật toán đã được chỉ định trước để giải mã thông điệp bản mã này và trích xuất được phiên bản rõ. (Để có một minh họa về quá trình này, hãy xem Hình 6.3 ở phần sau của chương này). Mọi thuật toán mã hóa đều dựa trên các khóa để duy trì tính bảo mật của chúng. Đối với hầu hết, một khóa không hơn gì một con số. Nó thường là một số nhị phân rất lớn, nhưng nó vẫn là một con số. Mọi thuật toán đều có một không gian khóa cụ thể. Không gian khóa là phạm vi giá trị hợp lệ để sử dụng làm khóa cho một thuật toán cụ thể. Một không gian khóa được xác định bởi kích thước bit của nó. Kích thước bit không khác gì hơn số lượng bit nhị phân (0 và 1) trong khóa. Không gian khóa chính là phạm vi giữa khóa có tất cả các số là 0 và khóa có tất cả các số là 1. Hay nói một cách khác, không gian khóa là phạm vi các số 438 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống từ 0 đến 2n, trong đó n là kích thước bit của khóa. Vì vậy, một khóa 128-bit có thể có giá trị từ 0 đến 2128 (khoảng 3,40282367 × 1038, một con số rất lớn!). Điều tối quan trọng là phải bảo vệ sự an toàn của các khóa bí mật. Trên thực tế, tất cả sự bảo mật mà bạn có được từ mật mã phụ thuộc vào khả năng của bạn trong việc giữ các khóa được sử dụng ở chế độ riêng tư. Nguyên tắc Kerckhoffs Mọi mật mã đều dựa trên các thuật toán. Một thuật toán là một bộ các quy tắc, thường là toán học, ra lệnh cho quá trình mã hóa và gi ải mã diễn ra như thế nào. Hầu hết các nhà mật mã học đều tuân theo nguyên tắc Kerckhoffs, một khái niệm làm cho các thuật toán được biết đến và công khai, cho phép bất kỳ ai cũng có thể kiểm tra và thử nghiệm chúng. Cụ thể, nguyên tắc của Kerckhoffs (còn được gọi là giả định của Kerckhoffs) là một hệ thống mật mã phải được bảo mật ngay cả khi mọi thứ về hệ thống, ngoại trừ khóa, đều là kiến thức công khai. Nguyên tắc có thể được tóm tắt là “Kẻ thù biết hệ thống”. Một số lượng lớn các nhà mật mã tuân thủ nguyên tắc này, nhưng không phải ai cũng đều đồng ý. Trên thực tế, một số người tin rằng bảo mật tổng thể tốt hơn có thể được duy trì bằng cách giữ bí mật cả thuật toán và khóa. Những người ủng hộ Kerckhoffs phản pháo lại rằng phương pháp tiếp cận ngược lại bao gồm thực tiễn đáng ngờ về “bảo mật thông qua sự che đậy” và tin rằng việc tiếp xúc công khai tạo ra nhiều hoạt động hơn và dễ dàng bộc lộ nhiều điểm yếu hơn, dẫn đến việc từ bỏ các thuật toán không đủ mạnh và áp dụng các thuật toán phù hợp nhanh chóng hơn. Như bạn sẽ tìm hiểu trong chương này và chương tiếp theo, các loại thuật toán khác nhau yêu cầu các loại khóa khác nhau. Trong các hệ thống mật mã khóa riêng tư (hoặc khóa bí mật), tất cả những người tham gia sẽ sử dụng một khóa chia sẻ duy nhất. Trong các hệ thống mật mã khóa công khai, mỗi người tham gia sẽ có một cặp khóa riêng. Các khóa m ật mã đôi khi được gọi là các biến số bí mật, đặc biệt là trong các ứng dụng của chính phủ Hoa Kỳ. Nghệ thuật tạo ra và triển khai các mã và mật mã bí mật được gọi là mật mã (cryptography). Thực tiễn này song song với nghệ thuật phân tích mã - nghiên 439 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống cứu các phương pháp để đánh bại mã và mật mã. Cùng với nhau, mật mã và phân tích mật mã thường được gọi là mật mã học (cryptology). Các triển khai cụ thể của một mã hoặc mật mã trong phần cứng và phần mềm được gọi là hệ thống mật mã. Tiêu chuẩn xử lý thông tin liên bang (FIPS) 140 –2, “Các Yêu cầu Bảo mật đối với Mô-đun Mật mã”, xác định các yêu cầu phần cứng và phần mềm đối với môđun mật mã mà chính phủ liên bang sử dụng. Toán học Mật mã Mật mã học không khác với hầu hết các ngành khoa h ọc máy tính ở chỗ nó tìm thấy nền tảng của nó trong khoa học về toán học. Để hiểu đầy đủ về mật mã, trước tiên bạn phải hiểu những điều cơ bản của toán học nhị phân và các phép toán logic được sử dụng để thao tác các giá trị nhị phân. Những phần dưới đây trình bày một quan điểm ngắn gọn về một số khái niệm cơ bản nhất mà bạn nên làm quen. Có rất ít khả năng bạn sẽ được yêu cầu sử dụng trực tiếp toán học mật mã trong kỳ thi. Tuy nhiên, việc nắm bắt tốt các nguyên tắc này là điều cực kỳ quan trọng để hiểu cách thức mà các chuyên gia bảo mật áp dụng các khái niệm mật mã vào các vấn đề bảo mật trong thế giới thực. Toán học Boolean Toán học Boolean xác định các quy tắc được sử dụng cho các bit và byte hình thành nên hệ thần kinh của bất kỳ máy tính nào. Rất có khả năng bạn đã quen thuộc với hệ thống thập phân. Nó là một hệ cơ số 10, trong đó một số nguyên từ 0 đến 9 được sử dụng ở mỗi vị trí và m ỗi giá trị của mỗi vị trí là bội số của 10. Có thể sự phụ thuộc của chúng ta vào hệ thập phân có nguồn gốc sinh học - con người có 10 ngón tay có thể dùng để đếm. 440 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Toán học Boolean thoạt đầu có thể rất khó hiểu, nhưng rất đáng để đầu tư thời gian để tìm hiểu cách thức mà các hàm logic hoạt động. Bạn cần biết những khái niệm này để thực sự hiểu hoạt động bên trong của các thuật toán mật mã. Tuơng tự, sự phụ thuộc của máy tính vào hệ thống Boolean cũng có nguồn gốc điện tử. Trong một mạch điện tử, chỉ có hai trạng thái khả dĩ – bật (đại diện cho sự có mặt của dòng điện) và tắt (đại diện cho sự không có mặt của dòng điện [nghĩa là, không có điện]). Tất cả các phép tính được thực hiện bởi một thiết bị điện phải được thể hiện bằng các thuật ngữ này, dẫn đến việc sử dụng tính toán Boolean trong thi ết bị điện tử hiện đại. Nói chung, các nhà khoa học máy tính gọi điều kiện “bật” là một giá trị đúng (true) và điều kiện “tắt” là một giá trị sai (false). Các Phép toán Logic Toán học Boolean của ngành mật mã sử dụng một loạt các hàm logic khác nhau để thao tác dữ liệu. Chúng ta sẽ cùng xem xét một cách ngắn gọn về những phép toán này. AND Phép toán AND (được biểu thị bằng ký hiệu ^) kiểm tra xem liệu hai giá trị có đúng hay không. Bảng 6.1 cho thấy một bảng chân trị minh họa tất cả bốn kết quả đầu ra có thể có cho hàm AND. Trong bảng chân trị này, hai cột đầu tiên, X và Y, hiển thị các giá trị đầu vào cho hàm AND. Hãy nhớ rằng, hàm AND chỉ nhận hai biến làm đầu vào. Trong toán h ọc Boolean, chỉ có hai giá trị có thể có cho mỗi biến này (0 = FALSE và 1 = TRUE), d ẫn đến bốn đầu vào có thể có cho hàm AND. Cột X ^ Y hiển thị đầu ra của hàm AND cho các giá trị đầu vào được hiển thị trong hai cột liền kề. Chính số khả năng hữu hạn này giúp máy tính cực kỳ dễ dàng triển khai các chức năng logic trong phần cứng. Hãy lưu ý rằng trong Bảng 6.1 rằng chỉ một tổ hợp đầu vào (trong đó cả hai đầu vào đều đúng) tạo ra giá trị đầu ra là true. 441 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống BẢNG 6.1 Bảng chân trị của phép toán AND X Y X ^ Y 0 0 0 0 1 0 1 0 0 1 1 1 Các phép toán logic thường được thực hiện trên toàn bộ các từ Boolean hơn là các giá trị đơn lẻ. Hãy cùng xem xét ví dụ sau: X: 01101100 Y: 10100111 ---------------X ^ Y: 00100100 Hãy lưu ý rằng hàm AND được tính toán bằng cách so sánh các giá trị của X và Y trong từng cột. Kết quả đầu ra chỉ là đúng tại các cột có cả giá trị X lẫn Y đều là đúng. OR Phép toán OR (đại diện bằng ký hiệu v) kiểm tra xem liệu có ít nhất một trong số các đầu vào là đúng hay không. Hãy tham khảo bảng chân trị trong Bảng 6.2 để biết tất cả các giá trị có thể có của hàm OR. Hãy lưu ý rằng lần duy nhất hàm OR trả về giá trị sai là khi cả hai giá trị đầu vào đều sai. BẢNG 6.2 Bảng chân trị của phép toán OR X Y X v Y 0 0 0 0 1 1 1 0 1 1 1 1 442 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Chúng tôi sẽ lại sử dụng cùng một ví dụ mà chúng tôi đã sử dụng trong phần trước để minh họa cho bạn về kết quả đầu ra là gì nếu X và Y được đưa vào hàm OR thay vì hàm AND: X: 01101100 Y: 10100111 ---------------X ^ Y: 11101111 NOT Phép toán NOT (đại diện bằng ký hiệu ~) chỉ đơn giản là đảo ngược giá trị của một biến số đầu vào. Hàm này chỉ hoạt động với một biến số tại một thời điểm. Bảng 6.3 minh họa cho bảng chân trị của hàm NOT. BẢNG 6.2 Bảng chân trị của phép toán OR X ~X 0 1 1 0 Trong ví dụ này, bạn lấy giá trị của X từ ví dụ trước đó và chạy hàm NOT đối với nó: X: 01101100 --------------~X: 10010011 OR Loại trừ Hàm logic sau cùng mà bạn sẽ xem xét trong chương này có lẽ là hàm quan trọng nhất và được sử dụng nhiều nhất trong các ứng dụng mật mã – hàm OR loại trừ (hay XOR). Nó được gọi là hàm XOR trong tài liệu toán học và thường được biểu thị bằng ký hiệu ⊕. Hàm XOR trả về giá trị đúng khi chỉ một trong các giá trị đầu vào là đúng. Nếu cả hai giá trị đều là sai hoặc cả hai giá trị đều là đúng thì 443 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống kết quả đầu ra của hàm XOR là sai. Bảng 6.4 cung cấp bảng chân trị cho phép toán XOR. X Y X ⊕ Y 0 0 0 0 1 1 1 0 1 1 1 0 Phép toán dưới đây minh họa các giá trị X và Y khi chúng được sử dụng như là đầu vào của hàm XOR: X: 01101100 Y: 10100111 ---------------- X ⊕ Y: 11001011 Hàm Modulo Hàm modulo cực kỳ quan trọng trong lĩnh vực mật mã. Hãy nhớ lại những ngày đầu tiên khi bạn lần đầu tiên học phép chia. Tại thời điểm đó, bạn chưa quen với các số thập phân và được bù đắp bằng cách hiển thị giá trị còn lại mỗi khi bạn thực hiện một phép toán chia. Về bản chất, máy tính cũng không hiểu được hệ thập phân và các giá trị còn lại này đóng một vai trò quan trọng khi máy tính thực hiện nhiều hàm toán học. Hàm modulo, khá đơn giản, là giá trị phần dư còn lại sau khi thực hiện phép toán chia. Hàm modulo cũng quan trọng đối với mật mã như các phép toán logic. Hãy chắc chắn rằng bạn đã quen thuộc với chức năng của nó và có thể thực hiện các phép toán mô-đun đơn giản. Hàm modulo thường được biểu diễn trong phương trình bằng từ viết tắt “mod”, mặc dù đôi khi nó cũng được biểu diễn bằng toán tử %. Dưới đây là một số đầu vào và đầu ra cho hàm modulo: 444 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 8 mod 6 = 2 6 mod 8 = 6 10 mod 3 = 1 10 mod 2 = 0 32 mod 8 = 0 32 mod 26 = 6 Chúng ta sẽ gặp lại hàm này trong Chương 7 khi chúng ta khám phá thuật toán mã hóa khóa công khai RSA (đư ợc đặt tên theo Ron Rivest, Adi Shamir và Leonard Adleman, những người đã phát minh ra nó). Các Hàm Một-Chiều Hàm một chiều là một phép toán dễ dàng tạo ra các giá trị đầu ra cho mỗi tổ hợp đầu vào khả dĩ nhưng không thể truy xuất các giá trị đầu vào. Tất cả các hệ thống mật mã khóa công khai đều dựa trên một số loại hàm một-chiều. Tuy nhiên, trên thực tế, người ta chưa bao giờ chứng minh được rằng bất kỳ hàm cụ thể nào đã biết thực sự chỉ là một chiều. Các nhà mật mã học dựa vào các hàm mà họ tin là một chiều, nhưng luôn có khả năng chúng có thể bị phá vỡ bởi các chuyên gia phân tích mật mã trong tương lai. Đây là một ví dụ. Hãy tưởng tượng rằng bạn có một chức năng nhân ba số lại với nhau. Nếu bạn hạn chế các giá trị đầu vào ở các số có một chữ số, thì vấn đề tương đối đơn giản là thiết kế ngược lại hàm này và xác định các giá trị đầu vào có thể có bằng cách xem số ở kết quả đầu ra. Ví dụ: giá trị đầu ra 15 được tạo ra bằng cách sử dụng các giá trị đầu vào 1, 3 và 5. Tuy nhiên, giả sử bạn hạn chế giá trị đầu vào ở các số nguyên tố có năm chữ số. Vẫn khá đơn giản để có được giá trị đầu ra bằng cách sử dụng máy vi tính hoặc một máy tính tốt, nhưng kỹ-thuật-đảo-ngược không hoàn toàn đơn giản như vậy. Bạn có thể tìm ra ba số nguyên tố nào đã được sử dụng để nhận được giá trị đầu ra là 10,718,488,075,259 không? Không đơn giản như vậy nhỉ? (Hóa ra, con số này là tích của các số nguyên tố 17,093; 22,441; và 27,943.) Thực tế có 8,363 số nguyên tố năm chữ số, vì vậy bài toán này có thể bị tấn công bằng máy tính và thuật toán cưỡng-bức, nhưng không có cách nào dễ dàng để tìm ra nó trong đầu bạn, đó là điều chắc chắn! Nonce Mật mã học thường đạt được sức mạnh bằng cách bổ sung thêm tính ngẫu nhiên vào quá trình mã hóa. Một phương pháp mà điều này được thực hiện là thông qua việc sử dụng một nonce. Số nonce là một số ngẫu nhiên hoạt động như một 445 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống biến giữ chỗ trong các hàm toán học. Khi hàm được thực thi, số nonce được thay thế bằng một số ngẫu nhiên được tạo ra tại thời điểm xử lý để sử dụng một lần. Số nonce phải là một số duy nhất mỗi khi nó được sử dụng. Một trong những ví dụ dễ nhận biết hơn về nonce là véc-tơ khởi tạo (IV), một chuỗi bit ngẫu nhiên có cùng độ dài với kích thước khối (lượng dữ liệu sẽ được mã hóa trong mỗi thao tác) và được XOR với thông điệp. IV được sử dụng để tạo ra bản mã duy nhất mỗi khi cùng một thông điệp được mã hóa bằng cùng một khóa. Bằng chứng Không-Kiến-thức (Zero-Knowledge Proof) Một trong những lợi ích của mật mã được tìm thấy trong cơ chế chứng minh kiến thức của bạn về một sự kiện cho một bên thứ ba mà không tiết lộ sự thật cho bên thứ ba đó. Điều này thường được thực hiện với mật khẩu và các trình xác thực bí mật khác. Ví dụ kinh điển về một bằng chứng không-kiến-thức liên quan đến hai cá nhân: Peggy và Victor. Peggy biết mật khẩu của một cánh cửa bí mật nằm bên trong một hang động tròn, như trong Hình 6.2. Victor mu ốn mua mật khẩu từ Peggy, nhưng anh ấy muốn Peggy chứng minh rằng cô ấy biết mật khẩu trước khi trả tiền cho cô ấy. Peggy không muốn cho Victor biết mật khẩu vì sợ rằng sau này anh ta sẽ không trả tiền. Bằng chứng không-kiến-thức có thể giải quyết tình huống khó xử của họ. Victor có thể đứng ở lối vào hang động và nhìn Peggy đi vào trên đường 1. Sau đó Peggy đi tới cửa và mở nó ra bằng mật khẩu. Tiếp theo, cô đi qua cánh cửa và quay trở lại bằng con đường 2. Victor thấy cô rời khỏi con đường 1 và quay trở lại con đường 2, chứng tỏ rằng cô phải biết mật khẩu chính xác để mở cửa. Bằng chứng không-kiến-thức xuất hiện trong mật mã trong trường hợp một cá nhân muốn chứng minh kiến thức về một thực tế (chẳng hạn như mật khẩu hoặc khóa) mà không thực sự tiết lộ thông tin đó cho cá nhân kia. Điều này có thể được thực hiện thông qua các phép toán phức tạp, chẳng hạn như logarit rời rạc và lý thuyết đồ thị. 446 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống HÌNH 6.2 Cánh cửa thần kỳ Kiến thức Phân tách Khi thông tin hoặc đặc quyền cần thiết để thực hiện một hoạt động được phân chia cho nhiều người dùng, sẽ không một người nào có đủ đặc quyền để xâm phạm tính bảo mật của môi trường. Sự tách biệt các nhiệm vụ và sự kiểm soát hai-người được chứa trong một giải pháp duy nhất được gọi là kiến thức phân tách. Ví dụ tốt nhất về kiến thức phân tách được tìm thấy trong khái niệm về ký quỹ khóa. Trong một thỏa thuận ký quỹ khóa, một khóa mật mã được lưu trữ với một bên thứ ba để được bảo quản an toàn. Khi đáp ứng các trường hợp nhất định, bên thứ ba có thể sử dụng khóa ký quỹ để khôi phục quyền truy cập của người dùng được cấp phép hoặc tự giải mã tài liệu. Bên thứ ba này được gọi là tác nhân khôi phục. Trong các thỏa thuận chỉ sử dụng một tác nhân khôi phục ký quỹ khóa duy nhất, sẽ có cơ hội để gian lận và lạm dụng đặc quyền này, vì tác nhân khôi phục duy nhất có thể đơn phương quyết định việc giải mã thông tin. M of N Control yêu cầu số lượng tối thiểu các tác nhân (M) trong tổng số các tác nhân (N) làm việc cùng với nhau để thực hiện các nhiệm vụ bảo-mật-cao. Vì vậy, việc triển khai 447 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống các biện pháp kiểm soát ba (M) trong số tám (N) sẽ yêu cầu ba người trong số tám người với nhiệm vụ công việc được giao là nhân viên khôi phục khóa ký quỹ làm việc cùng nhau để rút một khóa duy nhất ra khỏi cơ sở dữ liệu ký quỹ khóa (do đó cũng minh họa rằng M luôn nhỏ hơn hoặc bằng N). Hàm Hoạt động Bạn có thể đo lường sức mạnh của hệ thống mật mã bằng cách đo lường nỗ lực về mặt chi phí và/hoặc thời gian bằng cách sử dụng một hàm hoạt động hoặc hệ số hoạt động. Thông thường, thời gian và nỗ lực cần thiết để thực hiện một cuộc tấn công kiểu cưỡng-bức hoàn chỉnh chống lại hệ thống mã hóa là những gì mà hàm hoạt động thể hiện. Bảo mật và sự bảo vệ được cung cấp bởi một hệ thống mật mã tỷ lệ thuận với giá trị của hàm/hệ số hoạt động. Kích thước của hàm hoạt động phải phù hợp với giá trị tương đối của tài sản được bảo vệ. Hàm hoạt động chỉ cần lớn hơn một chút so với giá trị thời gian của tài sản đó. Nói cách khác, tất cả bảo mật, bao gồm cả mật mã, phải tiết-kiệm-chi-phí và có hiệu-quảchi-phí. Không tốn nhiều công sức để bảo vệ tài sản hơn mức được bảo đảm, nhưng hãy đảm bảo cung cấp đủ khả năng bảo vệ. Như vậy, nếu thông tin mất giá trị theo thời gian thì hàm hoạt động chỉ cần đủ lớn để đảm bảo bảo vệ cho đến khi hết giá trị của dữ liệu. Ngoài việc hiểu rõ khoảng thời gian mà dữ liệu sẽ có giá trị, các chuyên gia bảo mật lựa chọn hệ thống mật mã phải hiểu các công nghệ mới nổi có thể có tác động như thế nào đến những nỗ lực bẻ khóa mật mã. Ví dụ: các nhà nghiên cứu có thể phát hiện ra một lỗ hổng trong thuật toán mật mã vào năm tới khiến thông tin được bảo vệ bằng thuật toán đó không còn an toàn nữa. Tương tự, những tiến bộ công nghệ trong điện toán song song dựa trên đám mây và điện toán lượng tử có thể khiến cho những nỗ lực kiểu cưỡng-bức trở nên khả thi hơn nhiều. Mật mã Hệ thống mật mã từ lâu đã được sử dụng bởi các cá nhân và chính phủ quan tâm đến việc bảo tồn tính bí mật của thông tin liên lạc của họ. Trong các phần tiếp theo, chúng tôi sẽ trình bày định nghĩa về mật mã và khám phá một số loại mật mã phổ biến tạo nên nền tảng của mật mã hiện đại. Điều quan trọng cần nhớ là 448 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống những khái niệm này trông có vẻ hơi cơ bản, nhưng khi được sử dụng kết hợp, chúng có thể là những đối thủ đáng gờm và khiến các chuyên gia phân tích mật mã phải thất vọng trong nhiều giờ liền. Codes so với Ciphers Mọi người thường sử dụng hai từ mã (code) và mật mã (cipher) thay thế cho nhau, nhưng xét về mặt kỹ thuật, chúng là không thể thay thế cho nhau. Có những khác biệt quan trọng giữa hai khái niệm. Mã, là hệ thống mật mã của các ký hiệu đại diện cho các từ hoặc cụm từ, đôi khi là bí mật, nhưng chúng không nhất thiết phải mang lại tính bảo mật. Một ví dụ phổ biến về mã là “hệ thống 10” về giao tiếp được sử dụng bởi các cơ quan thực thi pháp luật. Theo hệ thống này, câu “Tôi đã nhận được thông tin liên lạc của bạn và hiểu được nội dung” được thể hiện bằng cụm từ mã “10-4”. Semaphores và mã Morse cũng là nh ững ví dụ về mã. Những mã này thường được công chúng biết đến và mang đến sự dễ dàng trong giao tiếp. Một số mã là bí mật. Chúng có thể chuyển tải thông tin bí mật bằng cách sử dụng một sổ mã bí mật mà ý nghĩa của mã chỉ có người gửi và người nhận biết. Ví dụ, một điệp viên có thể truyền tải câu “Con đại bằng đã hạ cánh” để báo cáo về sự xuất hiện của máy bay địch. Nói một cách khác đi, mật mã (cipher) luôn là phương tiện để che giấu ý nghĩa thực sự của một thông điệp. Chúng sử dụng nhiều kỹ thuật khác nhau để thay đổi và/hoặc sắp xếp lại các ký tự hoặc các bit của một thông điệp để đạt được tính bảo mật. Mật mã chuyển đổi thông điệp từ bản rõ sang bản mã trên cơ sở bit (nghĩa là, một chữ số duy nhất của mã nhị phân), cơ sở ký tự (nghĩa là một ký tự đơn của một thông điệp ASCII) hoặc cơ sở khối (nghĩa là, một phân đoạn của một thông điệp có độ-dài-cố-định, thường được biểu thị bằng số lượng của các bit). Những phần dưới đây trình bày một số mật mã phổ biến được sử dụng ngày nay. Một cách dễ dàng để phân biệt giữa mã và mật mã là nhớ rằng mã hoạt động trên các từ và cụm từ, trong khi mật mã hoạt động trên các ký tự, bit và khối riêng lẻ 449 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mật mã Chuyển vị (Transposition Cipher) Mật mã chuyển vị sử dụng một thuật toán mã hóa để sắp xếp lại các chữ cái của một thông điệp bản rõ, tạo thành thông điệp bản mã. Thuật toán giải mã chỉ đơn giản là đảo ngược phép biến đổi mã hóa để trích xuất thông điệp ban đầu. Trong ví dụ về giao thức phản-hồi-thách-thức trong Hình 6.1 trước đó của chương này, một mật mã chuyển vị đơn giản đã được sử dụng để đảo ngược các chữ cái của thông báo để apple trở thành elppa. Mật mã chuyển vị có thể phức tạp hơn nhiều. Ví dụ: bạn có thể sử dụng một từ khóa để thực hiện chuyển vị cột. Trong ví dụ sau đây, chúng tôi đang cố gắng mã hóa thông điệp “Các máy bay chiến đấu sẽ tấn công các căn cứ của đối phương vào buổi trưa” bằng cách sử dụng khóa bí mật là từ attacker. Bước đầu tiên của chúng ta là lấy các chữ cái của từ khóa và đánh số chúng theo thứ tự bảng chữ cái. Lần xuất hiện đầu tiên của chữ A nhận giá trị 1, lần xuất hiện thứ hai được đánh số 2. Chữ cái tiếp theo trong dãy [theo thứ tự trong bảng chữ cái tiếng Anh], C, được đánh số 3, v.v… Việc này dẫn đến chuỗi sau: A T T A C K E R 1 7 8 2 3 5 4 6 Tiếp theo, các ký tự của thông diệp được viết theo thứ tự bên dưới các ký tự của từ khóa A T T A C K E R 1 7 8 2 3 5 4 6 T H E F I G H T E R S W I L L S T R I K E T H E E N E M Y B A S E S A T N O O N Cuối cùng, người gửi viết thư bằng cách đọc xuống từng cột, thứ tự các cột được đọc tương ứng với các số được ấn định trong bước đầu tiên. Điều này sẽ tạo ra bản mã sau: T E T E E F WWK MT IIE Y N H LH AO T S E S NHR R NSE S IE A 450 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tại đầu cuối, người nhận sẽ tái tạo lại ma trận 8-cột