Phụ lục B

(tham khảo)

Ví dụ về các sự cố an toàn thông tin và nguyên nhân

B.1  Các cuộc tấn công

B.1.1  Từ chối dịch vụ

Từ chối dịch vụ (DoS) và Từ chối dịch vụ phân tán (DDos) là một loại sự cố chiếm tỷ lệ lớn trong các sự cố an toàn thông tin nói chung. Các sự cố này làm cho hệ thống, dịch vụ hoặc mạng không thể tiếp tục hoạt động với năng lực dự kiến, phần lớn đều dẫn đến từ chối hoàn toàn truy cập của người dùng hợp pháp. Có hai loại sự cố DoS/DDoS chính do các phương tiện kỹ thuật gây ra: loại bỏ nguồn lực và làm cạn kiệt nguồn lực.

Dưới đây là một số ví dụ điển hình về các sự cố DoS/DDoS kỹ thuật cố ý:

• ping các địa chỉ mạng quảng bá nhằm làm tràn băng thông mạng bằng lưu lượng ứng phó,

...

...

...

• mở nhiều phiên hợp lệ với một hệ thống, dịch vụ hoặc mạng nhất định nhằm làm cạn kiệt nguồn lực (ví dụ làm chậm, khóa hoặc đánh sập).

Các cuộc tấn công như vậy thường được thực hiện thông qua các Botnet, đây là tập hợp của các rô bốt phần mềm (mã độc) chạy độc lập và tự động. Các Botnet có thể bao gồm hàng trăm đến hàng triệu máy tính bị ảnh hưởng.

Một số sự cố DoS kỹ thuật có thể là do vô tình, ví dụ do người quản trị cấu hình sai hoặc phần mềm ứng dụng không tương thích, nhưng hầu hết sự cố DoS xảy ra là do có chủ ý. Một số sự cố DoS kỹ thuật được cố ý tạo ra nhằm đánh sập hệ thống hoặc dịch vụ hoặc làm chậm mạng, một số khác đôi khi lại là kết quả của các hoạt động nguy hiểm khác. Ví dụ, một số kỹ thuật định danh và quét lén có thể làm cho các hệ thống hoặc dịch vụ cấu hình sai hoặc cũ bị phá vỡ khi chúng bị quét. Cần lưu ý rằng, nhiều sự cố DoS kỹ thuật cố ý lại thường được thực hiện nặc danh (tức là nguồn gốc của cuộc tấn công là “giả”), bởi vì chúng thường không phụ thuộc vào việc kẻ tấn công có nhận được thông tin phản hồi từ mạng hoặc hệ thống bị tấn công hay không.

Các nguyên nhân dẫn đến sự cố DoS gây ra do các phương tiện phi kỹ thuật, làm tổn thất thông tin, dịch vụ và/hoặc thiết bị, có thể là:

• các lỗ hổng trong các hệ thống an toàn vật lý dẫn đến việc đánh cắp hoặc cố ý gây hư hại và thiệt hại cho thiết bị,

• thiệt hại vô tình tới thiết bị phần cứng (và/hoặc vị trí của thiết bị) do hỏa hoạn hoặc lũ lụt,

• các điều kiện môi trường khắc nghiệt, ví dụ như nhiệt độ hoạt động cao (ví dụ do hỏng điều hòa không khí),

• trục trặc hoặc quá tải hệ thống,

• các thay đổi không được kiểm soát của hệ thống,

...

...

...

B.1.2  Truy cập trái phép

Nói chung, sự cố loại này gồm các hành động cố gắng thực sự để truy cập hoặc lợi dụng trái phép hệ thống, dịch vụ hoặc mạng. Dưới đây là một số ví dụ về sự cố truy cập kỹ thuật trái phép bằng phương tiện kỹ thuật:

• các cố gắng lấy các tệp tin mật khẩu,

• các tấn công làm tràn bộ đệm để cố dành quyền (ví dụ, quản trị hệ thống) truy cập vào một mục tiêu,

• sự khai thác các điểm yếu của giao thức để chiếm hoặc làm sai hướng của các kết nối hợp pháp,

• các cố gắng nâng cao đặc quyền đối với các nguồn lực hoặc thông tin vượt quá quyền của người dùng hoặc quản trị viên.

Dưới đây là một số ví dụ về nguyên nhân dẫn đến các sự cố truy cập trái phép do các phương tiện phi kỹ thuật, gây ra sự tiết lộ trực tiếp hoặc gián tiếp hoặc sửa đổi thông tin, các lỗ hổng về giải trình trách nhiệm hoặc sử dụng sai mục đích các hệ thống thông tin:

• các lỗ hổng trong các hệ thống an toàn vật lý dẫn đến sự truy cập trái phép thông tin,

• các hệ điều hành kém và/hoặc sai cấu hình do các thay đổi hệ thống không được kiểm soát hoặc các trục trặc trong phần mềm hoặc phần cứng.

...

...

...