bằng cách sử dụng bản mã và cùng một từ khóa và sau đó chỉ đơn giản là đọc thông điệp bản rõ qua các dòng. Mật mã Thay thế Mật mã thay thế sử dụng thuật toán mã hóa để thay thế mỗi ký tự hoặc bit của thông điệp bản rõ bằng một ký tự khác. Một trong những mật mã thay thế được biết đến sớm nhất đã được Julius Caesar sử dụng để liên lạc với Cicero ở Rome trong khi ông ta chinh phục châu Âu. Caesar biết rằng có một số rủi ro khi gửi thông điệp - một trong những người đưa tin có thể là gián điệp của đối phương hoặc có thể bị phục kích khi đang trên đường đi đến các lực lượng đã được triển khai. Vì lý do đó, Caesar đã phát tri ển một hệ thống mật mã ngày nay được gọi là mật mã Caesar. Hệ thống này cực kỳ đơn giản. Để mã hóa một thông điệp, bạn chỉ cần chuyển mỗi chữ cái trong bảng chữ cái sang bên phải ba vị trí. Ví dụ: A sẽ trở thành D và B sẽ trở thành E. Nếu bạn đi đến cuối bảng chữ cái trong quá trình này, bạn chỉ cần quay ngược lại để X trở thành A, Y trở thành B và Z trở thành C. Vì lý do này, mật mã Caesar còn được gọi là mật mã ROT3 (hoặc Rotate 3). Mật mã Caesar là một mật mã thay thế dạng một bảng-chữ-cái-đơnlẻ. Mặc dù mật mã Caesar sử dụng bước dịch chuyển là 3 nhưng mật mã dịch chuyển tổng quát hơn sử dụng cùng một thuật toán để dịch chuyển bất kỳ số ký tự nào mà người dùng mong muốn. Ví dụ, mật mã ROT12 sẽ biến A thành M, B thành N, v.v… Dưới đây là một ví dụ về một mật mã Caesar đang hoạt động. Dòng đầu tiên chứa câu gốc và dòng thứ hai hiển thị câu đó trông như thế nào khi nó được mã hóa bằng mật mã Caesar. THE DIE HAS BEEN CAST WKH GLH KDV EHHQ FDVW Để giải mã thông điệp, bạn đơn giản chỉ cần dịch chuyển từng ký tự về bên trái ba vị trí. 451 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mặc dù mật mã Caesar dễ sử dụng nhưng nó cũng rất dễ bị bẻ khóa. Nó dễ bị tấn công bởi một kiểu tấn công được gọi là phân tích tần suất. Các chữ cái phổ biến nhất trong tiếng Anh là E, T, A, O, N, R, I, S và H. Một kẻ tấn công đang tìm cách phá mật mã kiểu Caesar đã mã hóa một thông điệp được viết bằng tiếng Anh chỉ cần tìm các chữ cái phổ biến nhất trong văn bản được mã hóa và thử nghiệm với sự thay thế của các chữ cái phổ biến này để giúp xác định hình mẫu. Bạn có thể biểu thị mật mã ROT3 bằng các thuật ngữ toán học bằng cách chuyển đổi từng chữ cái sang phần thập phân tương đương của nó (trong đó A là 0 và Z là 25). Sau đó, bạn có thể thêm 3 vào mỗi ký tự bản rõ để xác định bản mã. Bạn tính toán kết quả chung quanh bằng cách sử dụng hàm modulo đã được thảo luận trong phần “Toán học Mật mã” ở phần trước đó của chương này. Sau đó, hàm mã hóa cuối cùng cho mật mã Caesar là: C = (P + 3) mod 26 Hàm giải mã tương ứng sẽ là: P = (C – 3) mod 26 Như với mật mã chuyển vị, có nhiều mật mã thay thế phức tạp hơn các ví dụ được cung cấp trong chương này. Mật mã thay thế polyalphabetic sử dụng nhiều bảng chữ cái trong cùng một thông điệp để gây cản trở nỗ lực giải mã. Một trong những ví dụ đáng chú ý nhất của hệ thống mật mã thay thế polyalphabetic là mật mã Vigenère. Mật mã Vigenère sử dụng một biểu đồ mã hóa/giải mã duy nhất, như được hiển thị dưới đây. 452 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống |ABCDEFGHIJKLMNOPQRSTUVWXYZ ----------------------------A|ABCDEFGHIJKLMNOPQRSTUVWXYZ B|BCDEFGHIJKLMNOPQRSTUVWXYZA C|CDEFGHIJKLMNOPQRSTUVWXYZAB D|DEFGHIJKLMNOPQRSTUVWXYZABC E|EFGHIJKLMNOPQRSTUVWXYZABCD F|FGHIJKLMNOPQRSTUVWXYZABCDE G|GHIJKLMNOPQRSTUVWXYZABCDEF H|HIJKLMNOPQRSTUVWXYZABCDEFG I|IJKLMNOPQRSTUVWXYZABCDEFGH J|JKLMNOPQRSTUVWXYZABCDEFGHI K|KLMNOPQRSTUVWXYZABCDEFGHIJ L|LMNOPQRSTUVWXYZABCDEFGHIJK M|MNOPQRSTUVWXYZABCDEFGHIJKL N|NOPQRSTUVWXYZABCDEFGHIJKLM O|OPQRSTUVWXYZABCDEFGHIJKLMN P|PQRSTUVWXYZABCDEFGHIJKLMNO Q|QRSTUVWXYZABCDEFGHIJKLMNOP R|RSTUVWXYZABCDEFGHIJKLMNOPQ S|STUVWXYZABCDEFGHIJKLMNOPQR T|TUVWXYZABCDEFGHIJKLMNOPQRS U|UVWXYZABCDEFGHIJKLMNOPQRST V|VWXYZABCDEFGHIJKLMNOPQRSTU W|WXYZABCDEFGHIJKLMNOPQRSTUV X|XYZABCDEFGHIJKLMNOPQRSTUVW Y|YZABCDEFGHIJKLMNOPQRSTUVWX Z|ZABCDEFGHIJKLMNOPQRSTUVWXY Hãy lưu ý rằng biểu đồ chỉ đơn giản là bảng chữ cái được viết lặp lại (26 lần) dưới tiêu đề chính, dịch chuyển một chữ cái mỗi lần. Bạn sẽ cần đến một chìa khóa để sử dụng hệ thống Vigenère. Ví dụ, khóa có thể là MILES. Sau đó, bạn sẽ thực hiện quá trình mã hóa như sau: 453 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 1. Viết ra bản rõ. 2. Ngay bên dưới, viết ra khóa mã hóa, lặp lại khóa nhiều lần nếu cần thiết để xác lập nên một dòng văn bản có cùng độ dài với bản rõ. 3. Chuyển từng vị trí của mỗi ký tự từ bản rõ thành bản mã a. Định vị cột đứng đầu bởi ký tự rõ ràng đầu tiên (A), b. Tiếp theo, định vị dòng đứng đầu bởi ký tự đầu tiên của khóa (S) [tác giả nhầm ký tự đầu tiên của khóa – là ký tự M], c. Cuối cùng, định vị nơi hai mục trên giao nhau, viết ra ký tự (S) [tác giả nhầm ký tự đầu tiên của khóa – là ký tự M] xuất hiện ở đó. Đây chính là bản mã cho vị trí của ký tự đó. 4. Lặp lại các bước từ 1 đến 3 cho từng ký tự trong bản rõ. Kết quả được minh họa trong Bảng 6.5. (nôm na: cột sẽ được xác định bằng từ của bản rõ, hàng sẽ dùng khóa – người dịch) BẢNG 6.5 Sử dụng hệ thống Vigenère Giai đoạn xử lý Ký tự Bản rõ L A U N C H N O W Khóa M I L E S M I L E Bản mã X I F R U T V Z A Mặc dù sự thay thế polyalphabetic bảo vệ chống lại phân tích tần số trực tiếp, nhưng nó dễ bị tổn thương bởi hình thức phân tích tần số bậc-hai được gọi là phân tích chu kỳ, là một quá trình kiểm tra tần suất dựa trên việc sử dụng lại khóa. Bảng Một-Lần (One-Time Pads) Bảng một-lần là một loại mật mã thay thế cực kỳ mạnh mẽ. Các bảng một lần sử dụng một bảng chữ cái thay thế khác nhau cho mỗi chữ cái của thông điệp văn bản rõ. Chúng có thể được biểu diễn bằng hàm mã hóa dưới đây, trong đó K là khóa mã hóa được sử dụng để mã hóa ký tự bản rõ P thành ký tự mã hóa C: 454 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C = (P + K) mod 26 Thông thường, bảng một-lần được viết như là một dãy số rất dài để gắn vào hàm. Các bảng một-lần còn được gọi là mật mã Vernam, được đặt theo tên gọi của người phát minh ra nó, Gilbert Sandford Vernam c ủa AT & T Bell Labs. Ưu điểm tuyệt vời của bảng một-lần là khi được sử dụng đúng cách, chúng là một lược đồ mã hóa không thể phá vỡ. Không có mô hình lặp lại của các chữ cái thay thế, khiến cho các nỗ lực phân tích mật mã trở nên vô ích. Tuy nhiên, m ột số yêu cầu cần phải được đáp ứng để đảm bảo tính toàn vẹn của thuật toán: ▪ Bảng một-lần phải được tạo ra một cách ngẫu nhiên. Việc sử dụng một cụm từ hoặc một đoạn văn trong sách sẽ cung cấp khả năng để các chuyên gia phân tích mật mã có thể phá mã. ▪ Bảng một-lần phải được bảo vệ về mặt vật lý để chống lại sự tiết lộ. Nếu kẻ thù có m ột bản sao của bảng, chúng có thể dễ dàng giải mã các thông điệp được mã hóa. Tại thời điểm này, bạn có thể nghĩ rằng mật mã Caesar, mật mã Vigenère và bảng một-lần nghe rất giống nhau. Chính xác! Sự khác biệt duy nhất là chiều dài khóa. Mật mã chuyển Caesar sử dụng một khóa có độ dài bằng một, mật mã Vigenère sử dụng một khóa dài hơn (thường là một từ hoặc câu) và bảng một-lần sử dụng một khóa dài bằng chính thông điệp đó. ▪ Mỗi bảng một-lần chỉ được sử dụng một lần. Nếu các bảng này được sử dụng lại, các chuyên gia phân tích mật mã có thể so sánh các điểm tương đồng trong nhiều thông điệp được mã hóa bằng cùng một bảng và có thể xác định các giá trị khóa đã được sử dụng. Trên thực tế, một thực tiễn phổ biến khi sử dụng các bảng giấy là phá hủy trang có chứa vật liệu khóa sau khi nó được sử dụng để ngăn việc tái sử dụng. 455 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Khóa ít nhất phải dài bằng với thông điệp được mã hóa. Điều này là do mỗi ký tự của khóa chỉ được sử dụng để mã hóa một ký tự của thông báo. Các yêu cầu bảo mật bảng một-lần này là kiến thức cần thiết cho bất kỳ chuyên gia bảo mật mạng nào. Thông thường, mọi người cố gắng triển khai hệ thống mật mã bảng một-lần nhưng không đáp ứng được một hoặc nhiều yêu cầu cơ bản này. Hãy đọc để biết ví dụ về việc toàn bộ hệ thống mã của Liên Xô đã bị hỏng vì sự bất cẩn trong lĩnh vực này như thế nào. Nếu bất kỳ một trong những yêu cầu này không được đáp ứng, bản chất không thể xuyên thủng của bảng một-lần sẽ ngay lập tức bị phá vỡ. Trên thực tế, một trong những thành công tình báo quan trọng của Hoa Kỳ là khi các chuyên gia phân tích mật mã phá vỡ một hệ thống mật mã tối mật của Liên Xô dựa vào việc sử dụng các bảng một-lần. Trong dự án này, có tên gọi là mã VENONA, một mô hình theo cách thức Liên Xô đã tạo ra các giá trị khóa được sử dụng trong các bảng của họ đã bị phát hiện. Sự tồn tại của mẫu này đã vi phạm yêu cầu đầu tiên của hệ thống mật mã bảng một-lần: các khóa phải được tạo ra một cách ngẫu nhiên mà không sử dụng bất kỳ mẫu lặp lại nào. Toàn bộ dự án VENONA gần đây đã được giải mật và được công bố rộng rãi trên trang web của Cơ quan An ninh Quốc gia Hoa Kỳ tại địa chỉ URL www.nsa.gov/about/cryptologic- heritage/historicalfigurespublications/Publishers/coldwar/asset/files/venona_story.pdf. Các bảng một-lần đã được sử dụng trong suốt lịch sử để bảo vệ các thông tin liên lạc cực kỳ nhạy cảm. Trở ngại lớn đối với việc sử dụng rộng rãi chúng là sự khó khăn trong việc tạo ra, phân phối và bảo vệ các khóa dài cần thiết. Trên thực tế, các bảng một-lần chỉ có thể được sử dụng cho các thông điệp ngắn, vì độ dài của các khóa. 456 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Nếu bạn thích thú với việc tìm hiểu thêm về các bảng một-lần, sẽ có một mô tả tuyệt vời về nó cùng với những hình ảnh và ví dụ tại www.cryptomuseum.com/crypto/otp/index.html . Mật mã Khóa đang Hoạt động Có rất nhiều lỗ hổng mật mã xoay quanh độ dài bị hạn chế của khóa mật mã. Như bạn đã tìm hiểu trong phần trước, các bảng một-lần tránh những lỗ hổng này bằng cách sử dụng một khóa có chiều dài ít nhất bằng với chiều dài của thông điệp. Tuy nhiên, các bảng một-lần rất khó triển khai vì chúng đòi hỏi sự trao đổi về mặt vật lý của các bảng. Một giải pháp phổ biến cho tình huống khó xử này là sử dụng mật mã khóa đang hoạt động (còn được gọi là mật mã sách (book cipher). Trong mật mã này, khóa mã hóa dài như chính thông điệp và thường được chọn từ một cuốn sách, tờ báo hoặc tạp chí thông thường. Ví dụ, người gửi và người nhận có thể đồng ý trước để sử dụng văn bản của một chương từ Moby-Dick, bắt đầu bằng đoạn thứ ba, làm khóa. Cả hai sẽ chỉ đơn giản sử dụng nhiều ký tự liên tiếp nếu cần thiết để thực hiện các hoạt động mã hóa và giải mã. Hãy xem một ví dụ. Giả sử bạn muốn mã hóa thông điệp “Richard sẽ giao gói hàng bí mật cho Matthew ở trạm xe buýt vào ngày mai” (Richard will deliver the secret packet to Matthew at the bus station tomorrow ) bằng cách sử dụng khóa vừa mô tả. Thông điệp này có độ dài 66 ký tự, vì vậy bạn sẽ sử dụng 66 ký tự đầu tiên của khóa đang hoạt động: “With much interet I sat watching him. Savage though he was, and hideously marred”. Sau đó, bất kỳ thuật toán nào cũng có thể được sử dụng để mã hóa bản rõ bằng cách sử dụng khóa này. Hãy xem ví dụ về phép toán modulo 26, chuyển đổi mỗi chữ cái thành số tương đương với số thập phân, cộng bản rõ vào khóa và sau đó thực hiện thao tác modulo 26 để tạo ra bản mã. Nếu bạn gán cho chữ A giá trị 0 và chữ Z giá trị 25 thì Bảng 6.6 cho thấy hoạt động mã hóa cho hai từ đầu tiên của bản mã. 457 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống BẢNG 6.6 Cách hoạt động của mã hóa Thành phần của phép toán x x x x x x x x x x x Bản rõ R I C H A R D W I L L Khóa W I T H M U C H I N T Bản rõ bằng số 17 8 2 7 0 17 3 22 8 11 11 Khóa bằng số 22 8 19 7 12 20 2 7 8 13 19 Bản mã bằng số 13 16 21 14 12 11 5 3 16 24 4 Bản mã N Q V O M L F D Q Y E Khi người nhận nhận được bản mã, họ sẽ sử dụng cùng một khóa và sau đó trừ khóa ra khỏi bản mã, thực hiện một phép toán module 26, và sau đó chuyển đổi bản rõ kết quả trở lại dưới dạng các ký tự chữ cái. Mật mã Khối Mật mã khối hoạt động trên các “đoạn (chunk)” hoặc khối (block), của một thông điệp và áp dụng thuật toán mã hóa cho toàn bộ khối thông điệp cùng một lúc. Mật mã chuyển vị là ví dụ về mật mã khối. Thuật toán đơn giản được sử dụng trong thuật toán phản-hồi-thách-thức lấy toàn bộ một từ và đảo ngược các chữ cái của nó. Mật mã chuyển vị dạng cột phức tạp hơn hoạt động trên toàn bộ thông điệp (hoặc một phần của thông điệp) và mã hóa nó bằng cách sử dụng thuật toán chuyển vị và một từ khóa bí mật. Hầu hết các thuật toán mã hóa hiện đại đều thực hiện một số loại mật mã khối. Mật mã Luồng Mật mã luồng hoạt động trên một ký tự hoặc bit của thông điệp (hoặc luồng dữ liệu) tại một thời điểm. Mật mã Caesar là một ví dụ về mật mã luồng. Bảng mộtlần cũng là một mật mã luồng vì thuật toán hoạt động trên từng chữ cái của 458 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thông điệp bản rõ một cách độc lập. Mật mã luồng cũng có thể hoạt động như một loại mật mã khối. Trong các hoạt động như vậy, có một bộ đệm lấp đầy dữ liệu thời-gian-thực, sau đó được mã hóa thành m ột khối và truyền đến người nhận. Nhầm lẫn và Lan truyền Các thuật toán mật mã dựa trên hai hoạt động cơ bản để ẩn giấu các thông điệp bản rõ – sự nhầm lẫn và lan truyền. Sự nhầm lẫn xảy ra khi mối quan hệ giữa bản rõ và khóa phức tạp đến mức kẻ tấn công không thể chỉ tiếp tục thay đổi bản rõ và phân tích bản mã thu được để xác định khóa. Sự lan truyền xảy ra khi một sự thay đổi trong bản rõ dẫn đến nhiều thay đổi lan truyền khắp bản mã. Ví dụ, hãy xem xét một thuật toán mật mã trước tiên thực hiện một phép thay thế phức tạp và sau đó sử dụng phép chuyển vị để sắp xếp lại các ký tự của bản mã được thay thế. Trong ví d ụ này, sự thay thế tạo ra sự nhầm lẫn và sự chuyển vị tạo ra sự lan truyền. Mật mã Hiện đại Các hệ thống mật mã hiện đại sử dụng các thuật toán phức tạp về mặt tính toán và những khóa mật mã dài để đáp ứng những mục đích về tính bảo mật, toàn vẹn, xác thực và không khước từ của mật mã. Những phần dưới đây đề cập đến những vai trò của khóa mật mã trong thế giới của dữ liệu bảo mật và xem xét 3 kiểu thuật toán được sử dụng phổ biến ngày nay: các thuật toán mã hóa đối xứng, thuật toán mã hóa bất đối xứng, và thuật toán băm. Khóa Mật mã Trong những ngày đầu tiên của mật mã, một trong những nguyên tắc chủ yếu là “bảo mật thông qua sự ẩn giấu”. Một số nhà mật mã nghĩ rằng cách tốt nhất để giữ an toàn cho một thuật toán mã hóa là che giấu các chi tiết của thuật toán đối với người ngoài. Các hệ thống mật mã cũ đòi hỏi các bên giao tiếp phải giữ bí mật với các bên thứ ba về thuật toán đã được sử dụng để mã hóa và giải mã thông điệp. Bất kỳ sự tiết lộ nào về thuật toán đều có thể dẫn đến việc kẻ thù xâm phạm toàn bộ hệ thống. Các hệ thống mật mã hiện đại không dựa vào tính bí mật của các thuật toán của chúng. Trên thực tế, các thuật toán cho hầu hết các hệ thống mật mã được phổ 459 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống biến rộng rãi để công chúng xem xét trong các tài li ệu kèm theo và trên Internet. Việc đưa ra các thuật toán để công chúng xem xét kỹ lưỡng thực sự cải thiện tính bảo mật của chúng. Việc phân tích rộng rãi các thuật toán của cộng đồng bảo mật máy tính cho phép những người thực hành phát hiện và sửa chữa các lỗ hổng bảo mật tiềm ẩn và đảm bảo rằng các thuật toán mà họ sử dụng để bảo vệ thông tin liên lạc của họ càng an toàn càng tốt. Thay vì dựa vào các thuật toán bí mật, các hệ thống mật mã hiện đại dựa vào tính bí mật của một hoặc nhiều khóa mật mã được sử dụng để cá nhân hóa thuật toán cho người dùng hoặc nhóm người dùng cụ thể. Hãy nhớ lại cuộc thảo luận về mật mã chuyển vị mà một từ khóa được sử dụng với chuyển vị cột để hướng dẫn các nỗ lực mã hóa và giải mã. Thuật toán được sử dụng để thực hiện chuyển vị cột đã được biết đến khá nhiều - bạn chỉ cần đọc chi tiết về nó trong quyển sách này! Tuy nhiên, chuyển vị cột có thể được sử dụng để giao tiếp an toàn giữa các bên miễn là một từ khóa được chọn mà người ngoài sẽ không đoán được. Miễn là tính bảo mật của từ khóa này vẫn được duy trì, việc các bên thứ ba biết chi tiết của thuật toán không thành vấn đề. Mặc dù bản chất công khai của thuật toán không vi phạm tính bảo mật của chuyển vị cột nhưng phương pháp này gây ra m ột vài điểm yếu cố hữu khiến cho nó dễ bị tổn thương trước phân tích mật mã. Do đó, đây là một công nghệ không phù hợp để sử dụng trong giao tiếp bảo mật hiện đại. Trong phần thảo luận về các bảng một-lần trước đây trong chương này, b ạn đã hiểu được rằng sức mạnh chủ yếu của thuật toán bảng một-lần bắt nguồn từ thực tế rằng nó sử dụng một khóa cực kỳ dài. Trên thực tế, đối với thuật toán đó, khóa có chiều dài ít nhất bằng với chiều dài của thông điệp. Hầu hết các hệ thống mật mã hiện đại không sử dụng các khóa quá dài, nhưng độ dài của khóa vẫn là một yếu tố cực kỳ quan trọng trong việc xác định sức mạnh của hệ thống mật mã và khả năng về việc mã hóa sẽ không bị xâm phạm thông qua các kỹ thuật phân tích mã. Những khóa dài hơn đem lại mức bảo mật cao hơn bằng cách gia tăng kích thước của không gian khóa, khiến cho các cuộc tấn công kiểu cưỡng-bức trở nên khó khăn hơn. 460 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Sự gia tăng nhanh chóng của năng lực tính toán cho phép bạn sử dụng các khóa ngày càng dài trong những nỗ lực mật mã của mình. Tuy nhiên, năng lực tính toán tương tự cũng nằm trong tay các chuyên gia phân tích mã đang cố gắng đánh bại các thuật toán mà bạn sử dụng. Do đó, điều thiết yếu là bạn phải vượt qua đối thủ bằng cách sử dụng các khóa đủ dài để đánh bại những nỗ lực phân tích mật mã hiện đại. Ngoài ra, nếu bạn muốn cải thiện cơ hội để dữ liệu của mình vẫn an toàn trước quá trình phân tích mật mã trong tương lai, bạn phải cố gắng sử dụng các khóa sẽ vượt xa mức gia tăng được dự kiến về khả năng phân tích trong suốt khoảng thời gian mà dữ liệu phải được giữ an toàn [nghĩa là độ dài khóa phải đủ để đảm bảo cho sự an toàn của dữ liệu trong khoảng thời gian được yêu cầu trước khi nó bị phân tích]. Ví dụ, sự ra đời của điện toán lượng tử có thể biến đổi mật mã, khiến cho các hệ thống mật mã hiện tại trở nên không còn bảo mật, như đã được thảo luận trước đó trong chương này. Khi Tiêu chuẩn Mã hóa Dữ liệu (DES) ra đời năm 1975, khóa 56-bit được coi là đủ để duy trì tính bảo mật của bất kỳ dữ liệu nào. Tuy nhiên, hiện nay đã có sự đồng tình rộng rãi rằng thuật toán DES 56-bit không còn bảo mật vì những tiến bộ trong kỹ thuật phân tích mật mã và sức mạnh của các siêu máy tính. Các hệ thống mật mã hiện đại sử dụng ít nhất một khóa 128-bit để bảo vệ dữ liệu khỏi những con mắt tò mò. Hãy nhớ rằng, độ dài của khóa liên quan trực tiếp đến chức năng hoạt động của hệ thống mật mã: khóa càng dài thì hệ thống mật mã càng khó bị phá vỡ. Ngoài việc chọn các khóa dài và sẽ vẫn an toàn trong khoảng thời gian dự kiến mà thông tin sẽ được giữ bí mật, bạn cũng nên thực hiện một số phương pháp quản lý khóa khác như dưới đây: ▪ Luôn luôn lưu trữ khóa bí mật một cách bảo mật và, nếu bạn phải truyền chúng qua mạng, hãy thực hiện điều này theo cách bảo vệ chúng khỏi bị tiết lộ trái phép. ▪ Chọn các khóa bằng phương pháp tiếp cận có độ ngẫu nhiên nhiều nhất có thể, tận dụng toàn bộ không gian khóa. ▪ Hủy khóa bảo mật khi không còn cần thiết. 461 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Các Thuật toán Khóa Đối xứng Các thuật toán khóa đối xứng dựa vào một khóa mã hóa “bí mật được chia sẻ” được phân phối cho mọi thành viên tham gia vào giao ti ếp. Khóa này được sử dụng bởi tất cả các bên để mã hóa và giải mã thông điệp, do đó, cả người gửi và người nhận đều sở hữu một bản sao của khóa được chia sẻ. Người gửi mã hóa bằng khóa bí mật được chia sẻ và người nhận cũng giải mã bằng chính khóa này. Khi các khóa kích-thước-lớn được sử dụng, mã hóa đ ối xứng sẽ rất khó bị phá vỡ. Nó chủ yếu được ửs dụng để thực hiện mã hóa hàng loạt và chỉ cung cấp dịch vụ bảo vệ tính bảo mật. Mật mã khóa đối xứng cũng có thể được gọi là mật mã khóa bí mật và mật mã khóa riêng tư. Hình 6.3 minh họa cho các quá trình mã hóa và giải mã bằng khóa đối xứng (với “C” đại diện cho một thông điệp bản mã và “P” đại diện cho một thông điệp bản rõ). HÌNH 6.3 Mật mã khóa đối xứng Nếu bạn thấy rằng minh đang bị bối rối về sự khác biệt giữa mật mã đối xứng và bất đối xứng, có thể sẽ rất hữu ích khi nhớ rằng “same” là từ đồng nghĩa với “đối xứng” và “different” là t ừ đồng nghĩa với bất đối xứng. Trong mật mã đối xứng, thông điệp được mã hóa và giải mã bằng cùng một khóa, trong khi trong m ật mã không đối xứng, mã hóa và giải mã sử dụng các khóa khác nhau (nhưng có liên quan với nhau). 462 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Trong một số trường hợp, mật mã đối xứng có thể được sử dụng với các khóa tạm thời chỉ tồn tại trong một phiên duy nhất. Trong những trường hợp đó, khóa bí mật còn được gọi là một khóa phù du (ephemeral key). Ví dụ phổ biến nhất về điều này là giao thức Bảo mật Lớp Truyền tải (TLS), vốn sử dụng mật mã bất đối xứng để thiết lập một kênh được bảo mật và sau đó chuyển sang mật mã đối xứng sử dụng một khóa phù du. Bạn sẽ tìm hiểu nhiều hơn về chủ đề này trong Chương 7. Việc sử dụng thuật ngữ khóa riêng tư có thể khá khó khăn vì nó là một phần của ba thuật ngữ khác nhau có hai ý nghĩa khác nhau. Bản thân thuật ngữ khóa riêng tư luôn có nghĩa là khóa riêng tư từ cặp khóa của mật mã khóa công khai (hay còn g ọi là bất đối xứng). Tuy nhiên, cả mật mã khóa riêng tư lẫn khóa riêng tư được chia sẻ đều đề cập đến mật mã đối xứng. Nghĩa của từ riêng tư được kéo dài để chỉ hai người chia sẻ một bí mật mà họ giữ kín. (Ý nghĩa thực sự của riêng tư là chỉ một người duy nhất có bí mật được giữ bí mật.) Hãy đảm bảo giữ đúng những thuật ngữ khó hiểu này trong quá trình nghiên c ứu của bạn. Mật mã khóa đối xứng có một vài điểm yếu như sau: Phân phối khóa là một vấn đề lớn Các bên phải có một phương pháp được bảo mật để trao đổi khóa bí mật trước khi thiết lập nên giao tiếp với một giao thức khóa đối xứng. Nếu một kênh điện tử bảo mật không sẵn có, một phương pháp phân phối khóa ngoại tuyến phải thường được sử dụng (nghĩa là, trao đổi ngoài-dải-tần). Mật mã khóa đối xứng không triển khai tính không khước từ. Bởi vì bất kỳ bên nào đang tham gia giao tiếp cũng có thể mã hóa và giải mã thông điệp với khóa bí mật được chia sẻ, do đó không có cách nào chứng minh được một thông điệp nhất định có nguồn gốc từ đâu. Thuật toán không có khả năng mở rộng. Sẽ cực kỳ khó khăn cho các nhóm lớn để giao tiếp bằng cách sử dụng mật mã khóa đối xứng. Giao tiếp 463 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống riêng tư an toàn giữa các cá nhân trong nhóm có thể đạt được chỉ khi từng tổ hợp người dùng chia sẻ một khóa riêng tư. Các khóa phài thường xuyên được tạo lại. Mỗi khi có một bên rời khỏi nhóm, tất cả các khóa đã được biết bởi từng bên phải được hủy bỏ. Trong các hệ thống mã hóa tự động, các khóa có thể được tạo lại dựa trên khoảng thời gian đã trôi qua, lượng dữ liệu đã được trao đổi, hoặc thực tế là một phiên không hoạt động hoặc bị kết thúc. Sức mạnh chủ yếu của mật mã khóa đối xứng là tốc độ tuyệt vời mà tại đó nó có thể hoạt động. Mã hóa khóa đối xứng rất nhanh, thường nhanh hơn từ 1,000 đến 10,000 lần so với các thuật toán bất đối xứng. Do bản chất của toán học liên quan, mật mã khóa đối xứng cũng tự nhiên cho phép triển khai phần cứng, tạo cơ hội cho các hoạt động tốc-độ-cao-hơn và các nhiệm vụ mã hóa hàng loạt. Phần “Mật mã Đối xứng”, ở phần sau của chương này, đem đến một cái nhìn chi tiết về các thuật toán khóa bí mật chính đang được sử dụng ngày nay. Các Thuật toán Khóa Bất đối xứng Các thuật toán khóa bất đối xứng cung cấp một giải pháp cho những điểm yếu của mã hóa khóa đối xứng. Các thuật toán khóa công khai là ví dụ phổ biến nhất về các thuật toán bất đối xứng. Trong những hệ thống này, mỗi người dùng sẽ có hai khóa: một khóa công khai, được chia sẻ với mọi người dùng, và một khóa riêng tư, vốn được giữ bí mật và chỉ có người dùng biết. Nhưng đây là một điểm khác biệt: các khóa đối diện nhau và có liên quan phải được sử dụng song song để mã hóa và giải mã. Nói cách khác, nếu khóa công khai mã hóa một thông điệp, thì chỉ khóa riêng tư tương ứng mới có thể giải mã nó và ngược lại. Hình 6.4 minh họa cho thuật toán được sử dụng để mã hóa và giải mã thông điệp trong hệ thống mật mã khóa công khai (với “C” đại diện cho thông điệp bản mã và “P” đại diện cho thông điệp văn bản rõ). Hãy cùng xem xét ví dụ này. Nếu Alice muốn gửi thông điệp cho Bob bằng cách sử dụng mật mã khóa công khai, cô ấy sẽ tạo ra thông điệp và sau đó mã hóa nó bằng khóa công khai của Bob. Cách duy nhất khả dĩ để giải mã bản mã này là sử dụng khóa riêng tư c ủa Bob và người dùng duy nhất có quyền truy cập vào khóa đó là Bob. Do đó, Alice thậm 464 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống chí không thể tự mình giải mã thông điệp sau khi cô ấy đã mã hóa nó. Nếu Bob muốn gửi thư trả lời cho Alice, anh ấy chỉ cần mã hóa thư bằng khóa công khai của Alice và sau đó Alice đọc thư bằng cách giải mã bằng khóa riêng tư của cô. HÌNH 6.4 Mật mã khóa bất đối xứng Kịch bản trong Thế giới Thực Các yêu cầu đối với Khóa Trong một lớp mà một trong số các tác giả đã giảng dạy gần đây, một sinh viên muốn xem xét một minh họa về vấn đề về khả năng mở rộng tương ứng với các thuật toán mã hóa bất đối xứng. Thực tế là các hệ thống mật mã đối xứng yêu cầu mỗi cặp của bên giao tiếp tiềm năng phải có một khóa riêng tư được chia sẻ khiến cho thuật toán không thể thay đổi được. Tổng số khóa cần thiết để kết nối hoàn toàn mà n bên sử dụng mật mã đối xứng được tính theo công thức sau: Số lượng các Khóa = 𝑛(𝑛−1) 2 465 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bây giờ, điều này nghe có vẻ không quá tệ (và nó không dành cho các hệ thống nhỏ), nhưng hãy xem xét các số liệu được hiển thị trong Bảng 6.7. Rõ ràng, tập hợp càng lớn thì hệ thống mật mã đối xứng càng ít có kh ả năng phù hợp để đáp ứng nhu c ầu của nó. BẢNG 6.7 So sánh khóa đối xứng và bất đối xứng Số bên tham gia Số lượng khóa đối xứng Số lượng khóa cần thiết xứng cần thiết 2 1 4 3 3 6 4 6 8 5 10 10 10 45 20 100 4,950 200 1,000 499,500 2,000 10,000 49,995,000 20,000 bất đối Các thuật toán khóa bất đối xứng cũng mang lại sự hỗ trợ cho công nghệ chữ ký kỹ thuật số. Về cơ bản, nếu Bob muốn bảo đảm với người dùng khác ràng một thông điệp với tên của anh ấy đã thực sự được gửi đi bởi anh ấy thì trước tiên, anh tạo ra một đồng hóa thông điệp bằng cách sử dụng một thuật toán băm (bạn sẽ tìm hiểu sâu thêm về các thuật toán băm ở phần tiếp theo). Sau đó, Bob mã hóa đồng hóa đó bằng cách sử dụng khóa riêng tư của mình. Bất kỳ người dùng nào muốn xác minh chữ ký đơn giản chỉ cần giải mã bản đồng hóa bằng cách sử dụng khóa công khai của Bob và sau đó xác minh rằng đồng hóa thông điệp đã được giải mã là chính xác. Chương 7 gi ải thích chi tiết hơn về quá trình này. 466 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Dưới đây là một danh sách những sức mạnh chủ yếu của mật mã khóa bất đối xứng: Việc bổ sung thêm người dùng mới chỉ đòi hỏi sự tạo ra thêm chỉ một cặp khóa riêng-tư-công-khai. Cặp khóa tương tự này được sử dụng để giao tiếp với tất cả những người sử dụng hệ thống mật mã bất đối xứng. Điều này khiến cho thuật toán có khả năng mở rộng cực kỳ cao. Người dùng có thể được loại bỏ một cách dễ dàng hơn khỏi các hệ thống bất đối xứng. Hệ thống mật mã bất đối xứng cung cấp cơ chế thu hồi khóa cho phép hủy khóa, loại bỏ người dùng khỏi hệ thống một cách hiệu quả. Việc tạo lại khóa chỉ bắt buộc khi khóa riêng tư của người dùng bị xâm phạm. Nếu một người dùng rời khỏi cộng đồng, quản trị viên hệ thống chỉ cần làm mất hiệu lực các khóa của người dùng đó. Không có khóa nào khác bị xâm phạm và do đó, không cần tái tạo khóa đối với bất kỳ người dùng nào khác. Mã hóa khóa bất đối xứng có thể cung cấp tính toàn vẹn, xác thực và không khước từ. Nếu người dùng không chia sẻ khóa cá nhân của họ với các cá nhân khác, thông điệp do người dùng đó ký có thể được hiển thị là chính xác và từ một nguồn cụ thể và không thể khước từ sau đó. Mật mã bất đối xứng có thể được sử dụng để tạo ra chữ ký điện tử cung cấp tính năng không khước từ, như được thảo luận trong Chương 7. Phân phối khóa là một quá trình đơn giản. Người dùng muốn tham gia vào hệ thống chỉ cần cung cấp khóa công khai của họ cho bất kỳ ai mà họ muốn giao tiếp. Không có phương pháp nào mà theo đó khóa cá nhân có thể được lấy từ khóa công khai. Không cần phải có liên kết giao tiếp từ trước tồn tại. Hai cá nhân có thể bắt đầu giao tiếp một cách an toàn ngay từ khi họ bắt đầu giao tiếp. Mật mã bất đối xứng không yêu cầu mối quan hệ tồn tại từ trước để cung cấp cơ chế bảo mật cho việc trao đổi dữ liệu. 467 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Điểm yếu chính của mật mã khóa công khai là tốc độ hoạt động của nó khá chậm. Vì lý do này, rất nhiều ứng dụng đòi hỏi truyền tải an toàn một lượng lớn dữ liệu sử dụng mật mã khóa công khai để thiết lập một kết nối sau đó trao đổi một khóa bí mật đối xứng. Phương pháp tiếp cận kết hợp mật mã đối xứng và bất đối xứng còn được gọi là mật mã hỗn hợp. Bảng 6.8 so sánh các hệ thống mật mã đối xứng và bất đối xứng. Sự kiểm tra kỹ lưỡng bảng này cho thấy rằng điểm yếu trong một hệ thống được khớp với điểm mạnh trong hệ thống kia. BẢNG 6.8 So sánh các hệ thống mật mã đối xứng và bất đối xứng Đối xứng Bất đối xứng Khóa được chia sẻ duy nhất Các bộ cặp khóa Trao đổi ngoài-dải-tần Trao đổi trong-dải-tần Không có khả năng mở rộng Có khả năng mở rộng Nhanh Chậm Mã hóa hàng loạt Các khối nhỏ dữ liệu, chữ ký kỹ thuật số, phong bì kỹ thuật số, chứng nhận kỹ thuật số Tính bảo mật Tính bảo mật, tính toàn vẹn (thông qua băm), tính xác thực, không khước từ (thông qua các chữ ký kỹ thuật số) Chương 7 cung cấp những chi tiết kỹ thuật về các thuật toán mã hóa khóa công khai và một số ứng dụng của chúng. Các Thuật toán Băm Trong phần trước đó, bạn đã tìm hiểu được rằng các hệ thống mã hóa khóa có thể cung cấp tính năng chữ ký số khi được sử dụng cùng với một bản đồng hóa thông điệp. Đồng hóa thông điệp (còn được gọi là giá trị băm hoặc dấu vân tay) là bản tóm tắt nội dung của thông điệp (không giống như tổng kiểm tra tập tin) 468 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống được tạo ra bởi một thuật toán băm. Rất khó, nếu không muốn nói là không thể, để lấy được một thông điệp từ một hàm băm lý tưởng, và có rất ít khả năng hai thông điệp sẽ tạo ra cùng một giá trị băm. Các trường hợp trong đó một hàm băm tạo ra cùng một giá trị cho hai phương pháp khác nhau được gọi là xung đột, và sự tồn tại của xung đột thường dẫn đến việc phản đối thuật toán băm. Chương 7 cung cấp thêm các chi tiết về các thuật toán băm hiện đại và giải thích cách thức chúng được sử dụng để cung cấp khả năng chữ ký kỹ thuật số như thế nào, giúp đáp ứng các mục đích của mật mã về tính toàn vẹn và không khước từ. Mật mã Đối xứng Bạn đã tìm hiểu về những khái niệm cơ bản làm nền tảng cho mật mã khóa đối xứng, mật mã khóa bất đối xứng, và các hàm băm. Trong những phần tiếp theo, chúng ta sẽ tiếp tục đào sâu thêm về một số hệ thống mật mã đối xứng phổ biến. Các Chế độ Hoạt động của Mật mã Các chế độ hoạt động của mật mã mô tả những cách thức khác nhau mà các thuật toán mật mã có thể biến đổi dữ liệu để đạt được độ phức tạp đủ để bảo vệ chống lại cuộc tấn công. Các chế độ hoạt động chính là chế độ Sổ Mã Điện tử (Electronic Code Book - ECB), chế độ Chuỗi Khối Mật mã (Cipher Block Chaining - CBC), chế độ Phản hồi Mật mã (Cipher Feedback - CFB), chế độ Phản hồi Đầu ra (Output Feedback - OFB), chế độ Bộ đếm (Counter - CTR), Chế độ bộ đếm Galois (Galois/Counter - GCM), và Bộ đếm với chế độ Mã Xác thực Thông điệp Chuỗi Khối Mật mã (Cipher Block Chaining Message Authentication Code CCM). Chế độ Sổ Mã Điện tử Chế độ Sổ Mã Điện tử (ECB) là chế độ đơn giản nhất để tìm hiểu và cũng ít bảo mật nhất. Mỗi lần thuật toán xử lý một khối 64-bit, nó chỉ đơn giản là mã hóa khối bằng cách sử dụng khóa bí mật đã được chọn. Điều này có nghĩa là nếu như thuật toán gặp cùng một khối nhiều lần, nó sẽ tạo ra các khối được mã hóa giống nhau. Nếu kẻ thù nghe trộm được thông tin liên lạc, chúng có thể chỉ cần xây dựng một “quyển sách mã” gồm tất cả các giá trị đã được mã hóa có thể có. Sau 469 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống khi thu thập đủ số lượng khối, các kỹ thuật phân tích mật mã có thể được sử dụng để giải mã một số khối và phá vỡ lược đồ mã hóa. Lỗ hổng này khiến cho việc sử dụng chế độ ECB trên bất kỳ đường truyền tải ngắn nhất nào là không thực tế. Trong sử dụng hàng ngày, ECB chỉ được sử dụng để trao đổi một lượng nhỏ dữ liệu, chẳng hạn như các khóa và tham số được sử dụng để bắt đầu các chế độ mật mã khác cũng như các ô trong một cơ sở dữ liệu. Chế độ chuỗi khối mật mã Trong chế độ chuỗi khối mật mã (CBC), mỗi khối chưa được mã hóa được XOR với khối bản mã ngay trước nó trước khi nó được mã hóa. Quá trình giải mã chỉ đơn giản là giải mã bản mã và đảo ngược hoạt động XOR. CBC triển khai một IV và XOR nó với khối đầu tiên của thông điệp, tạo ra một đầu ra duy nhất mỗi khi hoạt động được thực hiện. IV phải được gửi đến người nhận, có thể bằng cách đặt IV ngay trước của bản mã hoàn chỉnh ở dạng đơn giản hoặc bằng cách bảo vệ nó bằng mã hóa chế độ ECB sử dụng cùng một khóa được sử dụng cho thông điệp. Một lưu ý quan trọng khi sử dụng chế độ CBC là lỗi lan truyền - nếu một khối bị hư hỏng trong quá trình truyền tải thì không thể giải mã khối đó và cả khối tiếp theo. Chế độ Phản hồi Mật mã Chế độ phản hồi mật mã (CFB) là phiên bản mật mã luồng của CBC. Nói cách khác, CFB hoạt động dựa trên dữ liệu được tạo ra theo thời gian thực. Tuy nhiên, thay vì chia một thông điệp thành các khối, nó sử dụng bộ đệm bộ nhớ có cùng kích thước khối. Khi bộ đệm đầy, nó sẽ được mã hóa và sau đó được gửi đến người nhận. Sau đó, hệ thống sẽ đợi bộ đệm tiếp theo được lấp đầy khi dữ liệu mới được tạo ra trước khi đến lượt nó được mã hóa và sau đó được truyền đi. Ngoài sự thay đổi từ dữ liệu có trước sang dữ liệu thời gian thực, CFB hoạt động theo cùng một kiểu như CBC. Nó sử dụng IV và sử dụng chuỗi. Chế độ Phản hồi Đầu ra 470 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Trong Chế độ Phản hồi đầu ra (OFB), mật mã hoạt động theo kiểu gần giống như ở chế độ CFB. Tuy nhiên, thay vì XOR một phiên bản đã được mã hóa của khối bản mã trước đó, OFB XOR bản rõ với một giá trị gốc. Đối với khối được mã hóa đầu tiên, một véc-tơ khởi tạo được sử dụng để tạo giá trị gốc. Giá trị gốc trong tương lai được lấy bằng cách chạy thuật toán trên giá trị gốc trước đó. Ưu điểm chính của chế độ OFB là không có chức năng chuỗi và các lỗi truyền dẫn không lan truyền để gây ảnh hưởng đến việc giải mã các khối trong tương lai. Chế độ Bộ đếm Chế độ bộ đếm (CTR) sử dụng mật mã luồng tương tự như được sử dụng trong chế độ CFB và OFB. Tuy nhiên, thay vì tạo ra giá trị gốc cho mỗi hoạt động mã hóa/giải mã từ kết quả của các giá trị gốc trước đó, nó sử dụng một bộ đếm đơn giản tăng dần cho mỗi hoạt động. Như với chế độ OFB, lỗi không lan truyền trong chế độ CTR. Chế độ CTR cho phép bạn chia một hoạt động mã hóa hoặc giải mã thành nhiều bước độc lập. Điều này khiến cho chế độ CTR phù hợp nhất để sử dụng trong tính toán song song. Chế độ Bộ đếm/Galois Chế độ Bộ đếm/Galois (GCM) sử dụng chế độ mã hóa CTR tiêu chuẩn và bổ sung thêm các biện pháp kiểm soát tính xác thực của dữ liệu vào hỗn hợp, cung cấp cho người nhận sự đảm bảo về tính toàn vẹn của dữ liệu đã nhận được. Điều này được thực hiện bằng cách thêm các thẻ xác thực (authentication tag) vào quá trình mã hóa Chế độ Mã Xác thực Thông điệp Chuỗi Khối Mật mã Tương tự như GCM, Bộ đếm với Chế độ Mã Xác thực Thông điệp Chuỗi Khối Mật mã (CCM) kết hợp một chế độ bảo mật với một quy trình xác thực dữ liệu. Trong trường hợp này, mật mã CCM kết hợp chế độ Bộ đếm (CTR) đối với tính bảo mật và thuật toán Mã Xác thực Thông điệp Chuỗi Khối Mật mã (CBC-MAC) để xác thực dữ liệu. CCM chỉ được sử dụng với mật mã khối có độ dài khối 128-bit và yêu cầu sử dụng một nonce cần phải được thay đổi cho mỗi lần truyền tải. 471 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Cả hai chế độ GCM và CCM đều bao gồm xác thực dữ liệu bên cạnh tính năng bảo mật. Do đó, chúng còn được gọi là các chế độ xác thực bảo mật. Các chế độ ECB, CBC, CFB, và CTR chỉ cung cấp tính bảo mật và do đó, được gọi là các chế độ không xác thực. Tiêu chuẩn Mã hóa Dữ liệu Chính phủ Hoa Kỳ đã công bố Tiêu chuẩn Mã hóa Dữ liệu năm 1977 như một hệ thống mật mã tiêu chuẩn được đề xuất cho tất cả các thông tin liên lạc của chính phủ. Do những sai sót trong thuật toán, các nhà mật mã và chính phủ liên bang đã không còn coi DES là an toàn nữa. Nhiều người tin rằng các cơ quan tình báo thường xuyên giải mã được thông tin mã hóa bằng DES. DES đã được thay thế bởi Tiêu chuẩn Mã hóa Nâng cao vào tháng 12 năm 2001. Điều quan trọng là phải hiểu được DES vì nó là nền tảng cơ bản của Triple DES (3DES), một thuật toán mã hóa mạnh hơn (nhưng vẫn chưa đủ mạnh) được thảo luận trong phần tiếp theo. DES là một mật mã khối 64-bit có 5 chế độ hoạt động: chế độ Sổ Mã Điện tử (ECB), chế độ Chuỗi Khối Mật mã (CBC), chế độ Phản hồi Mật mã (CFB), chế độ Phản hồi Đầu ra (OFB) và chế độ Bộ đếm (CTR). Tất cả các chế độ DES hoạt động trên bản rõ 64-bit tại một thời điểm để tạo ra các khối bản mã 64-bit. Khóa được DES sử dụng có độ dài 56-bit. DES sử dụng một chuỗi dài các phép toán OR (XOR) đ ộc quyền để tạo ra bản mã. Quá trình này được lặp lại 16 lần cho mỗi hoạt động mã hóa/giải mã. Mỗi lần lặp lại thường được gọi là một vòng mã hóa, giải thích cho tuyên bố rằng DES thực hiện 16 vòng mã hóa. Mỗi vòng tạo ra một khóa mới sau đó được sử dụng làm đầu vào cho các vòng tiếp theo. Như đã được đề cập, DES sử dụng khóa 56-bit để điều khiển quá trình mã hóa và giải mã. Tuy nhiên, bạn có thể đọc được trong một số tài liệu nói rằng DES sử dụng khóa 64-bit. Đây không phải là sự mâu thuẫn - có một cách giải thích hoàn toàn hợp lý. Đặc tả kỹ thuật DES yêu cầu khóa 64-bit. Tuy nhiên, trong số 64-bit đó, chỉ có 56-bit thực sự chứa thông tin về khóa. 8-bit còn lại 472 | P a g e được cho là chứa thông tin chẵn lẻ để đảm bảo rằng 56-bit còn Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP lại là chính xác. Tuy nhiên, trong th ực tế, những bit chẵn lẻ đó Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống hiếm khi được sử dụng. Bạn nên lưu con số 56-bit vào bộ nhớ của mình. Ba lần DES Như đã được đề cập trong các phần trước đây, khóa 56-bit của Tiêu chuẩn Mã hóa Dữ liệu (DES) không còn được coi là thích hợp khi đối mặt với các kỹ thuật phân tích mật mã hiện đại và sức mạnh của các siêu máy tính. Tuy nhiên, m ột phiên bản dã được điều chỉnh của DES, Triple DES (3DES), sử dụng cùng một thuật toán để tạo ra mã hóa mạnh hơn nhưng điều đó cũng vẫn không còn được coi là đủ để đáp ứng các yêu cầu hiện đại. Vì lý do này, chúng ta nên tránh mã hóa 3DES, mặc dù nó vẫn được hỗ trợ bởi khá nhiều sản phẩm. Có một số biến thể khác nhau của 3DES sử dụng số lượng các khóa độc lập khác nhau. Hai biến thể đầu tiên, DES-EDE3 và DES EEE-3 sử dụng 3 khóa độc lập: K1, K2 và K3. Sự khác biệt giữa hai biến thể này là các phép toán đã được sử dụng, vốn được thể hiện bằng ký tự E đối với mã hóa, và ký tự D đối với giải mã. DES-EDE3 mã hóa dữ liệu bằng K1, giải mã bản mã kết quả bằng K2 và sau đó mã hóa tiếp văn bản đó bằng K3. DES-EDE3 có thể được thể hiện bằng cách sử dụng ký hiệu sau, trong đó E(K, P) đại diện cho mã hóa bản rõ P bằng khóa K, và D(K, P) đại diện cho giải mã bản mã C bằng khóa K: E(K1, D(K2, E (K3, P))). DES-EEE3, nói cách khác, mã hóa d ữ liệu với cả ba khóa theo trình tự lần lượt, và có thể được thể hiện bằng: EK1, E(K2, E(K3, P))). Nếu bạn đang tự băn khoăn rằng tại sao lại có hoạt động giải mã ở giữa chế độ EDE thì đó là một tác phẩm phức tạp của quy trình được sử dụng để tạo ra thuật toán và cung cấp khả năng tương thích ngược với DES. Mã hóa và giải mã là các hoạt động có thể đảo ngược, vì vậy mặc dù chức năng giải mã được sử dụng, nó vẫn có thể được coi là một vòng mã hóa. 473 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Về mặt toán học, DES-EEE3 và DES-EDE3 phải có độ dài khóa hiệu dụng là 168bit. Tuy nhiên, các cuộc tấn công đã biết chống lại thuật toán này làm giảm sức mạnh hiệu quả xuống chỉ còn 112-bit. DES-EEE3 là biến thể duy nhất của 3DES hiện được NIST coi là an toàn. Các biến thể khác, DES-EDE1, DES-EEE2 và DES-EDE2, sử dụng một hoặc hai khóa, lặp lại cùng một khóa nhiều lần, nhưng các chế độ này cũng không còn được coi là an toàn nữa. Cũng cần lưu ý rằng NIST gần đây đã ngừng sử dụng tất cả các biến thể 3DES và sẽ không cho phép sử dụng chúng trong các ứng dụng của chính phủ liên bang vào cuối năm 2023. Phần thảo luận này đặt ra một câu hỏi rõ ràng - điều gì đã xảy ra với Double DES (2DES)? Bạn sẽ đọc trong Chương 7 rằng Double DES đã được thử nghiệm nhưng nhanh chóng bị bỏ rơi khi người ta chứng minh rằng một cuộc tấn công được gọi là cuộc tấn công meet-in-the-middle khiến nó không an toàn hơn DES tiêu chuẩn. Thuật toán Mã hóa Dữ liệu Quốc tế Mật mã khối Thuật toán Mã hóa Dữ liệu Quốc tế (International Data Encryption Algorithm - IDEA) được phát triển để giải quyết các phàn nàn về độ dài khóa không đủ của thuật toán DES. Giống như DES, IDEA hoạt động trên các khối bản rõ/bản mã 64-bit. Tuy nhiên, nó bắt đầu hoạt động với một khóa 128-bit. Khóa này được chia nhỏ trong một chuỗi hoạt động thành 52 khóa con, mỗi khóa có độ dài 16-bit. Sau đó, các khóa con hoạt động trên văn bản đầu vào bằng cách sử dụng kết hợp các phép toán XOR và mô-đun (modulo) để tạo ra phiên bản được mã hóa/giải mã của thông điệp đầu vào. IDEA có khả năng hoạt động trong cùng 5 chế độ được DES sử dụng: ECB, CBC, CFB, OFB và CTR. Tất cả tài liệu này về kích thước khối chiều dài khóa và số lượng vòng mã hóa trông có vẻ nhàm chán một cách đáng sợ, tuy nhiên, đây là tài liệu quan trọng, vì vậy hãy nhớ ôn tập về nó trong khi chuẩn bị cho kỳ thi. 474 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Thuật toán IDEA đã được cấp bằng sáng chế cho các nhà phát triển Thụy Sĩ. Tuy nhiên, bằng sáng chế đã hết hạn vào năm 2012 và nó hiện có sẵn để sử dụng mà không bị hạn chế. Một cách triển khai phổ biến của IDEA được tìm thấy trong gói email bảo mật Pretty Good Privacy (PGP) ph ổ biến của Phil Zimmerma n. Chương 7 sẽ trình bày chi tiết hơn về PGP. Blowfish Mật mã khối Blowfish của Bruce Schneier là một giải pháp thay thế khác đối với DES và IDEA. Cũng giống như những người tiền nhiệm của nó, Blowfish hoạt động trên các khối văn bản 64-bit. Tuy nhiên, nó mở rộng sức mạnh khóa của IDEA hơn nữa bằng cách cho phép sử dụng các khóa có độ dài thay đổi từ 32bit tương đối không an toàn đến 448-bit cực kỳ mạnh mẽ. Rõ ràng, các khóa dài hơn sẽ làm tăng thời gian mã hóa/giải mã tương ứng. Tuy nhiên, các thử nghiệm thời gian đã xác định Blowfish là một thuật toán nhanh hơn nhiều so với cả IDEA và DES. Ngoài ra, Schneier đã phát hành Blowfish đ ể sử dụng công khai mà không cần giấy phép. Mã hóa Blowfish được tích hợp vào một số sản phẩm phần mềm thương mại và Hệ điều hành. Một số thư viện Blowfish cũng có sẵn cho các nhà phát triển phần mềm. Skipjack Thuật toán Skipjack đã được chính phủ Hoa Kỳ phê duyệt để sử dụng trong Tiêu chuẩn Xử lý Thông tin Liên bang (FIPS) 185, Tiêu chuẩn Mã hóa Ký quỹ (EES). Giống như nhiều công cụ mã hóa khối khác, Skipjack hoạt động trên các khối văn bản 64-bit. Nó sử dụng một khóa 80-bit và hỗ trợ bốn chế độ hoạt động như được hỗ trợ bởi DES. Skipjack nhanh chóng được chính phủ Hoa Kỳ chấp nhận và cung cấp các quy trình mật mã hỗ trợ các chip mã hóa Clipper và Capstone. Tuy nhiên, Skipjack có thêm một bước ngoặt - nó hỗ trợ ký quỹ các khóa mã hóa. Hai cơ quan chính phủ - Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) và Bộ Ngân khố - nắm giữ một phần thông tin cần thiết để tạo lại khóa Skipjack. Khi các cơ quan thực thi pháp luật có được cấp phép hợp pháp, họ sẽ liên hệ với hai cơ quan này, lấy được các mảnh của khóa và có thể giải mã thông tin liên lạc giữa các bên bị ảnh hưởng. 