Mã độc là một chương trình hoặc một phần của một chương trình được đưa vào một chương trình khác với mục đích làm thay đổi tính năng ban đầu của chương trình đó nhằm thực hiện các hoạt động nguy hiểm như trộm cắp thông tin và định danh, phá hủy thông tin và nguồn lực, từ chối dịch vụ, thư rác... Các tấn công do mã độc có thể chia thành năm loại: virus, sâu, ngựa trojan, mã di động và loại kết hợp. Mặc dù trong vài năm trước đây, virus được tạo ra để nhằm vào các hệ thống bị lây nhiễm dễ bị tổn hại, nhưng hiện tại, các mã độc được sử dụng cho các cuộc tấn công có mục tiêu. Đôi khi chỉ cần thực hiện một thay đổi trong mã độc có sẵn là có thể tạo ra một biến thể mã độc có khả năng tránh khỏi sự phát hiện của các công nghệ truy quét mã độc.

B.1.4  Sử dụng không phù hợp

Sự cố loại này xảy ra khi người dùng vi phạm các chính sách an toàn hệ thống thông tin của một tổ chức. Các sự cố này không phải là cuộc tấn công theo đúng nghĩa, nhưng chúng thường được thông báo là sự cố và cũng cần được ISIRT quản lý. Sử dụng không phù hợp có thể là:

• tải và cài đặt các công cụ xâm nhập,

• sử dụng thư điện tử chung của tổ chức để phát tán thư rác hoặc quảng cáo cho việc cá nhân,

• sử dụng các nguồn lực của tổ chức để lập một website trái phép,

• sử dụng các hoạt động ngang hàng để lấy hoặc phát tán các tệp tin vi phạm bản quyền (âm nhạc, hình ảnh, phần mềm).

B.2  Thu thập thông tin

Nói chung, loại sự cố thu thập thông tin bao gồm các hoạt động liên quan đến việc xác định các mục tiêu tiềm ẩn và tìm hiểu các dịch vụ hoạt động trên các mục tiêu đó. Đây là loại sự cố liên quan đến do thám, với mục đích là để xác định:

...

...

...

• các điểm yếu tiềm ẩn có thể khai thác được của mục tiêu hoặc môi trường mạng của mục tiêu.

Dưới đây là các ví dụ về tấn công thu thập thông tin gây ra bởi các phương tiện kỹ thuật:

• việc kết xuất các hồ sơ Hệ thống tên miền (DNS) để lấy tên miền internet của mục tiêu (chuyển giao DNS giữa các vùng),

• việc ping các địa chỉ mạng để tìm những những hệ thống còn "sống",

• việc thăm dò hệ thống nhằm xác định (ví dụ, dấu vân tay) hệ điều hành máy chủ,

• việc quét các cổng mạng hiện có trên hệ thống nhằm xác định các dịch vụ liên quan (ví dụ, thư điện tử, FTP, web...) và xác định phiên bản phần mềm của những dịch vụ này,

• việc quét để tìm một hoặc nhiều dịch vụ dễ bị tổn hại trên một dải địa chỉ mạng (quét theo chiều ngang).

Trong một số trường hợp, sự cố thu thập thông tin cũng có thể là truy cập trái phép nếu, ví dụ, khi tìm kiếm các điểm yếu, kẻ tấn công cũng cố gắng truy cập trái phép. Điều này thường xảy ra với các công cụ xâm nhập tự động, các công cụ này không chỉ tìm kiếm các lỗ hổng mà còn tự động cố gắng khai thác các hệ thống, dịch vụ hoặc/và mạng dễ bị tổn hại được tìm thấy.

Các sự cố tập hợp thông tin gây ra bởi các phương tiện phi kỹ thuật, dẫn đến:

...

...

...

• sự đánh cắp tài sản sở hữu trí tuệ được lưu trữ điện tử,

• các lỗ hổng về tính giải trình trách nhiệm, ví dụ trong việc ghi nhật ký tài khoản,

• sự lạm dụng hệ thống thông tin (ví dụ, làm trái luật hoặc chính sách của tổ chức)

có thể gây ra bởi các nguyên nhân sau:

• các lỗ hổng của các hệ thống an toàn vật lý dẫn đến sự truy cập trái phép thông tin, và đánh cắp các thiết bị lưu trữ dữ liệu có chứa thông tin quan trọng, ví dụ như mã khóa,

• các hệ điều hành kém và/hoặc sai cấu hình do các thay đổi không thể kiểm soát được của hệ thống hoặc các trục trặc trong phần mềm hoặc phần cứng, kết quả là người trong nội bộ hoặc bên ngoài truy cập được các thông tin mà họ không được phép.

Phụ lục C

(Tham khảo)

...

...

...

C.1  Giới thiệu

Phụ lục này đưa ra ví dụ về các phương pháp tiếp cận để phân loại và phân cấp các sự cố an toàn thông tin. Các phương pháp này cho phép nhân viên và tổ chức lập tài liệu các sự cố an toàn thông tin theo cách phù hợp để đạt được các lợi ích sau:

• thúc đẩy việc trao đổi và chia sẻ các thông tin về sự cố an toàn thông tin,

• hỗ trợ việc tự động báo cáo và ứng phó với sự cố an toàn thông tin,

• nâng cao hiệu lực và hiệu quả trong việc xử lý và quản lý sự cố an toàn thông tin,

• hỗ trợ thu thập và phân tích dữ liệu về các sự cố an toàn thông tin,

• xác định mức độ nghiêm trọng của các sự cố an toàn thông tin theo tiêu chí phù hợp.