475 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Skipjack và chip Clipper đã không được cộng đồng mật mã nói chung chấp nhận vì sự nghi ngờ của nó đối với các thủ tục ký quỹ được sử dụng trong chính phủ Hoa Kỳ. Mật mã Rivest Ron Rivest, thuộc về Bảo mật Dữ liệu Rivest-Shamir-Adleman (RSA), đã tạo ra một loạt các mật mã đối xứng trong nhiều năm được gọi là họ thuật toán Rivest Ciphers (RC). Một số trong số này, RC4, RC5 và RC6, có t ầm quan trọng đặc biệt ngày nay. Mật mã Rivest 4 (RC4) RC4 là một mật mã luồng được phát triển bởi Rivest vào năm 1987 và được sử dụng rất rộng rãi trong suốt nhiều thập kỷ sau đó. Nó sử dụng một vòng mã hóa duy nhất và cho phép sử dụng các khóa có độ dài thay đổi từ 40-bit đến 2,048bit. Việc áp dụng RC4 khá phổ biến vì nó được tích hợp vào các giao thức Quyền Riêng tư Tương đương có Dây (WEP), Truy cập Wi-Fi được Bảo vệ (WPA), Lớp Cổng Bảo mật (SSL) và Bảo mật Lớp Truyền tải (TLS). Mật mã Rivest 5 (RC5) RC5 là một mật mã khối với các kích thước khối khác nhau (32, 64 hoặc 128-bit) sử dụng các khóa có kích thước nằm giữa 0 và 2,040-bit. Điều quan trọng cần lưu ý là RC5 không đơn giản chỉ là phiên bản tiếp theo của RC4. Trên thực tế, nó hoàn toàn không liên quan gì với mật mã RC4. Thay vào đó, RC5 là m ột cải thiện trên một thuật toán cũ hơn được gọi là RC2 vốn đã không còn được coi là an toàn nữa. RC5 là đối tượng của những nỗ lực bẻ khóa kiểu cưỡng-bức [một kiểu tấn công bằng cách thử tất cả các chuỗi mật khẩu khả thi để bẻ khóa – người dịch]. Một nỗ lực quy-mô-lớn tận dụng tài nguyên máy tính cộng đồng khổng lồ đã bẻ khóa một thông điệp được mã hóa bằng RC5 với khóa 64-bit, nhưng nỗ lực này đã mất hơn bốn năm để bẻ khóa được một thông điệp. Mật mã Rivest 6 (RC6) Rc6 là một mật mã khối được phát triển như là phiên bản tiếp theo của RC5. Nó sử dụng một kích thước khối 128-bit và cho phép sử dụng các khóa đối xứng 476 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 128, 192 hoặc 256-bit. Thuật toán này là một trong số các ứng cử viên để lựa chọn làm Tiêu chuẩn Mã hóa Nâng cao (AES) được thảo luận trong phần tiếp theo, nhưng nó đã không được chọn và không được sử dụng một cách phổ biến ngày nay. Tiêu chuẩn Mã hóa Nâng cao (AES) Vào tháng Mười năm 2000, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ đã thông báo rằng Rijndael (được phát âm là “rhine-doll”) đã được chọn để thay thế cho DES. Vào tháng Mười một năm 2001, NIST phát hành FIPS 197, b ắt buộc sử dụng AES/Rijndael để mã hóa tất cả dữ liệu nhạy cảm nhưng chưa được phân loại của chính phủ Hoa Kỳ. Mật mã Tiêu chuẩn Mã hóa Nâng cao (AES) cho phép s ử dụng ba cường độ của khóa: 128-bit, 192-bit và 256-bit. AES chỉ cho phép xử lý các khối 128-bit, nhưng Rijndael đã vượt quá thông số kỹ thuật này, cho phép các nhà m ật mã sử dụng kích thước khối bằng với chiều dài của khóa. Số lượng vòng mã hóa phụ thuộc vào độ dài khóa được chọn: ▪ Các khóa 128-bit yêu cầu 10 vòng mã hóa. ▪ Các khóa 192-bit yêu cầu 12 vòng mã hóa. ▪ Các khóa 256-bit yêu cầu 14 vòng mã hóa. CAST Thuật toán CAST là một họ khác của mật mã khối khóa đối xứng được tích hợp vào một số giải pháp bảo mật. Thuật toán CAST sử dụng một mạng Feistel và có thể có hai hình thức: ▪ CAST-128 sử dụng 12 hoặc 16 vòng mã hóa mạng Feistel với một kích thước khóa giữa 40 và 128-bit trên các khối 64-bit của bản rõ. ▪ CAST-256 sử dụng 48 vòng mã hóa với một kích thước khóa 128, 160, 192, 224, hoặc 256-bit trên các khối 128-bit của bản rõ. Thuật toán CAST-256 đã từng là một ứng cử viên cho Tiêu chuẩn Mã hóa Nâng cao nhưng đã không được chọn cho mục đích đó. Twofish 477 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Thuật toán Twofish được phát triển bởi Bruce Schneier (cũng là người tạo ra Blowfish) là một trong số các thuật toán trong danh sách lọt vào vòng chung kết của AES. Giống như Rijndael, Twofish là m ột mật mã khối. Nó hoạt động trên các khối dữ liệu 128-bit và có khả năng sử dụng các khóa mật mã có độ dài lên đến 256-bit. Twofish sử dụng hai kỹ thuật không được phát hiện trong các thuật toán khác: ▪ Prewhitening bao gồm việc XOR bản rõ bằng một khóa con tách biệt trước vòng mã hóa đầu tiên. ▪ Postwhitening sử dụng một hoạt động tương tự [prewhitening] sau vòng mã hóa thứ 16. So sánh các Thuật toán Mã hóa Đối xứng Có rất nhiều thuật toán mã hóa đối xứng mà bạn cần phải làm quen với chúng. Bảng 6.9 liệt kê một số thuật toán mã hóa đối xứng nổi tiếng cùng với kích thước khối và kích thước khóa của chúng. Thông tin trong Bảng 6.9 là một nguồn tuyệt vời cho kỳ thi CISSP. Hãy chú tâm để ghi nhớ nó trước khi làm bài thi. BẢNG 6.9 Biểu đồ ghi nhớ mã hóa đối xứng Tên gọi Kích thước khối Kích thước khóa Tiêu chuẩn Mã hóa Nâng cao (AES) 128 128, 192, 256 Rijndael Biến đổi 128, 192, 256 Blowfish (thường được sử dụng trong SSH) 64 32 – 448 Tiêu chuẩn Mã hóa Dữ liệu (DES) 64 56 IDEA (được sử dụng trong PGP) 64 128 Mật mã Rivest 4 (RC4) Bỏ qua (mật mã luồng) 40 – 2,048 Mật mã Rivest 5 (RC5) 32, 64, 128 0 – 2,040 Mật mã Rivest 6 (RC6) 128 128, 192, 256 478 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Skipjack 64 80 Triple DES (3DES) 64 112 hoặc 168 CAST-128 64 40 – 128 CAST-256 128 128, 160, 192, 224, 256 Twofish 128 1 - 256 Quản lý Khóa Đối xứng Bởi vì các khóa mật mã chứa những thông tin thiết yếu đối với sự bảo mật của các hệ thống mã hóa nên người sử dụng và quản trị hệ thống mật mã có trách nhiệm thực hiện các biện pháp đặc biệt để bảo vệ tính an toàn của vật liệu làm khóa. Các biện pháp bảo mật này được gọi chung là các thực tiễn quản lý khóa. Chúng bao gồm các biện pháp bảo vệ xoay quanh việc tạo ra, phân phối, lưu trữ, phá hủy, phục hồi và ký quỹ các khóa bí mật. Tạo ra và Phân phối các Khóa Đối xứng Như đã được đề cập trước đây, một trong những vấn đề chính làm nền tảng cơ bản của các thuật toán mã hóa đối xứng là việc phân phối an toàn các khóa bí mật cần thiết để vận hành các thuật toán. Ba phương pháp chính đư ợc sử dụng để trao đổi khóa bí m ật một cách an toàn là phân phối ngoại tuyến, mã hóa khóa công khai và thuật toán trao đổi khóa Diffie-Hellman. Phân phối Ngoại tuyến Phương pháp đơn giản nhất về mặt kỹ thuật (nhưng không thuận tiện về mặt vật lý) liên quan đến việc trao đổi thực tế của vật liệu khóa. Một bên cung cấp cho bên kia một trang giấy hoặc một phần phương tiện lưu trữ có chứa khóa bí mật. Trong rất nhiều thiết bị mã hóa phần cứng, vật liệu khóa này có dạng một thiết bị điện tử giống như một khóa thực được đưa vào thiết bị mã hóa. Tuy nhiên, mọi phương pháp phân phối khóa ngoại tuyến đều có những sai sót cố hữu của nó. Nếu tài liệu khóa được gửi qua thư, nó có thể bị chặn lại. Điện thoại có thể bị nghe lén. Giấy tờ có chứa khóa có thể vô tình bị vứt vào thùng rác hoặc bị mất. Việc sử dụng phân phối ngoại tuyến khá là cồng kềnh đối với người dùng đầu cuối, đặc biệt là khi họ ở những vị trí xa xôi về mặt địa lý. 479 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Mã hóa khóa công khai Nhiều người giao tiếp muốn có được những lợi ích về mặt tốc độ của mã hóa khóa bí mật mà không bị phiền nhiễu bởi sự phân phối khóa phức tạp. Vì lý do này, nhiều người sử dụng mã hóa khóa công khai để thiết lập một liên kết giao tiếp ban đầu. Khi liên kết đã được thiết lập thành công và các bên hài lòng v ề danh tính của nhau, họ sẽ trao đổi khóa bí mật qua liên kết khóa công khai an toàn này. Sau đó, họ chuyển giao tiếp từ thuật toán khóa công khai sang thuật toán khóa bí mật và tận hưởng tốc độ xử lý được gia tăng. Nói chung, mã hóa khóa bí mật nhanh hơn hàng nghìn lần so với mã hóa khóa công khai. Diffie-Hellman Trong một số trường hợp, cả mã hóa khóa công khai hay phân phối ngoại tuyến đều không đủ. Hai bên có thể cần giao tiếp với nhau, nhưng họ không có phương tiện vật lý để trao đổi vật liệu khóa và không có cơ sở hạ tầng khóa công khai để tạo điều kiện cho việc trao đổi khóa bí mật. Trong những tình huống như vậy, các thuật toán trao đổi khóa như thuật toán Diffie-Hellman được chứng minh là một cơ chế cực kỳ hữu ích. Bạn sẽ tìm thấy một cuộc thảo luận đầy đủ về DiffieHellman trong Chương 7. Lưu trữ và Phá hủy Khóa Đối xứng Một thách thức lớn khác đối với việc sử dụng mật mã khóa đối xứng là tất cả các khóa được sử dụng trong hệ thống mật mã đều phải được bảo mật. Điều này bao gồm những thực tiễn tốt nhất sau đây về việc lưu trữ các khóa mã hóa: ▪ Không bao giờ lưu trữ một khóa mã hóa trên cùng một hệ thống có dữ liệu được mã hóa. Điều này chỉ khiến cho công việc của kẻ tấn công trở nên dễ dàng hơn! ▪ Đối với các khóa nhạy cảm, hãy cân nhắc việc đưa cho hai cá nhân khác nhau giữ một nửa khóa. Sau đó, họ phải cộng tác để tái-tạo lại toàn bộ khóa. Đây được gọi là nguyên tắc phân tách kiến thức (đã được thảo luận trước đó cũng trong chương này). Khi một người dùng biết về một khóa bí mật rời khỏi tổ chức hoặc không còn được phép truy cập vào tài liệu được bảo vệ bằng khóa đó, các khóa phải được 480 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thay đổi và tất cả các tài liệu đã mã hóa phải được mã hóa lại bằng các khóa mới. Khi chọn một cơ chế lưu trữ khóa, bạn sẽ có hai tùy chọn chính có sẵn cho mình: ▪ Cơ chế lưu trữ dựa-trên-phần-mềm lưu trữ các khóa dưới dạng các đối tượng kỹ thuật số trên hệ thống nơi chúng được sử dụng. Ví dụ, điều này có thể liên quan đến việc lưu trữ khóa trên hệ thống tập tin cục bộ. Các cơ chế dựa-trên-phần-mềm được tăng cường có thể sử dụng các ứng dụng chuyên biệt để bảo vệ các khóa đó, bao gồm cả việc sử dụng mã hóa phụ để ngăn chặn việc truy cập trái phép vào các khóa. Các phương pháp ti ếp cận dựa-trên-phần-mềm thường khá đơn giản để triển khai nhưng gây ra rủi ro về việc cơ chế phần mềm bị xâm phạm. ▪ Cơ chế lưu trữ dựa-trên-phần-cứng là các thiết bị phần cứng chuyên dụng được sử dụng để quản lý các khóa mật mã. Đây có thể là các thiết bị cá nhân, chẳng hạn như ổ đĩa flash hoặc thẻ thông minh lưu trữ khóa được sử dụng bởi một cá nhân hoặc chúng có thể là các thiết bị doanh nghiệp, được gọi là mô-đun bảo mật phần cứng (hardware security module - HSM), quản lý khóa cho một tổ chức. Các phương pháp tiếp cận phần cứng phức tạp hơn và tốn kém hơn để triển khai so với các phương pháp tiếp cận phần mềm, nhưng chúng tăng cường thêm tính bảo mật. Ký quỹ và Khôi phục Khóa Mật mã là một công cụ mạnh mẽ. Cũng giống như hầu hết các công cụ, nó có thể được sử dụng cho một số mục đích mang lại lợi ích, nhưng nó cũng có thể được sử dụng với mục đích xấu. Để có thể xử lý sự phát triển bùng nổ của công nghệ mật mã, các chính phủ trên toàn thế giới đã đưa ra các ý tưởng triển khai các hệ thống ký quỹ khóa. Các hệ thống này cho phép chính phủ, trong những trường hợp hạn chế, chẳng hạn như với lệnh của tòa án, lấy được khóa mật mã được sử dụng cho một giao tiếp cụ thể từ một cơ sở lưu trữ trung tâm. Hai phương pháp tiếp cận chính để ký quỹ khóa đã được đề xuất trong thập kỷ qua bao gồm: Hệ thống mật mã Công bằng (Fair Cryptosystems) Theo phương pháp tiếp cận ký quỹ này, các khóa bí mật được sử dụng trong giao tiếp được chia thành hai hoặc nhiều phần, mỗi phần được trao cho một bên thứ ba 481 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống độc lập. Bản thân mỗi phần này đều vô dụng nhưng chúng có thể được kết hợp lại để lấy được khóa bí mật. Khi chính phủ có được quyền hợp pháp để truy cập vào một khóa cụ thể, chính phủ sẽ cung cấp bằng chứng về lệnh của tòa án cho mỗi bên thứ ba và sau đó tập hợp lại khóa bí mật. Tiêu chuẩn Mã hóa Ký quỹ Phương pháp tiếp cận ký quỹ này cung cấp cho chính phủ hoặc cơ quan khác được cấp phép một phương tiện công nghệ để giải mã bản mã. Đó là phương pháp tiếp cận được đề xuất cho chip Clipper. Có rất ít khả năng các cơ quan quản lý của chính phủ sẽ vượt qua các rào cản pháp lý và quyền riêng tư cần thiết để triển khai ký quỹ khóa trên cơ sở rộng rãi. Công nghệ chắc chắn là sẵn có, nhưng công chúng có thể sẽ không bao giờ chấp nhận sự xâm nhập tiềm tàng của chính phủ mà nó [công nghệ] tạo điều kiện. Tuy nhiên, vẫn có những cách sử dụng hợp pháp đối với việc ký quỹ khóa trong một tổ chức. Các cơ chế ký quỹ và khôi phục khóa tỏ ra rất hữu ích khi một cá nhân rời khỏi tổ chức và các nhân viên khác yêu cầu quyền truy cập vào dữ liệu được mã hóa của họ hoặc khi một khóa chỉ đơn giản là bị đánh mất. Theo các phương pháp tiếp cận này, các tác nhân khôi phục khóa (recovery agent - RA) có khả năng khôi phục các khóa mã hóa được chỉ định cho người dùng cá nhân. Tất nhiên, đây là một đặc quyền cực kỳ mạnh mẽ, vì RA có thể có quyền truy cập vào khóa mã hóa của bất kỳ người dùng nào. Vì lý do này, nhiều tổ chức chọn áp dụng một cơ chế được gọi là M of N Control để khôi phục khóa. Trong cách tiếp cận này, có một nhóm các cá nhân với kích cỡ N [người] trong một tổ chức được cấp đặc quyền RA. Nếu họ muốn khôi phục khóa mã hóa, một tập hợp con gồm ít nhất M trong số họ phải đồng ý làm như vậy. Ví dụ, trong hệ thống M-of-N Control nơi M = 12 và N = 3, có 12 tác nhân khôi ph ục được ủy quyền, trong đó 3 tác nhân phải cộng tác với nhau để lấy được khóa mã hóa. Vòng đời Mật mã Ngoại trừ bảng một-lần, tất cả các hệ thống mật mã đều có tuổi thọ giới hạn. Định luật Moore, một lập luận thường được trích dẫn về sự phát triển của sức mạnh tính toán, tuyên bố rằng năng lực xử lý của một bộ vi xử lý hiện đại sẽ 482 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống tăng gấp đôi trong khoảng hai năm một lần. Điều này có nghĩa là cuối cùng thì các bộ xử lý sẽ đạt đến mức độ sức mạnh cần thiết để chỉ cần đoán các khóa mã hóa được sử dụng cho một giao tiếp. Các chuyên gia bảo mật phải lưu ý đến vòng đời của mật mã này khi lựa chọn một thuật toán mã hóa và có các biện pháp kiểm soát quản trị thích hợp để đảm bảo rằng các thuật toán, giao thức và độ dài khóa đã chọn là đủ để duy trì tính toàn vẹn của hệ thống mật mã trong thời gian cần thiết để giữ cho thông tin nó đang bảo vệ bí mật. Các chuyên gia bảo mật có thể sử dụng các biện pháp kiểm soát quản trị giao thức và thuật toán sau: ▪ Chỉ định các thuật toán mật mã (chẳng hạn như AES, 3DES và RSA) có thể được chấp nhận để sử dụng trong một tổ chức ▪ Xác định độ dài khóa có thể chấp nhận được để sử dụng với mỗi thuật toán dựa trên độ nhạy cảm của thông tin được truyền tải. ▪ Liệt kê các giao thức giao dịch an toàn (chẳng hạn như TLS) có thể được sử dụng. Ví dụ: nếu bạn đang thiết kế một hệ thống mật mã để bảo vệ an ninh cho các kế hoạch kinh doanh mà bạn dự kiến sẽ thực thi vào tuần tới, bạn không cần phải lo lắng về rủi ro về mặt lý thuyết rằng một bộ xử lý có khả năng giải mã chúng có thể được phát triển sau một thập kỷ kể từ bây giờ. Mặt khác, nếu bạn đang bảo vệ tính bí mật của thông tin có thể được sử dụng để chế tạo bom hạt nhân, thì gần như chắc chắn rằng bạn sẽ vẫn muốn thông tin đó được giữ bí mật trong vòng 10 năm tới! Tóm tắt Các nhà mật mã học và chuyên gia phân tích mật mã đang ở trong một cuộc chạy đua không-bao-giờ-kết-thúc để phát triển các hệ thống mật mã an toàn hơn và các kỹ thuật phân tích mật mã tiên tiến được thiết kế để phá vỡ các hệ thống đó. Mật mã học có từ rất sớm từ thời Caesar và đã là một chủ đề nghiên cứu liên tục trong rất nhiều năm. Trong chương này, b ạn đã tìm hiểu được một số khái niệm cơ bản về lĩnh vực mật mã và có được sự hiểu biết cơ bản về những thuật ngữ được sử dụng bởi các nhà mật mã. 483 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Chương này cũng xem xét những điểm giống và khác nhau giữa mật mã khóa đối xứng (trong đó các bên giao tiếp sử dụng cùng một khóa) và mật mã khóa bất đối xứng (trong đó mỗi bên giao tiếp có một cặp khóa công khai và khóa riêng tư). Bạn đã biết cách băm có thể được sử dụng để đảm bảo tính toàn vẹn như thế nào và cách băm đóng vai trò như thế nào trong quy trình chữ ký kỹ thuật số để đảm bảo tính không khước từ. Sau đó, chúng tôi đã phân tích một số thuật toán đối xứng hiện có và những điểm mạnh và điểm yếu của chúng. Chúng tôi đã kết thúc chương bằng cách xem xét vòng đời của mật mã và vai trò của quản trị giao thức/thuật toán trong bảo mật doanh nghiệp. Chương tiếp theo sẽ mở rộng cuộc thảo luận này để đề cập đến các thuật toán mật mã khóa công khai hiện đại. Ngoài ra, một số kỹ thuật phân tích mật mã phổ biến được sử dụng để đánh bại cả hai loại hệ thống mật mã cũng sẽ được khám phá. Những điều thiết yếu cho Kỳ thi Hiểu được vai trò của tính bảo mật, tính toàn vẹn và không khước từ trong các hệ thống mật mã. Bảo mật là một trong những mục đích chính của mật mã. Nó bảo vệ tính bí mật của dữ liệu khi dữ liệu đang ở trạng thái lưu trữ và khi truyền tải. Tính toàn vẹn mang lại cho người nhận thông điệp sự đảm bảo rằng dữ liệu đã không bị thay đổi (cố ý hoặc vô ý) giữa thời điểm nó được tạo ra và thời điểm nó được truy cập. Không khước từ cung cấp bằng chứng không thể phủ nhận rằng người gửi thông điệp thực sự là tác giả của nó. Nó ngăn người gửi sau đó từ chối rằng họ là người đã gửi thông điệp ban đầu. Biết được cách sử dụng các hệ thống mật mã để đạt được các mục đích xác thực. Xác thực cung cấp sự đảm bảo về danh tính của người dùng. Một lược đồ khả dĩ để sử dụng xác thực là giao thức phản-hồi-tháchthức, trong đó người dùng từ xa được yêu cầu mã hóa thông điệp bằng một khóa chỉ các bên giao tiếp biết. Xác thực có thể đạt được với cả hai hệ thống mật mã đối xứng và bất đối xứng. 484 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Làm quen với các thuật ngữ cơ bản về mật mã. Khi người gửi muốn truyền một thông điệp riêng tư đến người nhận, người gửi sẽ lấy bản rõ (chưa được mã hóa) thông điệp và mã hóa nó bằng cách sử dụng một thuật toán và một khóa. Điều này tạo ra một thông điệp bản mã được truyền đến người nhận. Sau đó, người nhận sử dụng một thuật toán và khóa tương tự để giải mã bản mã và tạo lại thông điệp bản rõ ban đầu để xem. Hiểu được sự khác biệt giữa mã và mật mã và giải thích được các loại mật mã cơ bản. Mã là các hệ thống mật mã của các ký hiệu hoạt động trên các từ hoặc cụm từ và đôi khi là bí mật nhưng không phải lúc nào cũng cung cấp được tính bảo mật. Tuy nhiên, mật mã luôn được dùng để che giấu ý nghĩa thực sự của một thông điệp. Hãy hiểu được cách hoạt động của các loại mật mã sau: mật mã chuyển vị, mật mã thay thế (bao gồm cả các bảng một-lần), mật mã luồng và mật mã khối. Biết được các yêu cầu để sử dụng thành công bảng một-lần. Để bảng một-lần thành công, khóa phải được tạo ra một cách ngẫu nhiên mà không chứa bất kỳ mẫu nào đã biết. Khóa ít nhất phải dài bằng thông điệp được mã hóa. Các bảng phải được bảo vệ để chống lại sự tiết lộ về mặt vật lý và mỗi bảng chỉ được sử dụng một lần và sau đó được hủy bỏ. Hiểu phân tách kiến thức. Phân tách kiến thức có nghĩa là thông tin hoặc đặc quyền cần thiết để thực hiện một thao tác được chia cho nhiều người dùng. Điều này đảm bảo rằng không một cá nhân nào có đ ủ đặc quyền để xâm phạm tính bảo mật của môi trường. M of N Control là m ột ví dụ về phân tách kiến thức được sử dụng trong khôi phục khóa và các tác vụ nhạy cảm khác. Hiểu được chức năng hoạt động (hệ số hoạt động). Chức năng công việc, hoặc hệ số công việc, là một cách để đo lường sức mạnh của hệ thống mật mã bằng cách đo lường nỗ lực về chi phí và/hoặc thời gian để giải mã thông điệp. Thông thường, thời gian và nỗ lực cần thiết để thực hiện một cuộc tấn công cưỡng-bức hoàn toàn chống lại hệ thống mã hóa là những gì đại diện cho việc xếp hạng chức năng hoạt động. Mức bảo mật 485 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống và bảo vệ được cung cấp bởi một hệ thống mật mã tỷ lệ thuận với giá trị của chức năng/hệ số hoạt động của nó. Hiểu được tầm quan trọng của bảo mật khóa. Khóa mật mã cung cấp yếu tố bí mật cần thiết cho một hệ thống mật mã. Các hệ thống mật mã hiện đại sử dụng các khóa có độ dài ít nhất 128-bit để cung cấp sự bảo mật đầy đủ. Biết sự khác nhau giữa các hệ mật mã đối xứng và không đối xứng. Hệ thống mật mã khóa đối xứng (hoặc hệ thống mật mã khóa bí mật) dựa trên việc sử dụng một khóa bí mật dùng chung. Chúng nhanh hơn nhiều so với các thuật toán bất đối xứng, nhưng chúng thiếu hỗ trợ về khả năng mở rộng, phân phối khóa dễ dàng và không khước từ. Các hệ thống mật mã không đối xứng sử dụng các cặp khóa công khai-riêng tư để liên lạc giữa các bên nhưng hoạt động chậm hơn nhiều so với các thuật toán đối xứng. Có khả năng giải thích được các chế độ hoạt động cơ bản của các hệ thống mật mã đối xứng. Các hệ thống mật mã đối xứng hoạt động ở một số chế độ riêng biệt: chế độ Sổ Mã Điện tử (ECB), chế độ Chuỗi Khối Mật mã (CBC), chế độ Phản hồi Mật mã (CFB), chế độ Phản hồi Đầu ra (OFB), chế độ Bộ đếm (CTR), chế độ Galois/Bộ đếm (GCM ), và Bộ đếm với chế độ Mã Xác thực Thông điệp Chuỗi Khối Mã hóa (CCM). Chế độ ECB được coi là kém an toàn nhất và chỉ được sử dụng cho các thông điệp ngắn. 3DES sử dụng ba lần lặp lại của DES với hai hoặc ba khóa khác nhau để tăng sức mạnh khóa hiệu quả lên 112 hoặc 168-bit, tương ứng. Biết được Tiêu chuẩn mã hóa nâng cao (AES). Tiêu chuẩn Mã hóa Nâng cao (AES) sử dụng thuật toán Rijndael và là tiêu chuẩn của chính phủ Hoa Kỳ để trao đổi an toàn những dữ liệu nhạy cảm nhưng chưa được phân loại. AES sử dụng độ dài khóa 128, 192 và 256-bit và kích thước khối cố định là 128-bit để đạt được mức độ bảo mật cao hơn nhiều so với mức độ bảo mật được cung cấp bởi thuật toán DES cũ hơn. 486 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bài tập Viết 1. Rào cản chính ngăn cản việc áp dụng rộng rãi các hệ thống mật mã bảng một-lần để đảm bảo tính bảo mật của dữ liệu là gì? 2. Hãy mã hóa thông điệp “Tôi sẽ vượt qua kỳ thi CISSP và được chứng nhận vào tháng tới” bằng cách sử dụng chuyển vị cột với từ khóa SECURE. 3. Hãy giải mã thông điệp “F R Q J U D W X O D W L R Q V B R X J R W L W” bằng cách sử dụng mật mã thay thế Caesar ROT3. Câu hỏi Đánh giá 1. Ryan đang chịu trách nhiệm cho việc quản lý các khóa mật mã được sử dụng bởi tổ chức của anh ấy. Những mệnh đề nào duói đây là đúng về cách anh ấy nên lựa chọn và quản lý các khóa đó (Hãy chọn mọi đáp án đúng)? A. Các khóa nên đủ dài để bảo vệ chống lại các cuộc tấn công trong tương lai nếu dữ liệu vẫn được dự kiến là nhạy cảm. B. Các khóa nên được chọn bằng cách sử dụng một phương pháp tiếp cận để tạo ra chúng từ một hình mẫu có thể dự đoán được. C. Các khóa nên được duy trì vô thời hạn. D. Các khóa dài hơn cung cấp mức độ bảo mật cao hơn. 2. Gần đây, John đã nhận được một email từ Bill. Mục đích mật mã nào sẽ cần được đáp ứng để thuyết phục John rằng Bill thực sự là người đã gửi thông điệp? A. Không khước từ. B. Bảo mật. C. Tính sẵn sàng. D. Tính toàn vẹn. 3. Bạn đang triển khai mã hóa AES cho các tập tin mà tổ chức của bạn dự định lưu trữ trong dịch vụ lưu trữ đám mây và muốn có mã hóa mạnh nhất có thể. Bạn nên chọn độ dài khóa nào? A. 192-bit. B. 256-bit. C. 512-bit. 487 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống D. 1,024-bit. 4. Bạn đang tạo ra một sản phẩm bảo mật phải tạo điều kiện thuận lợi cho việc trao đổi khóa mã hóa đối xứng giữa hai bên khi không có cách nào để trao đổi khóa trực tiếp một cách an toàn. Bạn có thể sử dụng thuật toán nào để tạo điều kiện cho việc trao đổi? A. Rijndael. B. Blowfish. C. Verna.m D. Diffie-Hellman. 5. Điều gì xảy ra khi mối quan hệ giữa bản rõ và khóa phức tạp đến mức kẻ tấn công không thể tiếp tục thay đổi bản rõ và phân tích bản mã đã thu được để xác định khóa? (Hãy chọn tất cả các đáp án đúng). A. Mơ hồ. B. Chuyển vị. C. Tính đa hình. D. Sự lan truyền. 6. Randy đang triển khai hệ thống mật mã dựa trên AES để sử dụng trong tổ chức của mình. Anh muốn tìm hiểu rõ hơn về cách anh ta có thể sử dụng hệ thống mật mã này để đạt được mục đích của mình. Mục đích nào sau đây có thể đạt được với AES? (Hãy chọn tất cả các đáp án đúng). A. Không khước từ. B. Tính bảo mật. C. Tính xác thực. D. Tính toàn vẹn. 7. Brian bắt gặp dữ liệu được mã hóa do những kẻ tấn công đang giao tiếp với nhau để lại trên một trong các hệ thống của mình. Anh đã thử bất kỳ kỹ thuật phân tích mật mã nào và không thể giải mã được dữ liệu. Anh ấy tin rằng dữ liệu có thể được bảo vệ bằng một hệ thống không thể phá vỡ. Khi được triển khai một cách chính xác, hệ thống mật mã duy nhất được biết là không thể phá vỡ là gì? A. Mật mã chuyển vị. B. Mật mã thay thế. 488 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C. Tiêu chuẩn mã hóa nâng cao. D. Bảng một-lần. 8. Helen đang có kế hoạch sử dụng một bảng một-lần để đáp ứng yêu cầu mật mã duy nhất trong tổ chức của cô ấy. Cô đang cố gắng xác định các yêu cầu đối với việc sử dụng hệ thống mật mã này. Điều nào dưới đây là các yêu cầu đối với việc sử dụng bảng một-lần? (Hãy chọn tất cả các đáp án đúng). A. Khóa mã hóa phải có độ dài ít nhất bằng một nửa độ dài của thông điệp được mã hóa. B. Khóa mã hóa phải được tạo ra một cách ngẫu nhiên. C. Mỗi bảng một-lần chỉ được sử dụng một lần. D. Bảng một-lần phải được bảo vệ về mặt vật lý để không bị tiết lộ. 9. Brian quản lý một hệ thống mật mã đối xứng được sử dụng bởi 20 người dùng, mỗi người trong số họ có khả năng giao tiếp riêng tư với bất kỳ người dùng nào khác. Một trong những người dùng đó đã mất quyền kiểm soát tài khoản của họ và Brian tin rằng khóa của người dùng đã bị xâm phạm. Anh ta phải thay bao nhiêu khóa? A. 1. B. 2. C. 19. D. 190. 10. Loại mật mã nào sau đây hoạt động trên những mảnh lớn của một thông điệp hơn là các ký tự hoặc bit riêng lẻ của một thông điệp? A. Mật mã luồng. B. Mật mã Caesar. C. Mật mã khối. D. Mật mã ROT3. 11. James là quản trị viên cho hệ thống mật mã khóa đối xứng của tổ chức của anh ấy. Anh cấp khóa cho người dùng mỗi khi họ có nhu cầu. Mary và Beth gần đây đã tiếp cận với anh và trình bày về nhu cầu có thể trao đổi các tập tin được mã hóa một cách an toàn. James phải tạo ra bao nhiêu khóa? A. Một. 489 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống B. Hai. C. Ba. D. Bốn. 12. Dave đang phát triển một hệ thống ký quỹ khóa đòi hỏi nhiều người mới lấy được khóa nhưng không phụ thuộc vào việc mọi người tham gia phải có mặt. Anh ấy đang sử dụng loại kỹ thuật nào? A. Phân tách kiến thức. B. M of N Control. C. Chức năng hoạt động. D. Bằng chứng không-kiến-thức. 13. Điều gì được sử dụng để làm gia tăng sức mạnh của mật mã bằng cách tạo ra một bản mã duy nhất mỗi khi cùng một thông điệp được mã hóa bằng cùng một khóa? A. Véc-tơ khởi tạo. B. Mật mã Vigenère. C. Steganography. D. Mật mã luồng. 14. Tammy đang chọn một chế độ hoạt động cho một hệ thống mật mã đối xứng mà cô ấy sẽ sử dụng trong tổ chức của mình. Cô ấy muốn chọn một chế độ có khả năng cung cấp cả tính bảo mật lẫn tính xác thực của dữ liệu. Chế độ nào sẽ đáp ứng tốt nhất nhu cầu của cô ấy? A. ECB. B. GCM. C. OFB. D. CTR. 15. Julie đang thiết kế một hệ thống bảo mật cao và lo ngại về việc lưu trữ dữ liệu không được mã hóa trong RAM. Cô ấy đang cân nhắc trường hợp sử dụng nào? A. Dữ liệu đang chuyển động. B. Dữ liệu ở trạng thái lưu trữ. C. Dữ liệu đang bị phá hủy. D. Dữ liệu đang sử dụng. 490 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 16. Renee đã tiến hành kiểm kê các thuật toán mã hóa được sử dụng trong tổ chức của mình và nhận thấy rằng họ đang sử dụng tất cả các thuật toán dưới đây. Thuật toán nào trong số những thuật toán này nên bị loại bỏ? (Hãy chọn tất cả các đáp án đúng). A. AES. B. DES. C. 3DES. D. RC5. 17. Chế độ thuật toán mã hóa nào sau đây mắc phải đặc tính không mong muốn của lỗi lan truyền giữa các khối? A. Sách Mã Điện tử. B. Chuỗi Khối Mật mã. C. Phản hồi Đầu ra. D. Bộ đếm. 18. Phương pháp phân phối khóa nào dưới đây là cồng kềnh nhất khi người dùng ở các vị trí địa lý khác nhau? A. Diffie-Hellman. B. Mã hóa khóa công khai. C. Ngoại tuyến. D. Ký quỹ. 19. Victoria đang chọn một thuật toán mã hóa để sử dụng trong tổ chức của mình và muốn chọn thuật toán đối xứng an toàn nhất từ danh sách những thuật toán được hỗ trợ bởi gói phần mềm mà cô ấy định sử dụng. Nếu gói hỗ trợ các thuật toán sau, lựa chọn nào sẽ là lựa chọn tốt nhất? A. AES-256. B. 3DES. C. RC4. D. Skipjack. 20. Viện Jones có sáu nhân viên và đang sử dụng hệ thống mã hóa khóa đối xứng để đảm bảo bí mật thông tin liên lạc. Nếu mỗi nhân viên cần giao tiếp một cách riêng tư với mọi nhân viên khác, thì sẽ cần bao nhiêu khóa? 491 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống A. 1. B. 6. C. 15. D. 30. 492 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống C h ư ơn g 7 P K I v à C á c Ứ n g d ụ n g M ã h óa CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM: ✓ Lĩnh vực 3.0: Bảo mật và Quản lý Rủi ro ▪ 3.5 Đánh giá và giảm thiểu các lỗ hổng của kiến trúc, thiết kế và các thành phần giải pháp bảo mật ▪ ▪ 3.5.4 Các hệ thống mật mã 3.6 Lựa chọn và xác định các giải pháp mật mã ▪ 3.6.1 Vòng đời mật mã (ví dụ, khóa, lựa chọn thuật toán) ▪ 3.6.2 Các phương pháp mật mã (ví dụ, đối xứng, bất đối xứng, đường cong elliptic, lượng tử) ▪ ▪ 3.6.3 Cơ sở hạ tầng Khóa Công khai (PKI) ▪ 3.6.4 Thực tiễn quản lý khóa ▪ 3.6.5 Chữ ký và chứng thư kỹ thuật số ▪ 3.6.6 Không-khước-từ ▪ 3.6.7 Tính toàn vẹn (ví dụ, băm) 3.7 Hiểu được các phương pháp tấn công phân tích mật mã ▪ 3.7.1 Brute force ▪ 3.7.2 Chỉ văn bản mật mã ▪ 3.7.3 Văn bản rõ đã biết ▪ 3.7.4 Phân tích tần suất ▪ 3.7.5 Văn bản rõ đã chọn ▪ 3.7.6 Triển khai các cuộc tấn công ▪ 3.7.7 Kênh-cạnh-bên (side-channel) ▪ 3.7.8 Chèn lỗi ▪ 3.7.9 Thời lượng ▪ 3.7.10 Người-trung-gian (MITM) 493 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Trong Chương 6, “Mật mã và các Thuật toán Khóa Đối xứng”, chúng tôi đã giới thiệu các khái niệm mật mã cơ bản và khám phá nhiều hệ thống mật mã khóa riêng tư. Các hệ thống mật mã đối xứng được thảo luận trong chương đó cung cấp giao tiếp nhanh chóng và an toàn nhưng gây ra thách thức đáng kể trong việc trao đổi khóa giữa các bên trước đây không liên quan. Chương này khám phá thế giới của mật mã bất đối xứng (hoặc khóa công khai) và cơ sở hạ tầng khóa công khai (PKI) hỗ trợ giao tiếp an toàn giữa các cá nhân không nhất thiết phải biết về nhau trước khi giao tiếp. Các thuật toán bất đối xứng cung cấp cơ chế trao đổi khóa thuận tiện và có thể mở rộng cho số lượng rất lớn người dùng, giải quyết hai thách thức quan trọng nhất đối với người sử dụng hệ thống mật mã đối xứng. Chương này cũng khám phá một số ứng dụng thực tế của mật mã bất đối xứng: bảo mật các thiết bị di động, email, truyền thông web và két nối mạng. Chương này kết thúc với việc kiểm tra một loạt các cuộc tấn công mà những cá nhân ác ý có thể sử dụng để xâm phạm các hệ thống mật mã yếu. Mã hóa Bất đối xứng Phần “Mật mã Hiện đại” trong Chương 6 đã giới thiệu các nguyên tắc cơ bản đằng sau mật mã khóa riêng tư (đ ối xứng) và công khai (bất đối xứng). Bạn đã tìm hiểu được rằng các hệ thống mật mã khóa đối xứng đòi hỏi cả hai bên của giao tiếp phải sở hữu cùng một khóa bí mật được chia sẻ, gây ra vấn đề phân phối khóa một cách an toàn. Bạn cũng biết được rằng các hệ thống mật mã bất đối xứng tránh được trở ngại này bằng cách sử dụng các cặp khóa công khai và riêng tư để tạo điều kiện giao tiếp an toàn mà không cần các hệ thống phân phối khóa quá phức tạp. 494 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Trong các phần tiếp theo, chúng ta sẽ khám phá các khái niệm về mật mã khóa công khai một cách chi tiết hơn và xem xét ba trong số các hệ thống mật mã bất đối xứng phổ biến hơn được sử dụng ngày nay: Rivest-Shamir-Adleman (RSA), Diffie-Hellman, ElGamal và mật mã đường cong elliptic (ECC). Chúng ta cũng s ẽ khám phá thế giới mới nổi của mật mã lượng tử. Các Khóa Công khai và Riêng tư Hãy nhớ lại ở Chương 6 rằng các hệ thống mật mã khóa công khai chỉ định cho mỗi người dùng một cặp khóa: khóa công khai và khóa riêng tư. Như tên gọi của nó hàm ý, người sử dụng hệ thống mật mã khóa công khai làm cho khóa công khai của họ có sẵn miễn phí cho bất kỳ ai mà họ muốn giao tiếp. Việc các bên thứ ba chỉ sở hữu khóa công khai không gây ra bất kỳ điểm yếu nào cho hệ thống mật mã. Mặt khác, khóa riêng tư được dành riêng cho mục đích sử dụng duy nhất của cá nhân sở hữu khóa. Người dùng thông thường không nên chia sẻ khóa riêng của họ với bất kỳ người dùng hệ thống mật mã nào khác, ngoài các thỏa thuận ký quỹ và khôi phục khóa. Giao tiếp thông thường giữa những người sử dụng hệ thống mật mã khóa công khai tuân theo quy trình được trình bày trong Hình 7.1. HÌNH 7.1 Mã hóa khóa công khai 495 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Hãy lưu ý rằng quá trình này không đòi hỏi việc chia sẻ các khóa riêng tư. Người gửi mã hóa bản rõ (P) bằng khóa công khai của người nhận để tạo ra bản mã (C). Khi người nhận mở thông điệp bản mã, họ sẽ giải mã nó bằng cách sử dụng khóa riêng của họ để xem thông điệp văn bản rõ ban đầu. Khi người gửi mã hóa thông điệp bằng khóa công khai của người nhận, không người dùng nào (kể cả người gửi) có thể giải mã thư đó mà không biết khóa cá nhân của người nhận (nửa sau của cặp khóa công-khai-riêng-tư được sử dụng để tạo ra thông điệp). Đây chính là vẻ đẹp của mật mã khóa công khai - các khóa công khai có thể được chia sẻ một cách tự do bằng cách sử dụng giao tiếp không an toàn và sau đó được sử dụng để tạo các kênh giao tiếp an toàn giữa những người dùng trước đây chưa biết nhau. Bạn cũng đã biết trong chương trước rằng mật mã khóa công khai đòi hỏi mức độ phức tạp tính toán cao hơn. Các khóa đư ợc sử dụng trong hệ thống khóa công khai phải dài hơn khóa được sử dụng trong hệ thống khóa riêng tư để tạo ra các hệ thống mật mã có độ mạnh tương đương. Do các yêu cầu về mặt tính toán cao liên quan đến mật mã khóa công khai, các kiến trúc sư thường thích sử dụng mật mã đối xứng trên bất kỳ thứ gì khác ngoài những thông điệp ngắn. Ở phần sau của chương này, bạn sẽ tìm hiểu cách mật mã hỗn hợp sẽ kết hợp các lợi ích của mật mã đối xứng và bất đối xứng lại với nhau như thế nào. RSA Hệ thống mật mã khóa công khai nổi tiếng nhất được đặt theo tên của người sáng tạo ra nó. Năm 1977, Ronald Rivest, Adi Shamir và Leonard Adleman đ ề xuất thuật toán khóa công khai RSA, và thuật toán này vẫn là một tiêu chuẩn trên toàn thế giới cho đến ngày nay. Họ đã được cấp bằng sáng chế cho thuật toán của mình và thành lập một liên doanh thương m ại được gọi là Bảo mật RSA để phát triển các triển khai chính thống của công nghệ bảo mật của họ. Ngày nay, thuật toán RSA đã được phát hành trong phạm vi công cộng và được sử dụng rộng rãi để giao tiếp một cách an toàn. 496 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Thuật toán RSA phụ thuộc vào độ khó tính toán vốn có trong việc tính tích của các số nguyên tố lớn. Mỗi người sử dụng hệ thống mật mã tạo ra một cặp khóa công khai và khóa riêng bằng cách sử dụng thuật toán được mô tả trong các bước sau: 1. Chọn hai số nguyên tố lớn (mỗi số gồm xấp xỉ 200 chữ số), được gán nhãn là p và q. 2. Tính tích của hai số đó: n = p * q. 3. Chọn một số e thỏa mãn hai yêu cầu sau: a. e nhỏ hơn n. b. e và (p - 1)(q - 1) tương quan nguyên tố - nghĩa là hai số không có thừa số chung nào khác ngoài 1. 4. Tìm một số d sao cho ed = 1 mod ((p - 1) (q - 1)). 5. Phân phối e và n làm khóa công khai cho tất cả người sử dụng hệ thống mật mã. Giữ bí mật d làm khóa riêng tư. Nếu Alice muốn gửi một thông điệp được mã hóa cho Bob, cô ấy sẽ tạo ra bản mã (C) từ bản rõ (P) bằng công thức sau (trong đó e là khóa công khai của Bob và n là tích của p và q được tạo ra trong quá trình tạo khóa ): C = P e mod n Khi Bob nhận được thông điệp, anh ấy thực hiện phép tính sau để lấy ra thông điệp bản rõ: P = C d mod n Merkle-Hellman Knapsack Một thuật toán bất đối xứng ban đầu khác, thuật toán Merkle-Hellman Knapsack, được phát triển vào năm sau khi RSA đư ợc công bố rộng rãi. Giống như RSA, nó dựa trên sự khó khăn khi thực hiện các phép tính phân tích thừa số, nhưng nó dựa trên một thành phần của lý thuyết tập hợp được gọi là các tập hợp siêu tăng hơn là vào các số nguyên tố lớn. Merkle–Hellman đã được chứng minh là không hiệu quả khi nó bị phá vỡ vào năm 1984. 497 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tầm quan trọng của Độ dài Khóa Độ dài của khóa mật mã có lẽ là tham số bảo mật quan trọng nhất có thể được thiết lập tùy theo quyết định của quản trị viên bảo mật. Điều quan trọng là phải hiểu các khả năng của thuật toán mã hóa của bạn và chọn được một độ dài khóa cung cấp được mức độ bảo vệ thích hợp. Phán đoán này có thể được thực hiện bằng cách cân nhắc độ khó của việc đánh bại một độ dài khóa nhất định (được đo bằng lượng thời gian xử lý cần thiết để đánh bại hệ thống mật mã) so với tầm quan trọng của dữ liệu. Nói chung, dữ liệu của bạn càng quan trọng thì bạn nên sử dụng khóa càng mạnh để bảo vệ dữ liệu đó. Tính kịp thời của dữ liệu cũng là một yếu tố quan trọng cần xem xét. Bạn phải tính đến sự phát triển nhanh chóng của năng lực tính toán định luật Moore cho rằng sức mạnh tính toán tăng gấp đôi khoảng mỗi hai năm một lần. Nếu các máy tính hiện tại mất một năm thời gian xử lý để phá vỡ mã của bạn thì sẽ chỉ mất ba tháng nếu nỗ lực đó được thực hiện với công nghệ hiện đại trong khoảng bốn năm. Nếu bạn mong đợi rằng dữ liệu của mình vẫn còn nhạy cảm vào thời điểm đó, bạn nên chọn một khóa mật mã dài hơn nhiều sẽ vẫn giữ được sự an toàn trong tương lai. Ngoài ra, vì những kẻ tấn công hiện có thể tận dụng tài nguyên điện toán đám mây, chúng có khả năng tấn công dữ liệu được mã hóa một cách hiệu quả hơn. Đám mây cho phép những kẻ tấn công thuê sức mạnh tính toán có khả năng mở rộng, bao gồm các đơn vị xử lý đồ họa mạnh mẽ (GPU) trên cơ sở mỗi giờ và giảm giá đáng kể khi sử dụng quá công suất trong giờ thấp điểm. Điều này mang lại khả năng tính toán mạnh mẽ nằm trong tầm ngắm của nhiều kẻ tấn công. Độ mạnh của các độ dài khóa khác nhau cũng khác nhau r ất nhiều tùy theo hệ thống mật mã bạn đang sử dụng. Các độ dài khóa được hiển thị trong bảng sau cho ba hệ thống mật mã đều cung cấp sự bảo vệ như nhau do có sự khác biệt trong cách thức các thuật toán sử dụng vật liệu khóa: Hệ thống mã hóa Độ dài khóa Đối xứng 128-bit RSA 3,072-bit Đường cong elliptic 256-bit 498 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ElGamal Trong Chương 6, bạn đã tìm hiểu cách thuật toán Diffie-Hellman sử dụng số nguyên lớn và số học mô-đun để tạo điều kiện trao đổi an toàn các khóa bí mật qua các kênh giao tiếp không an toàn. Vào năm 1985, Tiến sĩ Taher Elgamal đã xuất bản một bài báo mô tả cách các nguyên tắc toán học đằng sau thuật toán trao đổi khóa Diffie-Hellman có thể được mở rộng để hỗ trợ toàn bộ hệ thống mật mã khóa công khai được sử dụng để mã hóa và giải mã thông điệp. Vào thời điểm phát hành, một trong những lợi thế chính của ElGamal so với thuật toán RSA là nó đã được phát hành công khai cho công chúng. Elgamal đã không nhận được bằng sáng chế về phần mở rộng của Diffie-Hellman, và nó có sẵn để sử dụng miễn phí, không giống như công nghệ RSA đã được cấp bằng sáng chế sau đó. (RSA đã phát hành thuật toán của nó công khai cho công chúng vào năm 2000.) Tuy nhiên, ElGamal cũng có một nhược điểm lớn – thuật toán tăng gấp đôi kích cỡ của bất kỳ thông điệp nào mà nó mã hóa. Điều này gây khó khăn đáng kể khi phải mã hóa một lượng lớn dữ liệu phải được gửi qua mạng. Đường cong Elliptic Trong cùng năm mà ElGamal công b ố thuật toán của mình, hai nhà toán học khác, Neal Koblitz từ Đại học Washington và Victor Miller t ừ IBM, đã độc lập đề xuất việc áp dụng mật mã đường cong elliptic (ECC). Bất kỳ đường cong elliptic nào cũng có th ể được xác định bằng phương trình sau: y2 = x3 + ax + b Trong phương trình này, x, y, a và b đều là số thực. Mỗi đường cong elliptic có một nhóm đường cong elliptic tương ứng được tạo thành từ các điểm trên đường cong elliptic cùng với điểm O, nằm ở vô cùng. Hai điểm trong cùng một nhóm đường cong elliptic (P và Q) có thể được thêm vào cùng với một thuật toán cộng đường cong elliptic. Thao tác này được diễn đạt khá đơn giản như sau: P + Q 499 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bài toán này có thể được mở rộng liên quan đến phép nhân bằng cách giả sử rằng Q là bội của P, nghĩa là như sau: Q = xP Những khái niệm toán học đứng sau mật mã đường cong elliptic khá phức tạp và nằm ngoài phạm vi của cuốn sách này. Tuy nhiên, khi chuẩn bị cho kỳ thi CISSP, bạn nên làm quen với thuật toán đường cong elliptic và các ứng dụng tiềm năng của nó. Nếu bạn quan tâm đến việc tìm hiểu toán học chi tiết đằng sau các hệ thống mật mã đường cong elliptic, sẽ có một hướng dẫn tuyệt vời tại địa chỉ trang web www.certicom.com/content/certicom/en/ecc tutorial.html. Các nhà khoa học máy tính và toán h ọc tin rằng rất khó tìm thấy x, ngay cả khi P và Q đã được biết trước. Bài toán khó này, được gọi là bài toán logarit rời rạc đường cong elliptic, là cơ sở của mật mã đường cong elliptic. Nhiều người tin rằng bài toán này khó giải hơn cả bài toán thừa số nguyên tố mà hệ thống mật mã RSA dựa trên đó và bài toán logarit rời rạc tiêu chuẩn được Diffie-Hellman và ElGamal sử dụng. Điều này được minh họa bằng dữ liệu được hiển thị trong bảng trong thanh bên “Tầm quan trọng của Độ dài Khóa”, trong đó lưu ý rằng khóa RSA 3,072-bit tương đương về mặt mật mã với khóa hệ thống mật mã đường cong elip 256-bit. Trao đổi Khóa Diffie-Hellman Trong Chương 6, bạn đã học cách mà thuật toán Diffie-Hellman trở thành một phương pháp tiếp cận trao đổi khóa cho phép hai cá nhân tạo khóa bí mật dùng chung qua một kênh giao tiếp không an toàn như thế nào. Với kiến thức về mật mã bất đối xứng, giờ đây chúng ta có thể đi sâu hơn một chút vào chi tiết về cách thức hoạt động thực sự của thuật toán này, vì trao đổi khóa Diffie-Hellman là một ví dụ về mật mã khóa công khai. Vẻ đẹp của thuật toán này nằm ở khả năng hai người dùng tạo ra một bí mật được chia sẻ mà cả hai đều biết nhưng không bao giờ thực sự truyền đi bí mật đó. Do đó, họ có thể sử dụng mật mã khóa công khai để tạo ra khóa bí mật được 500 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống chia sẻ mà sau đó họ sử dụng để giao tiếp với thuật toán mã hóa đối xứng. Đây là một ví dụ về cách tiếp cận được gọi là mật mã hỗn hợp, mà chúng ta sẽ thảo luận chi tiết hơn ở phần sau của chương này. Thuật toán Diffie-Hellman hoạt động bằng cách sử dụng toán học về các số nguyên tố, tương t ự như thuật toán RSA. Hãy tưởng tượng rằng Richard và Sue muốn giao tiếp qua một kết nối bảo mật, được mã hóa nhưng họ ở những vị trí khác nhau và không có khóa bí mật dùng chung. Richard hoặc Sue có thể đơn giản tạo ra một khóa như vậy, nhưng sau đó họ sẽ không có cách nào để chia sẻ nó với nhau mà không để lộ nó để có thể bị nghe trộm. Vì vậy, thay vào đó, họ sử dụng thuật toán Diffie-Hellman, theo quy trình sau: 1. Richard và Sue đồng ý về hai số lớn: p (là số nguyên tố) và g (là số nguyên), sao cho 1 <g <p. 2. Richard chọn một số nguyên lớn ngẫu nhiên r và thực hiện phép tính sau: R = gr mod p 3. Sue chọn một số nguyên ngẫu nhiên lớn s và thực hiện phép tính sau: S = gs mod p 4. Richard gửi R cho Sue và Sue gửi S cho Richard. 5. Sau đó Richard thực hiện phép tính này: K = Sr mod p 6. Sau đó Sue thực hiện phép tính này: K = Rs mod p Tại thời điểm này, Richard và Sue đều có cùng giá trị là K, và có thể sử dụng giá trị này để liên lạc khóa bí mật giữa hai bên. Điều quan trọng cần lưu ý là Diffie-Hellman không phải là một giao thức mã hóa. Về mặt kỹ thuật, nó là một giao thức trao đổi khóa. Tuy nhiên, nó thường được sử dụng để tạo khóa bí mật dùng chung để sử dụng trong Bảo mật Lớp Truyền tải (TLS), nơi nó được gọi là DHE hoặc EDH. Chúng ta sẽ thảo luận về việc sử dụng Diffie-Hellman ở phần sau của chương này. 501 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Thuật toán trao đổi khóa Diffie-Hellman dựa trên việc sử dụng các số nguyên tố lớn. Thuật toán trao đổi khóa ECDHE là một biến thể của phương pháp tiếp cận này để sử dụng bài toán đường cong elliptic để thực hiện một tiến trình thỏa thuận khóa tương tự. Mật mã Lượng tử Điện toán lượng tử là một lĩnh vực nghiên cứu lý thuyết tiên tiến trong ngành khoa học máy tính và vật lý. Lý thuyết đằng sau chúng là chúng ta có th ể sử dụng các nguyên tắc của cơ học lượng tử để thay thế các bit nhị phân 1 và 0 của máy tính kỹ thuật số bằng các bit lượng tử đa chiều được gọi là qubit. Điện toán lượng tử vẫn là một lĩnh vực mới nổi, và hiện tại, máy tính lượng tử chỉ giới hạn trong nghiên cứu về mặt lý thuyết. Chưa có ai phát triển được cách triển khai thực tế của một máy tính lượng tử hữu ích. Điều đó nói lên rằng nếu máy tính lượng tử xuất hiện, chúng sẽ có tiềm năng cách mạng hóa thế giới khoa học máy tính bằng cách cung cấp nền tảng công nghệ cho những máy tính mạnh nhất từng được phát triển. Những máy tính đó sẽ nhanh chóng áp dụng nhiều nguyên tắc của an ninh mạng hiện đại. Tác động đáng kể nhất của điện toán lượng tử đối với thế giới mật mã nằm ở khả năng máy tính lượng tử có thể giải quyết các vấn đề hiện không thể giải quyết được trên các máy tính hiện đại. Khái niệm này được gọi là ưu thế lượng tử và, nếu đạt được, có thể dễ dàng giải quyết các vấn đề thừa số hóa mà nhiều thuật toán mã hóa bất đối xứng cổ điển dựa vào. Nếu điều này xảy ra, nó có thể khiến cho các thuật toán phổ biến như RSA và Diffie -Hellman trở thành không an toàn. Tuy nhiên, các máy tính lượng tử cũng có thể được sử dụng để tạo ra các thuật toán mật mã mới hơn và phức tạp hơn. Các hệ thống mật mã lượng tử này có khả năng chống lại các cuộc tấn công lượng tử hơn và có thể mở ra một kỷ nguyên mật mã mới. Các nhà nghiên cứu đã phát triển các triển khai trong phòng thí nghiệm về phân phối khóa lượng tử (QKD), một phương pháp tiếp cận sử dụng tính toán lượng tử để tạo ra khóa bí mật được chia sẻ giữa hai người dùng, 502 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống tương tự như mục tiêu của thuật toán Diffie-Hellman. Giống như mật mã lượng tử nói chung, QKD vẫn chưa đạt đến giai đoạn sử dụng trong thực tế. Mật mã Hậu-Lượng tử (Post-Quantum) Ý nghĩa thiết thực nhất của điện toán lượng tử ngày nay là các chuyên gia an ninh mạng nên nhận thức được về khoảng thời gian mà thông tin của họ sẽ vẫn giữ được tính nhạy cảm. Có khả năng kẻ tấn công có thể giữ lại các bản sao bị đánh cắp của dữ liệu mã hóa trong một khoảng thời gian dài và sau đó sử dụng các phát triển trong tương lai trong lĩnh vực điện toán lượng tử để giải mã dữ liệu đó. Nếu dữ liệu vẫn còn nhạy cảm tại thời điểm đó, tổ chức có thể bị tổn thương. Điểm quan trọng nhất ở đây đối với các chuyên gia bảo mật là ngày nay họ phải suy nghĩ về tính bảo mật của dữ liệu hiện tại của họ trong một thế giới hậu-lượng-tử. Ngoài ra, rất có thể các ứng dụng thực tế lớn đầu tiên của điện toán lượng tử đối với các cuộc tấn công phân tích mật mã có thể sẽ xảy ra trong bí mật. Một cơ quan tình báo hoặc nhóm khác khám phá ra một phương tiện thiết thực để phá vỡ mật mã hiện đại sẽ được hưởng lợi nhiều nhất nếu họ giữ bí mật khám phá đó và sử dụng nó cho lợi ích của riêng họ. Thậm chí có thể là những khám phá như vậy đã xảy ra trong bí mật! Các Hàm Băm Ở phần sau của chương này, bạn sẽ tìm hiểu về cách thức mà hệ thống mật mã triển khai các chữ ký kỹ thuật số để cung cấp bằng chứng rằng một thông điệp có nguồn gốc từ một người dùng cụ thể của hệ thống mật mã và để đảm bảo rằng thông điệp đó đã không bị sửa đổi khi chuyển tiếp giữa hai bên. Trước khi bạn có thể hoàn toàn hiểu khái niệm đó, trước tiên chúng ta phải giải thích khái niệm về hàm băm. Chúng ta sẽ khám phá những điều cơ bản về hàm băm và xem xét một số hàm băm phổ biến được sử dụng trong các thuật toán chữ ký kỹ thuật số hiện đại. Các hàm băm có một mục đích rất đơn giản - chúng nhận một thông điệp có thể khá dài và tạo ra một giá trị đầu ra duy nhất bắt nguồn từ nội dung của thông điệp đó. Giá trị này thường được gọi là đồng hóa thông điệp. Người gửi tin nhắn 503 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống có thể tạo ra thông điệp và truyền đến người nhận cùng với thông điệp đầy đủ vì hai lý do. Đầu tiên, người nhận có thể sử dụng cùng một hàm băm để tính toán lại đồng hóa thông điệp từ toàn bộ thông điệp. Sau đó, họ có thể so sánh bản đồng hóa thông điệp đã tính toán với bản đồng hóa đã được truyền để đảm bảo rằng thông điệp do người khởi tạo gửi đi là thông điệp mà người nhận đã nhận được. Nếu nội dung của đồng hóa thông điệp không khớp, điều đó có nghĩa là thông báo đã bị sửa đổi bằng cách nào đó khi đang chuy ển tiếp. Điều quan trọng cần lưu ý là các thông điệp phải giống hệt nhau để các đồng hóa trùng khớp. Nếu các thông điệp thậm chí có sự khác biệt nhỏ về khoảng trắng, dấu câu hoặc nội dung, thì các giá trị đồng hóa thông điệp sẽ hoàn toàn khác nhau. Không thể cho biết mức độ khác biệt giữa hai thông điệp bằng cách so sánh các đồng hóa. Ngay cả một sự khác biệt nhỏ cũng sẽ tạo ra các giá trị đồng hóa hoàn toàn khác nhau. Thứ hai, đồng hóa thông điệp có thể được sử dụng để triển khai một thuật toán chữ ký kỹ thuật số. Khái niệm này được đề cập trong phần “Chữ ký Kỹ thuật số”, nằm ở phần sau của chương này. Trong hầu hết các trường hợp, một đồng hóa thông điệp là 128-bit hoặc lớn hơn. Tuy nhiên, giá trị một-chữ-số có thể được sử dụng để thực hiện hàm chẵn lẻ, giá trị tổng kiểm tra một-chữ-số hoặc cấp-thấp được sử dụng để cung cấp một điểm xác minh riêng lẻ. Trong hầu hết các trường hợp, bản đồng hóa thông điệp càng dài thì việc xác minh tính toàn vẹn của nó càng đáng tin cậy. Theo RSA Security, có năm yêu c ầu cơ bản đối với một hàm băm mật mã: ▪ Đầu vào có thể có độ dài bất kỳ. ▪ Đầu ra có độ dài cố định. ▪ Hàm băm tương đối dễ tính toán cho bất kỳ đầu vào nào. ▪ Hàm băm là một-chiều (nghĩa là cực kỳ khó để xác định đầu vào khi được cung cấp cùng với đầu ra). Các hàm một-chiều và sự hữu ích của chúng trong mật mã được mô tả trong Chương 6. ▪ Hàm băm có khả năng chống xung đột (nghĩa là cực kỳ khó để tìm được hai thông điệp tạo ra cùng một giá trị băm). 504 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Điểm mấu chốt là rằng các hàm băm tạo ra một giá trị đại diện duy nhất cho dữ liệu trong thông điệp ban đầu nhưng không thể được đảo ngược, hay còn gọi là “hủy băm (de-hashed)”. Quyền truy cập vào giá trị băm không cho phép ai đó xác định nội dung thông điệp gốc thực sự chứa gì. Quyền truy cập vào cả thông điệp gốc và giá trị được băm ban đầu cho phép ai đó xác minh được rằng thông điệp đã không thay đổi kể từ khi hàm băm đầu tiên được tạo bằng cách tạo ra một hàm băm mới và so sánh cả hai. Nếu hàm băm khớp nghĩa là hàm băm đã được chạy trên cùng một dữ liệu đầu vào, vì vậy dữ liệu đầu vào không thay đổi. Trong các phần sau, chúng ta sẽ xem xét một số thuật toán băm phổ biến: Thuật toán Băm An toàn (Secure Hash Algorithm - SHA), Đồng hóa Thông điệp 5 (Message Digest 5 - MD5) và Đồng hóa Thông điệp RIPE (RIPE Message Digest RIPEMD). Mã xác thực thông điệp băm (Hash Message Authentication Code HMAC) cũng được thảo luận ở phần sau của chương này. Rất nhiều thuật toán băm đã không được xác định trong bài thi, nhưng ngoài SHA, MD5, RIPEMD và HMAC, bạn nên nhận biết được HAVAL. Băm Độ dài Biến đổi (Hash of Variable Length - HAVAL) là một phiên bản sửa đổi của MD5. HAVAL sử dụng các khối 1,024 bit và tạo ra các giá trị băm 128, 160, 192, 224 và 256-bit. SHA Thuật toán Băm An toàn (SHA) và các thuật toán kế thừa của nó, SHA-1, SHA-2 và SHA-3, là những hàm băm tiêu chuẩn của chính phủ được xúc tiến bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) và được chỉ định trong một ấn phẩm chính thức của chính phủ - Tiêu chuẩn Băm An toàn (Secure Hash Standard - SHS), hay còn được gọi là Tiêu chuẩn Xử lý Thông tin Liên bang (Federal Information Processing Standard - FIPS) 180. SHA-1 nhận đầu vào có độ dài hầu như bất kỳ (trong thực tế, có giới hạn lên đến khoảng 2,097,152 terabyte trên thu ật toán) và t ạo ra một bản đồng hóa thông điệp 160-bit. Thuật toán SHA-1 xử lý một thông điệp trong các khối 512bit. Do đó, nếu độ dài thông điệp không phải là bội số của 512, thuật toán SHA 505 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống sẽ chèn thêm vào thông điệp bằng dữ liệu bổ sung cho đến khi độ dài đạt đến bội số cao nhất tiếp theo của 512. Các cuộc tấn công phân tích mật mã đã chứng minh rằng có những điểm yếu trong thuật toán SHA-1 và do đó, NIST không còn sử dụng SHA-1 nữa và không còn khuyến nghị sử dụng nó cho bất kỳ mục đích nào, bao gồm cả chữ ký điện tử và chứng nhận kỹ thuật số. Các trình duyệt web đã ngừng hỗ trợ SHA-1 vào năm 2017. Để thay thế, NIST đã công bố tiêu chuẩn SHA-2, có bốn biến thể chính: ▪ SHA-256 tạo bản đồng hóa thông điệp 256-bit sử dụng kích thước khối 512-bit. ▪ SHA-224 sử dụng một phiên bản được cắt ngắn của hàm băm SHA-256, giảm 32-bit để tạo ra bản đồng hóa thông điệp 224-bit sử dụng kích thước khối 512-bit. ▪ SHA-512 tạo ra một đồng hóa thông điệp 512-bit sử dụng kích thước khối 1,024-bit. ▪ SHA-384 sử dụng một phiên bản được cắt ngắn của hàm băm SHA-512, giảm 128-bit để tạo ra bản đồng hóa thông điệp 384-bit sử dụng kích thước khối 1,024-bit. Mặc dù trông có vẻ tầm thường nhưng bạn nên dành thời gian để ghi nhớ kích thước của các đồng hóa thông điệp được tạo ra bởi mỗi một trong các thuật toán băm được mô tả trong chương này. Nói chung, cộng đồng mật mã thường coi các thuật toán SHA-2 là an toàn, nhưng về mặt lý thuyết, chúng cũng mắc phải điểm yếu tương tự như thuật toán SHA1. Vào năm 2015, chính phủ liên bang đã công bố việc phát hành thuật toán Keccak như là tiêu chuẩn SHA-3. Bộ SHA-3 đã được phát triển để thay thế cho hàm băm SHA-2, cung cấp các biến thể và độ dài băm giống nhau bằng cách sử dụng một thuật toán tính toán khác. SHA-3 cung cấp mức độ bảo mật tương tự như SHA-2, nhưng nó chậm hơn SHA-2, vì vậy SHA-3 không thường được sử dụng ngoài một số trường hợp chuyên biệt mà thuật toán được triển khai một cách hiệu quả trong phần cứng. 506 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống MD5 Thuật toán băm Đồng hóa Thông điệp 2 (Message Digest 2 - MD2) được phát triển bởi Ronald Rivest (Rivest trong Rivest, Shamir và Adleman) vào năm 1989 để cung cấp một hàm băm an toàn cho bộ xử lý 8-bit. Năm 1990, Rivest đã nâng cao thuật toán đồng hóa thông điệp của mình để hỗ trợ bộ xử lý 32-bit và tăng mức độ bảo mật với phiên bản có tên gọi MD4. Năm 1991, Rivest phát hành phiên bản tiếp theo của thuật toán đồng hóa thông điệp của mình, mà ông gọi là MD5. Nó cũng xử lý các khối thông điệp 512-bit, nhưng nó sử dụng bốn vòng tính toán riêng biệt để tạo ra một bản đồng hóa có cùng độ dài như các thuật toán MD2 và MD4 (128-bit). MD5 có các yêu cầu đệm giống như MD4 - độ dài của thông điệp phải ít hơn 64-bit so với bội số của 512bit. MD5 triển khai các tính năng bảo mật bổ sung làm giảm đáng kể tốc độ tạo ra đồng hóa thông điệp. Thật không may, các cuộc tấn công phân tích mật mã đã chứng minh rằng giao thức MD5 có thể bị xung đột, ngăn cản việc sử dụng nó để đảm bảo tính toàn vẹn của thông điệp. Cụ thể, Arjen Lenstra và những người khác đã chứng minh vào năm 2005 rằng có thể tạo hai chứng nhận kỹ thuật số từ các khóa công khai khác nhau có cùng m ột băm MD5. Một số công cụ và hệ thống vẫn dựa vào MD5, vì vậy bạn có thể thấy nó được sử dụng ngày nay, nhưng bây giờ tốt hơn nhiều là dựa vào các thuật toán băm an toàn hơn, chẳng hạn như SHA-2. RIPEMD Chuỗi hàm băm Đồng hóa Thông điệp RIPE (RIPE Message Digest - RIPEMD) là một sự thay thế cho họ SHA được sử dụng trong một số ứng dụng, chẳng hạn như triển khai tiền điện tử Bitcoin. Họ các hàm băm này chứa một loạt các chức năng ngày càng phức tạp: ▪ RIPEMD đã tạo ra một bản đồng hóa 128-bit và chứa một số lỗi cấu trúc khiến nó không an toàn. ▪ RIPEMD-128 đã thay thế RIPEMD, đồng thời tạo ra một bản đồng hóa 128bit, nhưng nó cũng được xem là không còn an toàn. 507 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ RIPEMD-160 là sự thay thế cho RIPEMD-128 vẫn được bảo mật cho đến ngày nay và được sử dụng phổ biến nhất trong các biến thể RIPEMD. Nó tạo ra một giá trị băm 160-bit. Bạn cũng có thể sẽ nhìn thấy các tham chiếu đến RIPEMD-256 và RIPEMD-320. Các chức năng này thực sự dựa trên RIPEMD-128 và RIPEMD-160, tương ứng. Chúng không bổ sung thêm bất kỳ bảo mật nào, chúng chỉ đơn giản là tạo ra các giá trị băm dài hơn cho các trường hợp cần giá trị dài hơn. RIPEMD-256 có cùng mức bảo mật với RIPEMD-128, trong khi RIPEMD-320 có cùng mức bảo mật với RIPEMD-160. Điều này dẫn đến tình huống nghe có vẻ bất thường khi RIPEMD-160 là bảo mật, nhưng RIPEMD-256 thì không. So sánh Độ dài Giá trị Thuật toán Băm Bảng 7.1 liệt kê các thuật toán băm nổi tiếng và độ dài giá trị băm kết quả của chúng tính bằng bit. Hãy đánh dấu trang này để ghi nhớ. BẢNG 7.1 Biểu đồ ghi nhớ thuật toán băm Tên Độ dài giá trị băm HAVAL 128, 160, 192, 224 và 256-bit HMAC Thay đổi MD5 128 SHA-1 160 SHA2-224/SHA3-224 224 SHA2-256/SHA3-256 256 SHA2-384/SHA3-384 384 SHA2-512/SHA3-512 512 RIPEMD-128 128 RIPEMD-160 160 RIPEMD-256 256 (nhưng bảo mật tương đương 128) RIPEMD-320 320 (nhưng bảo mật tương đương 160) 508 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Các Chữ ký Kỹ thuật số Khi bạn đã chọn được một hàm băm mật mã và thuật toán mật mã hợp lý, bạn có thể sử dụng nó để triển khai hệ thống chữ ký kỹ thuật số. Cơ sở hạ tầng chữ ký kỹ thuật số có hai mục đích riêng biệt: ▪ Các thông điệp được ký kỹ thuật số đảm bảo với người nhận rằng thông điệp thực sự đến từ người gửi đã tuyên bố quyền sở hữu. Chúng [các thông điệp được ký kỹ thuậ số] đang thực thi việc không khước từ (nghĩa là, chúng ngăn không cho người gửi sau đó tuyên bố rằng thông điệp là giả mạo). ▪ Các thông điệp được ký bằng kỹ thuật số đảm bảo với người nhận rằng tin nhắn đã không bị thay đổi khi đang truyền đi giữa người gửi và người nhận. Điều này bảo vệ chống lại cả sửa đổi ác ý (bên thứ ba thay đổi ý nghĩa của thông điệp) và sửa đổi không chủ đích (do lỗi trong quá trình liên lạc, chẳng hạn như nhiễu điện). Các thuật toán chữ ký kỹ thuật số dựa trên sự kết hợp của hai khái niệm chính đã được đề cập trong chương này - mật mã khóa công khai và các hàm băm. Nếu Alice muốn ký điện tử một thông điệp mà cô ấy đang gửi cho Bob, cô ấy sẽ thực hiện những hành động sau: 1. Alice tạo ra một bản đồng hóa thông điệp (tức là băm) của thông điệp văn bản rõ ban đầu bằng cách sử dụng một trong các thuật toán băm mật mã, chẳng hạn như SHA2-512. 2. Alice sau đó chỉ mã hóa bản đồng hóa thông điệp bằng khóa riêng tư của cô ấy. Đồng hóa thông điệp được mã hóa này chính là chữ ký kỹ thuật số. 3. Alice nối tiếp bản đồng hóa thông điệp đã được ký vào thông điệp bản rõ. 4. Alice truyền thông điệp đã được nối tới Bob. Khi Bob nhận được thông điệp đã được ký điện tử, anh ta sẽ đảo ngược quy trình như sau: 1. Bob giải mã chữ ký kỹ thuật số bằng khóa công khai của Alice. 2. Bob sử dụng cùng một hàm băm để tạo ra một bản đồng hóa thông điệp về bản rõ đầy đủ nhận được từ Alice. 509 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống 3. Sau đó, Bob so sánh bản đồng hóa thông điệp đã giải mã mà anh nhận được từ Alice với bản đồng hóa thông điệp mà anh tự tính toán. Nếu hai bản đồng hóa trùng khớp, anh ấy có thể yên tâm rằng thông điệp anh nhận được là do Alice gửi. Nếu chúng không khớp thì hoặc là thông điệp đã không được gửi bởi Alice hoặc thông điệp đã bị sửa đổi khi đang truyền tải. Các chữ ký kỹ thuật số được sử dụng cho nhiều mục đích hơn chỉ là các thông điệp. Các nhà cung cấp phần mềm thường sử dụng công nghệ chữ ký kỹ thuật số để xác thực các bản phân phối mã mà bạn tải xuống từ Internet, chẳng hạn như các applet và các bản vá lỗi phần mềm. Hãy lưu ý rằng quá trình ký kỹ thuật số không cung cấp tính bảo mật trong và về bản thân nó. Nó chỉ đảm bảo rằng những mục đích của mật mã về tính toàn vẹn, xác thực và không khước từ được đáp ứng. Hãy phân tích về điều đó. Nếu băm được tạo bởi người gửi và băm được tạo bởi người nhận khớp nhau, thì chúng ta biết rằng hai thông điệp đã được băm giống hệt nhau và chúng ta có tính toàn vẹn. Nếu chữ ký kỹ thuật số đã được xác minh bằng khóa công khai của người gửi thì chúng ta biết rằng nó được tạo ra bằng khóa riêng tư của người gửi đó. Khóa riêng tư đó chỉ nên được biết bởi người gửi, do đó, việc xác minh chứng minh cho người nhận rằng chữ ký đến từ người gửi, cung cấp sự xác thực nguồn gốc. Sau đó, người nhận (hoặc bất kỳ ai khác) có thể chứng minh quy trình đó với bên thứ ba, cung cấp sự không khước từ. Tuy nhiên, nếu Alice cũng muốn đảm bảo tính bí mật của thông điệp của cô ấy gửi cho Bob, cô ấy có thể thêm một bước vào quy trình tạo thông điệp. Sau khi thêm bản đồng hóa thông điệp đã được ký vào thông điệp bản rõ, Alice có thể mã hóa toàn bộ thông điệp bằng khóa công khai của Bob. Khi Bob nhận được tin nhắn, anh ấy sẽ giải mã nó bằng khóa riêng tư của mình trước khi làm theo các bước vừa nêu. 510 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống HMAC Thuật toán mã xác thực thông điệp đã băm (HMAC) triển khai một phần chữ ký kỹ thuật số - nó đảm bảo tính toàn vẹn của thông điệp trong quá trình truyền tải, nhưng tuy nhiên, nó không mang lại tính năng không khước từ. Tôi Nên Sử dụng Khóa Nào? Nếu bạn chưa quen với mật mã khóa công khai, việc lựa chọn chính xác khóa cho các ứng dụng khác nhau có thể khá khó hiểu. Mã hóa, giải mã, ký thông điệp và xác minh chữ ký đều sử dụng cùng một thuật toán với các đầu vào khóa khác nhau. Dưới đây là một số quy tắc đơn giản để giúp bạn ghi nhớ những khái niệm này khi chuẩn bị cho kỳ thi CISSP: ▪ Nếu bạn muốn mã hóa một thông điệp bí mật, hãy sử dụng khóa công khai của người nhận. ▪ Nếu bạn muốn giải mã một thông điệp bí mật được gửi cho bạn, hãy sử dụng khóa riêng tư của bạn. ▪ Nếu bạn muốn ký kỹ thuật số một tin nhắn bạn đang gửi cho người khác, hãy sử dụng khóa riêng tư của bạn. ▪ Nếu bạn muốn xác minh chữ ký trên thông điệp do người khác gửi, hãy sử dụng khóa công khai của người gửi. Bốn quy tắc này là các nguyên tắc cốt lõi của mật mã khóa công khai và chữ ký kỹ thuật số. Nếu bạn hiểu được từng nguyên tắc, bạn đã có một khởi đầu tuyệt vời! HMAC có thể được kết hợp với bất kỳ thuật toán tạo đồng hóa thông điệp tiêu chuẩn nào, chẳng hạn như MD5, SHA-2, hoặc SHA-3, bằng cách sử dụng một khóa bí mật được chia sẻ. Do đó, chỉ các bên đang giao tiếp biết được khóa mới có thể tạo hoặc xác minh chữ ký kỹ thuật số. Nếu người nhận giải mã đồng hóa thông điệp nhưng không thể so sánh thành công nó với một đồng hóa thông điệp được tạo từ thông điệp bản rõ, điều đó có nghĩa là thông điệp đã bị thay đổi trong quá trình chuyển tiếp. 511 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bởi vì HMAC dựa trên một khóa bí mật được chia sẻ, nó không cung cấp bất kỳ chức năng không khước từ nào (như đã đề cập trước đây). Tuy nhiên, nó hoạt động theo cách hiệu quả hơn so với tiêu chuẩn chữ ký kỹ thuật số được mô tả trong phần sau và có thể phù hợp với các ứng dụng trong đó mật mã khóa đối xứng là thích hợp. Nói tóm lại, nó đại diện cho một nửa điểm giữa việc sử dụng thuật toán đồng hóa thông điệp không được mã hóa và các thuật toán chữ ký kỹ thuật số tốn kém về mặt tính toán dựa trên mật mã khóa công khai. Tiêu chuẩn Chữ ký Kỹ thuật số Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ chỉ định các thuật toán chữ ký kỹ thuật số được chính phủ liên bang sử dụng trong Tiêu chuẩn Xử lý Thông tin Liên bang (FIPS) 186-4, còn được gọi là Tiêu chuẩn Chữ ký Kỹ thuật số (Digital Signature Standard - DSS). Tài liệu này quy định rằng tất cả các thuật toán chữ ký số được liên bang phê duyệt phải sử dụng hàm băm SHA-3. DSS cũng chỉ định các thuật toán mã hóa có thể được sử dụng để hỗ trợ cho cơ sở hạ tầng chữ ký kỹ thuật số. Có ba thuật toán mã hóa tiêu chuẩn hiện đã được phê duyệt: ▪ Thuật toán Chữ ký Kỹ thuật số (Digital Signature Algorithm - DSA) như được chỉ định trong FIPS 186-4. Thuật toán này là một biến thể của một thuật toán được phát triển bởi Tiến sĩ Taher Elgamal, người sáng tạo ra hệ thống mật mã bất đối xứng ElGamal đã được thảo luận trước đó trong chương này. ▪ Thuật toán Rivest–Shamir–Adleman (RSA), như được chỉ định trong ANSI X9.31. ▪ DSA Đường cong Elliptic (ECDSA), như đư ợc chỉ định trong ANSI X9.62. Khi quyển sách này được xuất bản vào năm 2021, phiên bản tiếp theo của Tiêu chuẩn Chữ ký Kỹ thuật số, FIPS 186-5, vẫn đang ở dạng bản thảo. Dự thảo đề xuất loại bỏ DSA như một thuật toán đã được phê duyệt, giữ lại RSA và ECDSA, đồng thời thêm Thuật toán Chữ ký Kỹ thuật số Edwards-Curve (EdDSA) vào DSS. 512 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Cơ sở hạ tầng Khóa Công khai Điểm mạnh chính của mã hóa khóa công khai là khả năng của nó trong việc tạo điều kiện giao tiếp giữa các bên trước đây chưa từng biết đến nhau. Điều này trở nên khả thi nhờ vào hệ thống phân cấp các mối quan hệ đáng tin cậy của cơ sở hạ tầng khóa công khai (PKI). Những sự tín nhiệm này cho phép kết hợp mật mã bất đối xứng với mật mã đối xứng cùng với băm và chứng nhận kỹ thuật số, mang lại cho chúng ta mật mã kết hợp. Trong các phần tiếp theo, bạn sẽ tìm hiểu về các thành phần cơ bản của cơ sở hạ tầng khóa công khai và những khái niệm mật mã khiến giao tiếp an toàn trên toàn cầu trở nên khả thi. Bạn sẽ tìm hiểu thành phần của chứng nhận kỹ thuật số, vai trò của tổ chức phát hành chứng nhận và quy trình được sử dụng để tạo ra và hủy chứng nhận. Các Chứng nhận Các chứng nhận kỹ thuật số cung cấp cho các bên đang giao tiếp sự đảm bảo rằng những người mà họ đang giao tiếp thực sự chính là người mà họ tuyên bố. Chứng nhận kỹ thuật số về cơ bản là một bản sao được xác thực của khóa công khai của một cá nhân. Khi người dùng xác minh rằng chứng nhận đã được ký bởi tổ chức phát hành chứng nhận (CA) đáng tin cậy, họ biết rằng khóa công khai là hợp pháp. Chứng nhận kỹ thuật số chứa thông tin nhận dạng cụ thể và việc xây dựng chúng được điều chỉnh bởi một tiêu chuẩn quốc tế - X.509. Các chứng nhận tuân theo X.509 chứa những dữ liệu sau: ▪ Phiên bản X.509 mà chứng nhận đang tuân theo, ▪ Mã số sê-ri (từ người tạo chứng nhận), ▪ Bộ định danh thuật toán chữ ký (chỉ định kỹ thuật được sử dụng bởi cơ quan cấp chứng nhận để ký điện tử nội dung của chứng nhận), ▪ Tên người cấp chứng nhận (nhận dạng của cơ quan cấp chứng nhận đã phát hành chứng nhận), ▪ Thời hạn có hiệu lực (chỉ định ngày và giờ - ngày và giờ bắt đầu và ngày giờ hết hạn - trong thời gian chứng nhận có hiệu lực), 513 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Tên chủ thể (chứa tên chung [common name - CN] của chứng nhận cũng như tên phân biệt [distinguished name - DN] của thực thể sở hữu khóa công khai có trong chứng nhận), ▪ Khóa công khai của chủ thể (phần cốt lõi của chứng nhận - khóa công khai thực tế mà chủ sở hữu chứng nhận sử dụng để thiết lập giao tiếp an toàn). Chứng nhận có thể được cấp cho nhiều mục đích khác nhau. Chúng bao gồm việc cung cấp sự đảm bảo cho các khóa công khai của: ▪ Các máy tính/máy móc, ▪ Người dùng cá nhân, ▪ Địa chỉ email, ▪ Nhà phát triển (chứng nhận ký-mã). Chủ đề của chứng nhận có thể bao gồm ký tự đại diện trong tên chứng nhận, cho biết rằng chứng nhận cũng tốt cho các miền phụ. Ký tự đại diện được chỉ định bằng ký tự dấu hoa thị (*). Ví dụ: chứng nhận ký tự đại diện được cấp cho *.example.org sẽ hợp lệ cho tất cả các miền sau: ▪ example.org, ▪ www.example.org, ▪ mail.example.org, ▪ secure.example.org Các chứng nhận wildcard chỉ hợp lệ cho một cấp độ miền phụ. Do đó, chứng nhận *.example.org sẽ không hợp lệ cho miền phụ www.cissp.example.org. Các Cơ quan cấp Chứng nhận Cơ quan cấp chứng nhận (CA) là chất keo kết dính cơ sở hạ tầng khóa công khai lại với nhau. Các tổ chức trung lập này cung cấp dịch vụ công chứng chứng nhận kỹ thuật số. Để có được chứng nhận kỹ thuật số từ một CA có uy tín, bạn phải chứng minh danh tính của mình để làm hài lòng CA. Danh sách dưới đây bao gồm một số CA chính cung cấp chứng nhận số được chấp nhận rộng rãi: ▪ Symantec, ▪ IdenTrust, 514 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Amazon Web Service, ▪ GlobalSign, ▪ Comodo, ▪ Certum, ▪ GoDaddy, ▪ DigiCert, ▪ Secom, ▪ Entrust, ▪ Actalis, ▪ Trustwave. Không có gì ngăn cản bất kỳ tổ chức nào khỏi việc chỉ đơn giản thiết lập cửa hàng như một CA. Tuy nhiên, các chứng nhận do CA cấp chỉ đủ tốt bằng sự tin tưởng được đặt vào CA đã cấp chúng. Đây là một mục quan trọng cần xem xét khi nhận chứng nhận kỹ thuật số từ bên thứ ba. Nếu bạn không nhận ra và tin tưởng vào tên của CA đã cấp chứng nhận thì bạn hoàn toàn không nên đặt niềm tin vào chứng nhận. PKI dựa trên một hệ thống phân cấp của các mối quan hệ đáng tin cậy. Nếu bạn thiết lập cấu hình trình duyệt của mình để tin cậy một CA, nó sẽ tự động tin cậy tất cả các chứng nhận kỹ thuật số do CA đó cấp. Các nhà phát triển trình duyệt định cấu hình trước các trình duyệt để tin tưởng các CA chính để tránh gây ra gánh nặng này cho người dùng. Let’s Encrypt! Là một CA nổi-tiếng bởi vì họ cung cấp các chứng nhận miễn phí trong một nỗ lực khuyến khích sử dụng mã hóa. Bạn có thể tìm hiểu thêm về dịch vụ miễn phí này tại letsencrypt.org. Cơ quan đăng ký (registration authorities - RA) hỗ trợ CA cho gánh nặng xác minh danh tính của người dùng trước khi cấp chứng nhận kỹ thuật số. Họ không trực tiếp tự cấp chứng nhận nhưng đóng vai trò rất quan trọng trong quá trình cấp chứng nhận, cho phép CA xác thực danh tính người dùng từ xa. Cơ quan cấp chứng nhận phải bảo vệ các khóa riêng tư của họ một cách cẩn thận để duy trì các mối quan hệ đáng tin cậy của họ. Để làm được điều này, họ thường 515 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống sử dụng một CA ngoại tuyến để bảo vệ chứng nhận gốc của họ, chứng nhận cấpcao-nhất cho toàn bộ PKI của họ. CA ngoại tuyến này bị ngắt kết nối khỏi mạng và tắt nguồn cho đến khi nó được cần đến. CA ngoại tuyến sử dụng chứng nhận gốc để tạo ra các CA trung gian cấp dưới đóng vai trò là CA trực tuyến được sử dụng để cấp chứng nhận trên cơ sở thường xuyên. Trong mô hình tin cậy CA, việc sử dụng một loạt các CA trung gian còn được gọi là chuỗi chứng nhận. Để xác thực chứng nhận, trước tiên, trình duyệt xác minh danh tính của (các) CA trung gian, sau đó theo dõi đư ờng dẫn tin cậy trở lại CA gốc đã biết, xác minh danh tính của từng liên kết trong chuỗi tin cậy. Cơ quan cấp chứng nhận không cần phải là nhà cung cấp dịch vụ bên-thứ-ba. Nhiều tổ chức vận hành CA nội bộ cung cấp chứng nhận tự ký để sử dụng trong tổ chức. Các chứng nhận này sẽ không được trình duyệt của người dùng bên ngoài tin cậy, nhưng các hệ thống nội bộ có thể được thiết lập cấu hình để tin cậy CA nội bộ, giúp tiết kiệm chi phí lấy chứng nhận từ một CA bên-thứ-ba. Vòng đời Chứng nhận Những khái niệm kỹ thuật đứng sau cơ sở hạ tầng khóa công khai tương đối đơn giản. Trong các phần tiếp theo, chúng tôi sẽ đề cập đến các quy trình được sử dụng bởi các cơ quan cấp chứng nhận để tạo ra, xác thực và thu hồi các chứng nhận máy khách. Đăng ký (Enrollment) Khi bạn muốn lấy chứng nhận kỹ thuật số, trước tiên bạn phải chứng minh danh tính của mình với CA theo một cách nào đó, quá trình này được gọi là đăng ký. Như đã được đề cập trong phần trước, điều này đôi khi liên quan đến việc xuất hiện thực tế trước một đại lý của cơ quan cấp chứng nhận với các tài liệu nhận dạng thích hợp. Một số cơ quan cấp chứng nhận cung cấp các phương tiện xác minh khác, bao gồm việc sử dụng dữ liệu báo cáo tín dụng và xác minh danh tính bởi các nhà lãnh đạo cộng đồng đáng tin cậy. Khi bạn đã làm hài lòng cơ quan cấp chứng nhận về danh tính của mình, bạn cung cấp cho họ khóa công khai của mình dưới dạng yêu cầu ký chứng nhận (certificate signing request - CSR). Tiếp theo, CA tạo ra chứng nhận kỹ thuật số 516 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống X.509 chứa thông tin nhận dạng của bạn và một bản sao khóa công khai của bạn. Sau đó, CA ký kỹ thuật số vào chứng nhận bằng khóa riêng tư của CA và cung cấp cho bạn bản sao chứng nhận kỹ thuật số đã được ký của bạn. Sau đó, bạn có thể phân phối chứng nhận này một cách an toàn cho bất kỳ ai mà bạn muốn giao tiếp một cách bảo mật. Cơ quan cấp chứng nhận cấp các loại chứng nhận khác nhau tùy thuộc vào mức độ xác minh danh tính mà họ thực hiện. Chứng nhận đơn giản và phổ biến nhất là chứng nhận Xác thực miền (Domain Validation - DV), trong đó CA chỉ cần xác minh rằng chủ thể của chứng nhận có quyền kiểm soát tên miền. Chứng nhận Xác thực Mở rộng (Extended Validation - EV) cung cấp mức độ đảm bảo cao hơn và CA thực hiện các bước để xác minh rằng chủ sở hữu chứng nhận là một doanh nghiệp hợp pháp trước khi phát hành chứng nhận. Xác minh (Verification) Khi bạn nhận được một chứng nhận kỹ thuật số từ người nào đó mà bạn muốn giao tiếp, bạn xác minh chứng nhận bằng cách kiểm tra chữ ký kỹ thuật số của CA bằng khóa công khai của CA. Sau đó, bạn phải kiểm tra thời hạn hiệu lực của chứng nhận để đảm bảo rằng ngày hiện tại là sau ngày bắt đầu của chứng nhận và chứng nhận vẫn chưa bị hết hạn. Cuối cùng, bạn phải kiểm tra và đảm bảo rằng chứng nhận không bị thu hồi bằng cách sử dụng danh sách thu hồi chứng nhận (certificate revocation list - CRL) hoặc Giao thức Trạng thái Chứng nhận Trực tuyến (Online Certificate Status Protocol - OCSP). Tại thời điểm này, bạn có thể giả định rằng khóa công khai được liệt kê trong chứng nhận là xác thực, miễn là nó đáp ứng các yêu cầu sau: ▪ Chữ ký kỹ thuật số của CA là xác thực. ▪ Bạn tin tưởng vào CA. ▪ Chứng nhận không được liệt kê trên CRL. ▪ Chứng nhận thực sự chứa dữ liệu bạn đang tin tưởng. Điểm cuối cùng là một hạng mục tinh tế nhưng vô cùng quan trọng. Trước khi bạn tin tưởng một phần của thông tin nhận dạng về ai đó, hãy đảm bảo rằng nó thực sự đã được bao gồm trong chứng nhận. Nếu chứng nhận chứa địa chỉ email (billjones@foo.com) nhưng không phải là tên gọi của một cá nhân, bạn chỉ có thể chắc chắn rằng khóa công khai chứa trong đó được liên kết với địa chỉ email 517 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống đó. CA không đưa ra bất kỳ xác nhận nào về danh tính thực tế của tài khoản email billjones@foo.com. Tuy nhiên, n ếu chứng nhận có tên Bill Jones cùng với một địa chỉ và số điện thoại thì CA cũng đang xác nhận thông tin đó. Các thuật toán xác minh chứng nhận kỹ thuật số được tích hợp vào một số ứng dụng email và trình duyệt web phổ biến, vì vậy, bạn sẽ không cần phải tham gia thường xuyên vào các chi tiết của quy trình. Tuy nhiên, điều quan trọng là phải có hiểu biết vững chắc về các chi tiết kỹ thuật diễn ra phía sau hậu trường để đưa ra những đánh giá bảo mật phù hợp cho tổ chức của bạn. Đó cũng là lý do mà khi mua chứng nhận, bạn nên chọn CA được nhiều người tin tưởng. Nếu một CA không được bao gồm hoặc sau đó bị lấy ra khỏi danh sách CA được tin cậy bởi trình duyệt chính, điều đó sẽ hạn chế đáng kể tính hữu ích của chứng nhận của bạn. Năm 2017, một lỗi bảo mật đáng kể đã xảy ra trong ngành chứng nhận kỹ thuật số. Symantec, thông qua một loạt công ty liên kết, đã phát hành một số chứng nhận kỹ thuật số không đáp ứng các tiêu chuẩn bảo mật của ngành. Để đáp lại, Google thông báo r ằng trình duyệt Chrome sẽ không còn tin tưởng vào chứng nhận Symantec nữa. Do đó, Symantec đã bán đ ứt hoạt động kinh doanh pháthành-chứng-nhận của mình cho DigiCert, công ty đã đ ồng ý xác nhận hợp lệ các chứng nhận trước khi phát hành. Điều này chứng tỏ tầm quan trọng của việc xác nhận các yêu cầu chứng nhận một cách thích hợp. Một loạt các sơ suất trông có vẻ nhỏ trong quy trình có thể hủy hoại hoạt động kinh doanh của một CA! Phương pháp tiếp cận ghim chứng nhận (certificate pinning) hướng dẫn các trình duyệt đính kèm một chứng nhận vào một chủ đề trong một khoảng thời gian dài. Khi các trang web sử dụng tính năng ghim chứng nhận, trình duyệt sẽ liên kết trang web đó với khóa công khai của chúng. Điều này cho phép người dùng hoặc quản trị viên nhận ra và can thiệp nếu một chứng nhận bất ngờ thay đổi. Thu hồi (Revocation) Đôi khi, một cơ quan chứng nhận cần phải thu hồi một chứng nhận. Việc này có thể xảy ra vì một trong số các nguyên nhân sau: ▪ Chứng nhận đã bị xâm phạm (ví dụ, chủ sở hữu của chứng nhận đã vô tình vứt bỏ chứng nhận của mình), 518 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống ▪ Chứng nhận đã được cấp sai (ví dụ: CA đã cấp nhầm chứng nhận mà không có xác minh thích hợp). ▪ Các chi tiết của chứng nhận đã thay đổi (ví dụ, tên của chủ thể đã thay đổi). ▪ Tình hình bảo mật đã thay đổi (ví dụ, chủ thể không còn được sử dụng bởi tổ chức đang bảo trợ cho chứng nhận). Thời gian gia hạn yêu cầu thu hồi là thời gian phản hồi tối đa mà theo đó CA sẽ thực hiện bất kỳ yêu cầu thu hồi nào. Điều này được định nghĩa trong Tuyên bố về Hành nghề Chứng nhận (Certificate Practice Statement - CPS). CPS nêu rõ các phương thức mà CA sử dụng khi cấp hoặc quản lý chứng nhận. Bạn có thể sử dụng 3 kỹ thuật để xác minh tính xác thực của các chứng nhận và xác định các chứng nhận đã bị thu hồi: Danh sách Thu hồi Chứng nhận Các danh sách thu hồi chứng nhận (CRLs) được duy trì bởi các cơ quan cấp chứng nhận khác nhau và chứa các số sê-ri của những chứng nhận đã từng được phát hành bởi một CA và đã bị thu hồi, cùng với ngày giờ mà sự thu hồi có hiệu lực. Bất lợi lớn đối với các danh sách thu hồi chứng nhận là rằng chúng phải được tải về và tham-chiếu-chéo định kỳ, tạo ra một khoảng thời gian trễ giữa thời điểm một chứng nhận bị thu hồi và thời điểm người dùng đầu cuối được thông báo về việc thu hồi. Giao thức Trạng thái Chứng nhận Trực tuyến (OCSP) Giao thức này loại bỏ độ trễ vốn có trong việc sử dụng danh sách thu hồi chứng nhận bằng cách cung cấp một phương tiện để xác minh các chứng nhận theo thời gian thực. Khi một ứng dụng máy khách nhận được chứng nhận, nó sẽ gửi một yêu cầu OCSP đến máy chủ OCSP của CA. Sau đó, máy chủ sẽ phản hồi với trạng thái hợp lệ, không hợp lệ hoặc không xác định. Trình duyệt sử dụng thông tin này để xác định xem liệu chứng nhận có hợp lệ hay không. Ghim chứng nhận Vấn đề chính với OCSP là nó đặt một gánh nặng đáng kể lên các máy chủ OCSP do cơ quan cấp chứng nhận vận hành. Các máy 519 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống chủ này phải xử lý các yêu cầu từ mỗi khách truy cập vào một trang web hoặc người dùng khác của chứng nhận số, xác minh rằng chứng nhận hợp lệ và không bị thu hồi. Ghim chứng nhận (certificate stapling) là một phần mở rộng cho Giao thức Trạng thái Chứng nhận Trực tuyến giúp giảm bớt một số gánh nặng cho các cơ quan cấp chứng nhận theo giao thức nguyên thủy. Khi người dùng truy cập vào một trang web và bắt đầu một kết nối an toàn, trang web sẽ gửi chứng nhận của nó đến người dùng đầu cuối, và người này thường sẽ chịu trách nhiệm liên hệ với máy chủ OCSP để xác minh tính hợp lệ của chứng nhận. Trong tính năng ghim chứng nhận, máy chủ web liên hệ với chính bản thân máy chủ OCSP và nhận được phản hồi có chữ ký và được đánh dấu thời gian từ máy chủ OCSP, sau đó nó [phản hồi] sẽ được đính kèm hoặc ghim vào chứng nhận kỹ thuật số. Sau đó, khi người dùng yêu cầu kết nối web an toàn, máy chủ web sẽ gửi chứng nhận với phản hồi OCSP đã được ghim cho người dùng. Tiếp theo, trình duyệt của người dùng xác minh rằng chứng nhận là xác thực và cũng xác nhận rằng phản hồi OCSP được ghim là chính hãng và mới gần đây. Vì CA đã ký vào phản hồi OCSP nên người dùng biết rằng đó là từ cơ quan cấp chứng nhận và dấu thời gian cung cấp cho người dùng sự đảm bảo rằng CA gần đây đã xác thực chứng nhận. Từ đó, giao tiếp có thể tiếp tục như bình thường. Việc tiết kiệm thời gian diễn ra khi người dùng tiếp theo truy cập trang web. Máy chủ web có thể chỉ cần sử dụng lại chứng chỉ đã được ghim mà không cần phải liên hệ lại với máy chủ OCSP. Miễn là dấu thời gian đủ mới, người dùng sẽ chấp nhận chứng chỉ được ghim mà không cần phải liên hệ lại với máy chủ OCSP của CA. Thông thường các chứng chỉ ghim có thời hạn hiệu lực là 24 giờ. Điều này làm giảm gánh nặng cho máy chủ OCSP từ việc xử lý một yêu cầu cho mỗi người dùng trong suốt một ngày, có thể là hàng triệu yêu cầu, đến xử lý một yêu cầu cho mỗi chứng chỉ mỗi ngày. Đó là một mức giảm đáng kể. 520 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Định dạng Chứng nhận Các chứng nhận kỹ thuật số được lưu trữ dưới dạng các tập tin, và các tập tin này có nhiều định dạng khác nhau, cả nhị phân lẫn dựa-trên-văn-bản: ▪ Định dạng nhị phân phổ biến nhất là định dạng Quy tắc Mã Phân biệt (Distinguished Encoding Rules – DER). Các chứng nhận DER thường được lưu trữ trong các tập tin với phần mở rộng .der, .crt hoặc .cer. ▪ Định dạng chứng nhận Thư được Tăng cường Quyền riêng tư (Privacy Enhanced Mail – PEM) là một phiên bản văn bản ASCII của định dạng DER. Các chứng nhận PEM thường được lưu trữ trong các tập tin với phần mở rộng .pem hoặc .crt. Có thể bạn đã nắm bắt được thực tế rằng phần mở rộng tập tin .crt được sử dụng cho cả tập tin DER nhị phân lẫn tập tin PEM văn bản. Điều đó rất khó hiểu! Bạn nên nhớ rằng bạn không thể biết một chứng nhận CRT là nhị phân hay văn bản nếu không thực sự xem nội dung của tập tin. ▪ Định dạng Trao đổi Thông tin Cá nhân (Personal Information Exchange – PFX) được sử dụng phổ biến bởi các hệ thống Windows. Các chứng nhận PFX có thể được lưu trữ dưới dạng nhị phân, sử dụng phần mở rộng tập tin .pfx hoặc .p12. ▪ Các hệ thống Windows cũng sử dụng các chứng nhận P7B, vốn được lưu trữ dưới dạng văn bản ASCII. Bảng 7.2 cung cấp một bản tóm tắt về các định dạng chứng nhận. BẢNG 7.2 Các định dạng chứng nhận kỹ thuật số Tiêu chuẩn Định dạng Phần mở rộng tập tin Quy tắc Mã Phân biệt (DER) Nhị phân .der, .crt, .cer Thư được Tăng cường Quyền Riêng tư (PEM) Văn bản .pem, .crt Trao đổi Thông tin Cá nhân (PFX) Nhị phân .pfx, .p12 P7B Văn bản .p7b 521 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Quản lý Khóa Bất đối xứng Khi làm việc trong phạm vi cơ sở hạ tầng khóa công khai, bạn phải tuân theo một số yêu cầu thực tiễn tốt nhất để duy trì tính bảo mật của giao tiếp của bạn. Đầu tiên, hãy chọn hệ thống mã hóa của bạn một cách khôn ngoan. Như bạn đã tìm hiểu được trước đây, “bảo mật thông qua sự mơ hồ” không phải là một phương pháp tiếp cận thích hợp. Hãy chọn một hệ thống mã hóa với một thuật toán trong lĩnh vực công cộng đã được các chuyên gia trong ngành ki ểm tra một cách kỹ lưỡng. Hãy cảnh giác với các hệ thống sử dụng phương pháp tiếp cận “hộp-đen” và duy trì rằng tính bí mật của thuật toán của họ là rất quan trọng đối với tính toàn vẹn của hệ thống mật mã. Bạn cũng phải chọn các khóa của mình theo cách thích hợp. Hãy sử dụng độ dài khóa cân bằng giữa các yêu cầu bảo mật của bạn với các cân nhắc về hiệu suất. Ngoài ra, hãy đảm bảo rằng khóa của bạn thực sự ngẫu nhiên. Bất kỳ hình mẫu nào có trong khóa đều làm gia tăng khả năng kẻ tấn công có thể phá mã mã hóa của bạn và làm suy giảm tính bảo mật của hệ thống mật mã của bạn. Khi sử dụng mã hóa khóa công khai, hãy gi ữ bí mật khóa riêng tư của bạn! Đừng bao giờ, trong bất kỳ trường hợp nào, cho phép b ất kỳ ai khác truy cập vào khóa cá nhân của bạn. Hãy nhớ rằng, việc cho phép ai đó truy cập thậm chí chỉ một lần sẽ xâm phạm vĩnh viễn mọi giao tiếp diễn ra (trong quá khứ, hiện tại hoặc tương lai) bằng cách sử dụng khóa đó và cho phép bên thứ ba mạo danh bạn thành công. Hãy loại bỏ khóa khi chúng còn đang trong vòng đời hoạt động hữu ích. Nhiều tổ chức có các yêu cầu luân chuyển khóa bắt buộc để bảo vệ chống lại sự xâm nhập phạm chưa bị phát hiện. Nếu bạn không có chính sách chính th ức mà bạn phải tuân theo, hãy chọn khoảng thời gian thích hợp dựa trên tần suất bạn sử dụng khóa của mình. Bạn có thể muốn thay đổi cặp khóa của mình vài tháng một lần, nếu thực tế. Hãy sao lưu khóa của bạn! Nếu bạn mất tập tin chứa khóa cá nhân của mình do hỏng dữ liệu, thảm họa hoặc các trường hợp khác, chắc chắn bạn sẽ muốn có sẵn một bản sao lưu. Bạn có thể muốn tạo ra bản sao lưu của riêng mình hoặc 522 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống sử dụng dịch vụ ký quỹ khóa để duy trì bản sao lưu cho bạn. Trong cả hai trường hợp, hãy đảm bảo rằng bản sao lưu được xử lý một cách an toàn. Xét cho cùng, nó cũng quan trọng như tập tin khóa chính của bạn! Các mô-đun bảo mật phần cứng (HSM) cũng mang lại một cách hiệu quả để quản lý các khóa mã hóa. Các thiết bị phần cứng này lưu trữ và quản lý các khóa mã hóa một cách an toàn, giúp con người không cần phải thao tác trực tiếp với các khóa đó. Rất nhiều trong số chúng cũng có khả năng cải thiện hiệu quả của các hoạt động mật mã, trong một quá trình được gọi là tăng tốc phần cứng. HSM có phạm vi và độ phức tạp từ các thiết bị rất đơn giản, chẳng hạn như YubiKey, lưu trữ các khóa được mã hóa trên ổ USB cho mục đích sử dụng cá nhân cho đến các sản phẩm doanh nghiệp phức tạp hơn nằm trong trung tâm dữ liệu. HSM bao gồm các cơ chế chống-giả-mạo để ngăn việc người nào đó có quyền truy cập vật lý vào thiết bị truy cập vào tài liệu mật mã mà thiết bị đang duy trì. Các nhà cung cấp dịch vụ đám mây, chẳng hạn như Amazon và Microsoft, cũng cung cấp HSM dựa trên đám mây để cung cấp việc quản lý khóa an toàn cho các dịch vụ cơ sở hạ tầng như-một-dịch-vụ (IaaS). Mã hóa Hỗn hợp Giờ đây, bạn đã tìm hiểu được về hai loại chính của các hệ thống mật mã: thuật toán đối xứng và bất đối xứng. Bạn cũng đã tìm hiểu về những ưu điểm và nhược điểm chính của từng loại. Đứng đầu trong số này là sự thật rằng các thuật toán đối xứng nhanh nhưng gây ra những thách thức về phân phối khóa và, mặc dù các thuật toán bất đối xứng giải quyết được vấn đề phân phối khóa, chúng cũng chậm và đòi hỏi nhiều về mặt tính toán. Nếu bạn đang lựa chọn giữa các phương pháp này, bạn buộc phải đưa ra quyết định giữa sự tiện lợi và tốc độ. Mật mã hỗn hợp kết hợp mật mã đối xứng và bất đối xứng để đạt được lợi ích về phân phối khóa của hệ thống mật mã không đối xứng với tốc độ của thuật toán đối xứng. Những cách tiếp cận này hoạt động bằng cách thiết lập kết nối ban đầu giữa hai thực thể giao tiếp bằng cách sử dụng mật mã không đối xứng. Kết nối đó chỉ được sử dụng cho một mục đích duy nhất: trao đổi khóa bí mật được chia sẻ được tạo ra một cách ngẫu nhiên, còn được gọi là khóa phù du. Sau đó, hai bên trao đổi bất kỳ dữ liệu nào họ muốn bằng cách sử dụng khóa bí 523 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống mật đã được chia sẻ với một thuật toán đối xứng. Khi phiên giao tiếp kết thúc, họ loại bỏ khóa phù du và sau đó lặp lại quy trình tương tự nếu họ muốn giao tiếp lại sau đó. Vẻ đẹp tinh tế của cách tiếp cận này là nó sử dụng mật mã không đối xứng để phân phối khóa, một nhiệm vụ chỉ yêu cầu mã hóa một lượng nhỏ dữ liệu. Sau đó, nó chuyển sang thuật toán đối xứng nhanh hơn cho phần lớn dữ liệu được trao đổi. Bảo mật Lớp Truyền tải (TLS) là ví dụ nổi tiếng nhất về mật mã kết hợp và chúng ta sẽ thảo luận về cách tiếp cận đó ở phần sau của chương này. Mã hóa Được áp dụng Cho đến thời điểm này, bạn đã tìm hiểu được nhiều điều về nền tảng của mật mã, hoạt động bên trong của các thuật toán mật mã khác nhau và việc sử dụng cơ sở hạ tầng khóa công khai để phân phối thông tin nhận dạng bằng chứng nhận kỹ thuật số. Giờ đây, bạn sẽ cảm thấy thoải mái với những kiến thức cơ bản về mật mã và sẵn sàng chuyển sang các ứng dụng cấp-cao-hơn của công nghệ này để giải quyết các vấn đề giao tiếp hàng ngày. Trong những phần tiếp theo, chúng ta sẽ tìm hiểu việc sử dụng mật mã để bảo mật dữ liệu ở trạng thái đang lưu trữ, chẳng hạn như dữ liệu được lưu trữ trên các thiết bị di động, cũng như dữ liệu đang chuyển tiếp, bằng cách sử dụng các kỹ thuật bao gồm email bảo mật, thông tin liên lạc web được mã hóa và mạng. Các Thiết bị Di động Ngày nay, bản chất phổ biến khắp nơi của máy tính xách tay, điện thoại thông minh và máy tính b ảng mang đến những rủi ro mới cho thế giới điện toán. Những thiết bị đó thường chứa thông tin có độ nhạy cảm cao, nếu bị mất hoặc bị đánh cắp, có thể gây ra thiệt hại nghiêm trọng cho tổ chức và khách hàng, nhân viên và các chi nhánh của tổ chức đó. Vì lý do này, nhiều tổ chức chuyển sang mã hóa để bảo vệ dữ liệu trên các thiết bị này trong trường hợp chúng bị thất lạc. Phiên bản hiện tại của các Hệ điều hành phổ biến hiện nay bao gồm khả năng mã hóa ổ đĩa giúp dễ dàng áp dụng và quản lý mã hóa trên các thiết bị di động. Ví dụ: Microsoft Windows bao gồm công nghệ BitLocker và Hệ thống tập tin mã 524 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống hóa (Encrypting File System - EFS), macOS bao gồm mã hóa FileVault và gói mã nguồn mở VeraCrypt cho phép mã hóa đĩa trên các hệ thống Linux, Windows và Mac. Mô-đun Nền tảng Đáng tin cậy (Trusted Platform Module) Những máy tính hiện đại thường bao gồm một thành phần mã hóa chuyên biệt còn được gọi là một Mô-đun Nền tảng Đáng tin cậy (TPM). TPM là một con chip nằm trên bo mạch chủ của thiết bị. TPM phục vụ cho một số mục đích, bao gồm lưu trữ và quản lý các khóa được sử dụng cho các giải pháp mã hóa toànbộ-đĩa (FDE). TPM cung cấp cho Hệ điều hành quyền truy cập đến các khóa chỉ khi người dùng được xác thực thành công. Điều này ngăn chặn một ai đó lấy ổ đĩa ra khỏi thiết bị và gắn nó vào một thiết bị khác để truy cập vào những dữ liệu trong đĩa. Một loạt các công cụ thương mại khác nhau đang sẵn có để cung cấp các tính năng và năng lực quản lý bổ sung. Những điểm khác biệt chính giữa các công cụ này là cách thức mà chúng bảo vệ các khóa được lưu trữ trong bộ nhớ, bất kể chúng cung cấp tính năng mã hóa toàn-bộ-đĩa hay mã hóa chỉ-phân-vùng-đĩa, và bất kể chúng tích hợp với các Mô-đun Nền tảng Đáng tin cậy (TPM) để mang lại tính năng bảo mật bổ sung hay không. Bất kỳ nỗ lực nào để lựa chọn phần mềm mã hóa nên bao gồm một phân tích về mức độ cạnh tranh của các lựa chọn thay thế khác dựa trên những đặc điểm này. Đừng bỏ quên các điện thoại thông minh khi phát triển chính sách mã hóa thiết bị di động của bạn. Hầu hết các nền tảng điện thoại thông minh và máy tính bảng lớn đều bao gồm tính năng cấp-độdoanh-nghiệp để hỗ trợ việc mã hóa dữ liệu được lưu trữ trên điện thoại. Email Rất nhiều lần, chúng tôi đã từng đề cập rằng bảo mật nên hiệu-quả-về-chi-phí. Khi nói đến email, tính đơn giản là lựa chọn hiệu-quả-về-chi-phí nhất, nhưng đôi khi các chức năng mật mã cung cấp các dịch vụ bảo mật cụ thể mà bạn không 525 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống thể tránh sử dụng. Vì việc đảm bảo bảo mật cũng hiệu-quả-về-chi-phí, nên dưới đây là một số quy tắc đơn giản về mã hóa email: ▪ Nếu bạn cần bảo mật khi gửi thông điệp email, hãy mã hóa thông điệp. ▪ Nếu thông điệp của bạn phải duy trì tính toàn v ẹn, bạn phải băm thông điệp. ▪ Nếu thông điệp của bạn cần tính xác thực, tính toàn vẹn và/hoặc không khước từ, bạn nên ký kỹ thuật số vào thông điệp. ▪ Nếu thông điệp của bạn cần tính bảo mật, tính toàn vẹn, xác thực nguồn gốc và không khước từ, bạn nên mã hóa và ký kỹ thuật số vào thông điệp. Trách nhiệm của người gửi luôn là sử dụng các cơ chế thích hợp để đảm bảo rằng bảo mật (nghĩa là tính bảo mật, tính toàn vẹn, xác thực, và không khước từ) của thông điệp hoặc của quá trình truyền tải được duy trì. Phạm vi đề cập của email trong chương này tập trung vào việc sử dụng mật mã để cung cấp thông tin liên lạc an toàn giữa hai bên. Bạn sẽ tìm thấy nhiều nội dung hơn về các chủ đề bảo mật email trong Chương 12, “Giao tiếp An toàn và Các cuộc tấn công Mạng”. Một trong những cách áp dụng được yêu cầu nhiều nhất của mật mã là mã hóa và ký thông điệp email. Cho đến gần đây, email được mã hóa đòi hỏi sử dụng phần mềm phức tạp và bất tiện, do đó yêu cầu sự can thiệp thủ công và các thủ tục trao đổi khóa phức tạp. Sự chú trọng ngày càng tăng về bảo mật trong những năm gần đây dẫn đến việc triển khai công nghệ mã hóa mạnh mẽ trong các gói email chính thống. Tiếp theo, chúng ta sẽ xem xét một số tiêu chuẩn email an toàn đang được sử dụng rộng rãi ngày nay. Pretty Good Privacy Hệ thống bảo mật email Pretty Good Privacy (PGP) c ủa Phil Zimmerman xuất hiện trong lĩnh vực bảo mật máy tính vào năm 1991. Nó kết hợp hệ thống phân cấp CA được mô tả trước đó trong chương này với khái niệm “trang web của sự tin cậy” - nghĩa là, bạn phải trở nên đáng tin cậy bởi một hoặc nhiều người dùng PGP để bắt đầu sử dụng hệ thống. Sau đó, bạn chấp nhận phán quyết của họ về tính hợp lệ của những người dùng bổ sung và, nói cách khác, hãy tin tưởng vào 526 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống một “web” đa cấp của những người dùng giảm dần từ các phán đoán tin cậy ban đầu của bạn. PGP ban đầu gặp phải một số trở ngại đối với việc sử dụng rộng rãi. Trở ngại khó khăn nhất là các quy định xuất khẩu của chính phủ Hoa Kỳ, vốn coi công nghệ mã hóa giống như bom đạn và cấm phân phối công nghệ mã hóa mạnh ra bên ngoài Hoa Kỳ. May mắn thay, hạn chế này đã được bãi bỏ và PGP có thể được phân phối tự do đến hầu hết các quốc gia khác. PGP có sẵn trong hai phiên bản: sản phẩm thương mại hiện được bán bởi Symantec và một biến thể mã nguồn mở được gọi là OpenPGP. Các sản phẩm này cho phép sử dụng các thuật toán mã hóa hiện đại, các hàm băm và các tiêu chuẩn chữ ký trong khuôn khổ PGP. Thông điệp PGP thường được gửi đi dưới định dạng văn-bản-mã-hóa để tạo điều kiện tương thích với các hệ thống email khác. Dưới đây là một ví dụ về cách một thông điệp đã được mã hóa trông như thế nào khi được gửi bằng PGP: -----BEGIN PGP MESSAGE----hQGMAyHB9q9kWbl7AQwAmgyZoaXC2Xvo3jrVIWains3/UvUImp3YebcEmlLK+26oT NGBSNi5jLi2A62e8TLGbPkJv5vN3JZH4F27ZvYIhqANwk2nTI1sE0bA2Rlw6PcXCUoo GhNY/rmmWTLvWNVRdSXZj2i28fk2gi2QjlrEwYLkKJdUxzKldSLht+Bc+V2NbvQrTzJ0 LmRq9FKvZ4lz5v7Qj/f1GdKF/5HCTthUWxJMxxuSzCp46rFR6sKAQXGtHdi2IzrroyQL R23HO6KuleisGf1X2wzfWENlXMUNGNLxPi2YNvo3MaFMMw3o1dFZj28p tpCH8eGOVI Aa05ZNnCk2a6alqTf9aKH8932uCS/AcYG3xqVcRCz7qyaLqD5NFg4GXq10KD8Jo1VP/ HncOx7/39MGRDuzJqFieQzsVo0uCwVB2zJYC0SeJyMHkyDTaAxz4HMQxzm8FubreTf isXKuUfPbYAuT855kc2iBKTGo9Cz1WjhQo6mveI6hvu0qYUaX5sGgfbD4bzCMFJj0nU BUdMni0jqHJ2XuZerEd8m0DioUOBRJybLlohtRkikGzra/ +WGE1ckQmzch5LDPdIEZp hvV+5/DbhHdhxN7QMWe6ZkaADAZRgu77tkQK6cQvrBPZdk22uS0vzdwzJzzvybspzq 1HkjD+aWR9CpSZ9mukZPXew==7NWG -----END PGP MESSAGE----- 527 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Tương tự, các thông điệp đã được ký kỹ thuật số cũng bao gồm đoạn văn bản của thông điệp tiếp theo là một chữ ký PGP. Và đây là một ví dụ: -----BEGIN PGP SIGNED MESSAGE----Hash: SHA256 I am enjoying my preparation for the CISSP exam. -----BEGIN PGP SIGNATURE ----iQGzBAEBCAAdFiEE75kumjjPhsn37slI+Cb2Pddh6OYFAmAF4FMACgkQ+Cb2Pddh6O ba4gv8D4ybEtYidHdlfDYfbF+wYAz8JZ0Mw //f41iwkBG6BO6RtKtNPV202Ngb3Uxqjo dy48ndmDM4q60x3EMy+97ZXNoZL7fY5vv2viDa1so4BqevtRKYe6sfjxMgXImhPVxUk nWhJUlUopQvsetBe51nqiqhpVONx/GRDXR9gdmGO89gD7XSCy0vHhEWAuoBVNBjb XqmxWdBPdrGcA9zFhdvxzmc6iI4zYe2mQxk1Nt1K6PRXNGjJLIxqchLsD7rLVYG1I7+ CLGYreJH0siW0Xltbr96qT++1u4tMo1ng1UraoB21zTPVcHA0pJuDLrlXB0GFxVbDHpt tOhYDPFZPk4NpzztDuAeNCA5/Oi3JJMjzBRrRuoIH7abmePXqc0Bl1/DAbbiYd5uX01i 8ejIveLoeb4OZfLZH/j+bJZT5762Wx0DwkVtm8smk6nl+whpAZb5MV6SaS1xEcsRpU +w/O61OPteZ6eIHkU9pDu0yXM6IdtfRpqEw3LKVN/MzblGsAq4=GXp+ -----END PGP SIGNATURE----Ví dụ trước gửi thông điệp đi dưới dạng văn bản rõ với chữ ký PGP được gắn thêm vào phía dưới. Nếu bạn bổ sung thêm mã hóa để bảo vệ tính bí mật của thư thì mã hóa sẽ được áp dụng sau khi thư đã được ký kỹ thuật số, tạo ra kết quả giống với bất kỳ thư được mã hóa nào khác. Ví dụ: đây là cùng một tin nhắn được ký kỹ thuật số với mã hóa được thêm vào: -----BEGIN PGP MESSAGE----owEBBwL4/ZANAwAIAfgm9j3XYejmAaxAYgh0ZXN0LnR4dGAF4N1JIGFtIGVuam95a W5nIG15IHByZXBhcmF0aW9uIGZvciB0aGUgQ0lTU1AgZXhhbS4KC okBswQAAQgAH RYhBO+ZLpo4z4bJ9+7JSPgm9j3XYejmBQJgBeDdAAoJEPgm9j3XYejmLfoL/RRWoD Ul+AeZGffqwnYiJH2gB+Tn+pLjnXAhdf/YV4OsWEsjqKBvItctgcQuSOFJzuO+jNgoCA Fryi6RrwJ6dTh3F50QJYyJYlgIXCbkyVlaV6hXCZWPT40Bk/pI+HX9A6l4J272xabjFf6 3/HiIEUJDHg/9u8FXKVvBImV3NuMMjJEqx9Rcivwvp Pn6YLJJ1MWyzlUhu3sUIGDWNl ArJ4SdskfY32hWAvHkgOAY8JSYmG6L6SVhvbRgv3d+rOOlutqK4bVIO+fKMvxycnluP 528 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống uwmVH99I1Ge8p1ciOMYCVg0dBEP/DeoFlQ4tvKMCPJG0w0EZgLgKyKQpjmNU9BheG vIfzRt1dKYeMx7lGZPlu7rr1Fk0oX/yMiaePWy5NYE2O5ID6op9EcJImcMn8wmPM9YT ZbmcfcumSpaG1i0EzzAT5eMXn3BoDij1 2JJrkCCbhYy34u2CFR4WycGIIoFHV4RgKqu 5TTuV+SCc//vgBaN20Qh9p7gRaNfOxHspto6fA===oTCB -----END PGP MESSAGE----Như bạn có thể thấy được, không thể nói rằng tin nhắn này đã được ký kỹ thuật số cho đến khi nó được giải mã. Nhiều nhà cung cấp thương mại cũng cung cấp các dịch vụ email dựa-trên-PGP như các dịch vụ email đám mây dựa-trên-web, các ứng dụng dành cho thiết bị di động hoặc các plugin webmail. Các dịch vụ này thu hút quản trị viên và người dùng cuối vì chúng loại bỏ sự phức tạp của việc thiết lập cấu hình và duy trì chứng chỉ mã hóa và cung cấp cho người dùng dịch vụ email bảo mật được quản lý. Một số sản phẩm trong danh mục này bao gồm ProtonMail, StartMail, Mailvelope, SafeGmail và Hushmail. S/MIME Giao thức Tiện ích mở rộng Thư Internet An toàn/Đa năng (S/MIME) đã nổi lên như một tiêu chuẩn thực tế cho email được mã hóa. S/MIME sử dụng thuật toán mã hóa RSA và đã nhận được sự ủng hộ của các công ty lớn trong ngành, bao gồm cả RSA Security. S/MIME đã được tích hợp trong một lượng lớn các sản phẩm thương mại, bao gồm: ▪ Microsoft Outlook và Office 365 , ▪ Apple Mail, ▪ Phiên bản Google G Suite Enterprise . S/MIME dựa trên việc sử dụng chứng nhận X.509 để trao đổi các khóa mật mã. Các khóa công khai có trong các ch ứng nhận này được sử dụng cho chữ ký kỹ thuật số và để trao đổi các khóa đối xứng được sử dụng cho các phiên giao tiếp dài hơn. Người dùng nhận được thông điệp được ký bằng S/MIME sẽ có thể xác minh thông điệp đó bằng cách sử dụng chứng nhận kỹ thuật số của người gửi. Người dùng muốn sử dụng S/MIME để bảo mật hoặc muốn tạo thư được ký kỹ thuật số của riêng họ phải có chứng nhận của riêng họ. 529 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bất chấp sự hỗ trợ mạnh mẽ của ngành đối với tiêu chuẩn S/MIME, những hạn chế về mặt kỹ thuật đã ngăn cản việc áp dụng rộng rãi tiêu chuẩn này. Mặc dù các ứng dụng thư trên máy tính để bàn hỗ trợ email S/MIME, các hệ thống email dựa-trên-web chính thống không hỗ trợ nó ngay tức khắc (bắt buộc phải sử dụng các tiện ích mở rộng của trình duyệt). Các Ứng dụng Web Mã hóa đã được sử dụng rộng rãi để bảo vệ các giao dịch web. Điều này chủ yếu là do phong trào mạnh mẽ đối với thương mại điện tử và mong muốn của cả nhà cung cấp và người tiêu dùng thương mại điện tử để trao đổi thông tin tài chính một cách an toàn (chẳng hạn như thông tin thẻ tín dụng) qua web. Chúng ta sẽ xem xét hai công nghệ chịu trách nhiệm cho biểu tượng ổ khóa nhỏ trong trình duyệt web - Lớp cổng bảo mật (SSL) và Bảo mật lớp truyền tải (TLS). Lớp Cổng Bảo mật (SSL) Ban đầu, SSL được phát triển bởi Netscape để cung cấp mã hóa máy khách/máy chủ cho lưu lượng web được gửi bằng Giao thức Truyền Siêu văn bản An toàn (HTTPS). Qua nhiều năm, các nhà nghiên cứu về bảo mật đã phát hiện ra một số lỗ hổng nghiêm trọng trong giao thức SSL khiến nó không còn an toàn để được sử dụng ngày nay. Tuy nhiên, SSL đóng vai trò là n ền tảng kỹ thuật cho người kế nhiệm của nó, Bảo mật Lớp Truyền tải (TLS), vẫn được sử dụng rộng rãi cho đến ngày nay. Mặc dù TLS đã tồn tại trong hơn một thập kỷ nhưng nhiều người vẫn gọi nó một cách nhầm lẫn là SSL. Khi bạn nghe ai đó sử dụng thuật ngữ SSL thì đây là điểm cờ đỏ mà bạn phải điều tra thêm để đảm bảo rằng họ đang thực sự sử dụng TLS hiện đại và an toàn chứ không phải SSL đã lỗi thời. 530 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bảo mật Lớp Truyền tải (TLS) TLS dựa vào việc trao đổi các chứng nhận kỹ thuật số của máy chủ để thương lượng các tham số mã hóa/giải mã giữa trình duyệt và máy chủ web. Mục tiêu của TLS là tạo ra các kênh giao tiếp an toàn luôn mở trong toàn bộ phiên duyệt web. Nó phụ thuộc vào sự kết hợp của mật mã đối xứng và bất đối xứng. Các bước sau có liên quan: 1. Khi người dùng truy cập vào một trang web, trình duyệt truy xuất chứng nhận của máy chủ web và trích xuất khóa công khai của máy chủ từ đó. 2. Trình duyệt tạo ra một khóa đối xứng ngẫu nhiên (được gọi là khóa phù du), sử dụng khóa công khai của máy chủ để mã hóa nó và gửi khóa đối xứng đã được mã hóa này đến máy chủ. 3. Máy chủ giải mã khóa đối xứng bằng khóa riêng của nó và hai hệ thống trao đổi tất cả các thông điệp trong tương lai bằng cách sử dụng khóa mã hóa đối xứng. Cách tiếp cận này cho phép TLS tận dụng được chức năng nâng cao của mật mã bất đối xứng trong khi mã hóa và giải mã phần lớn dữ liệu được trao đổi bằng thuật toán đối xứng nhanh hơn. Khi TLS lần đầu tiên được đề xuất thay thế cho SSL, không phải tất cả các trình duyệt đều hỗ trợ cho cách tiếp cận hiện đại hơn này. Để dễ dàng chuyển đổi, các phiên bản đầu tiên của TLS đã hỗ trợ việc hạ cấp giao tiếp xuống thành SSL v3.0 khi cả hai bên không hỗ trợ TLS. Tuy nhiên, vào năm 2011, TLS v1.2 đã loại bỏ khả năng tương thích ngược này. Vào năm 2014, một cuộc tấn công được gọi là Padding Oracle On Downgraded Legacy Encryption (POODLE) đã ch ứng minh một lỗ hổng đáng kể trong cơ chế dự phòng SSL 3.0 của TLS. Trong nỗ lực khắc phục lỗ hổng này, nhiều tổ chức đã bỏ hoàn toàn hỗ trợ SSL và hiện chỉ dựa vào bảo mật TLS. Phiên bản nguyên thủy của TLS, TLS 1.0, chỉ đơn giản là một cải tiến cho tiêu chuẩn SSL 3.0. TLS 1.1, được phát triển vào năm 2006 dưới dạng bản nâng cấp lên từ TLS 1.0, cũng chứa các lỗ hổng bảo mật đã biết. TLS 1.2, được phát hành vào năm 2008, hiện được coi là tùy chọn an toàn tối thiểu. TLS 1.3, được phát hành vào năm 2018, cũng an toàn và b ổ sung thêm các cải tiến về mặt hiệu suất. 531 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Điều quan trọng là phải hiểu rằng bản thân TLS không phải là một thuật toán mã hóa. Nó là một khuôn khổ mà theo đó các thuật toán mã hóa khác có thể hoạt động. Do đó, việc chỉ xác minh rằng hệ thống đang sử dụng phiên bản TLS an toàn là không đủ. Các chuyên gia bảo mật cũng phải đảm bảo rằng các thuật toán đang được sử dụng với TLS cũng được bảo mật. Mỗi hệ thống hỗ trợ TLS cung cấp một danh sách các bộ mật mã mà nó hỗ trợ. Đây là sự kết hợp của các thuật toán mã hóa mà nó sẵn sàng sử dụng cùng nhau và những danh sách này được hai hệ thống sử dụng để xác định một tùy chọn an toàn mà cả hai hệ thống đều hỗ trợ. Bộ mật mã cấu thành từ bốn thành phần: ▪ Thuật toán trao đổi khóa sẽ được sử dụng để trao đổi khóa phù du. Ví dụ: một máy chủ có thể hỗ trợ RSA, Diffie-Hellman (viết tắt là DH) và Elliptic Curve Diffie Hellman (viết tắt là ECDH). ▪ Thuật toán xác thực sẽ được sử dụng để chứng minh danh tính của máy chủ và/hoặc máy khách. Ví dụ: một máy chủ có thể hỗ trợ RSA, DSA và ECDSA. ▪ Thuật toán mã hóa hàng loạt sẽ được sử dụng để mã hóa đối xứng. Ví dụ: một máy chủ có thể hỗ trợ nhiều phiên bản AES và 3DES. ▪ Thuật toán băm sẽ được sử dụng để tạo ra các đồng hóa thông điệp. Ví dụ: một máy chủ có thể hỗ trợ các phiên bản khác nhau của thuật toán SHA. Bộ mật mã thường được biểu thị bằng các chuỗi dài kết hợp từng phần tử trong số bốn yếu tố này. Ví dụ, bộ mật mã: TLS_DH_RSA_WITH_AES_256_CBC_SHA384 có nghĩa là máy chủ hỗ trợ TLS bằng cách sử dụng trao đổi khóa Diffie-Hellman (DH). Trong bộ mật mã này, nó sẽ thực hiện xác thực bằng giao thức RSA và sẽ thực hiện mã hóa hàng loạt bằng chế độ AES CBC với khóa 256-bit. Quá trình băm sẽ diễn ra bằng cách sử dụng thuật toán SHA-384. 532 | P a g e Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống Bạn cũng có thể nhìn thấy các bộ mật mã sử dụng các thuậ

230103 CISSP Study Guide

Products

Support

230103 CISSP Study Guide

Add this document to collection(s)

Add this document to saved

Suggest us how to improve StudyLib