Các ví dụ về phương pháp tiếp cận để phân loại và phân cấp này cũng có thể được áp dụng cho các sự kiện an toàn thông tin, nhưng không áp dụng cho các điểm yếu an toàn thông tin

C.2  Phân loại sự cố an toàn thông tin

...

...

...

Bảng C.1 - Phân loại sự cố an toàn thông tin theo các mối đe dọa

Loại

Mô tả

Ví dụ

Sự cố do thiên tai

Mất an toàn thông tin do các thảm họa tự nhiên ngoài tầm kiểm soát của con người.

Động đất, núi lửa, lũ lụt, gió lớn, sét, sóng thần, sụt lún...

Sự cố do bất ổn xã hội

Mất an toàn thông tin do sự bất ổn xã hội.

...

...

...

Sự cố do thiệt hại vật chất

Mất an toàn thông tin do các hành động vật lý vô tình hoặc cố ý.

Hỏa hoạn, nguồn nước, tĩnh điện, môi trường xấu (ô nhiễm, bụi, ăn mòn, đóng băng), sự phá hoại thiết bị, sự phá hoại phương tiện lưu trữ, trộm cắp thiết bị, trộm cắp phương tiện lưu trữ, mất thiết bị, mất phương tiện thông tin, sự giả mạo thiết bị, sự giả mạo phương tiện lưu trữ...

Sự cố do lỗi cơ sở hạ tầng

Mất an toàn thông tin do lỗi của các hệ thống, dịch vụ cơ bản hỗ trợ vận hành các hệ thống thông tin.

Lỗi nguồn điện, lỗi mạng, sự cố điều hòa không khí, sự cố nguồn nước...

Sự cố do nhiễu phát xạ

Mất an toàn thông tin do nhiễu phát xạ.

Phát xạ điện từ, xung điện từ, nhiễu điện tử, dao động điện áp, bức xạ nhiệt...

...

...

...

Mất an toàn thông tin do lỗi trong các hệ thống thông tin hoặc các phương tiện phi kỹ thuật liên quan, các vấn đề do con người vô ý gây ra, dẫn đến sự không sẵn sàng hoặc bị phá hủy của các hệ thống thông tin.

Lỗi phần cứng, sự cố phần mềm, quá tải (làm bão hòa năng lực của hệ thống thông tin), lỗ hổng về khả năng duy trì...

Sự cố do phần mềm độc hại

Mất an toàn thông tin do các chương trình độc hại được tạo và phát tán một cách cố ý. Chương trình độc hại được đưa vào các hệ thống thông tin nhằm gây tổn hại đến tính bí mật, toàn vẹn hoặc sẵn sàng của dữ liệu, ứng dụng hoặc hệ điều hành, và/hoặc gây ảnh hưởng đến hoạt động bình thường của hệ thống thông tin.

Virus máy tính, sâu mạng, ngựa trojan, botnet, tấn công kết hợp, mã độc được nhúng vào trong web page, trang lưu trữ mã độc...

Virus máy tính là một tập hợp lệnh hoặc mã máy tính được đưa vào các chương trình máy tính. Không giống như các chương trình thông thường, virus máy tính có khả năng tự sao chép, và thường mang một tải tin có thể gây gián đoạn hoạt động của máy tính hoặc phá hủy dữ liệu.

Khác với virus máy tính, sâu mạng lại là một loại chương trình độc hại tự lây lan và tự sao chép qua mạng bằng cách khai thác các điểm yếu của hệ thống thông tin trên mạng.

Ngựa trojan là một loại chương trình độc hại giả dạng chức năng tốt của hệ thống thông tin, và có khả năng cho phép tác giả chương trình kiểm soát hệ thống thông tin, bao gồm cả trộm cắp hoặc ngăn chặn thông tin từ hệ thống.

Botnet là một nhóm các máy tính bị tổn hại (máy tính ma) trong các mạng bị kiểm soát tập trung bởi tác giả của botnet, tác giả của botnet được coi là kẻ điều khiển hoặc dẫn dắt botnet. Botnet được hình thành một cách cố ý thông qua lây nhiễm hàng loạt các máy tính trong mạng bằng các chương trình tự động. Botnet có thể được sử dụng trong các tấn công cơ hội vào mạng, trộm cắp thông tin, và phát tán ngựa trojan, sâu mạng và các chương trình độc hại khác.

...

...

...

Web page nhúng mã độc hủy hoại các website bằng cách đưa mã độc cài đặt phần mềm độc hại vào hệ thống máy tính truy cập vào trang đó.

Địa chỉ lưu trữ mã độc sẽ dụ website lưu trữ mã độc đã được những người dùng mục tiêu tải về.

Sự cố do tấn công kỹ thuật

Mất an toàn thông tin do sự tấn công các hệ thống thông tin thông qua mạng hoặc các phương tiện kỹ thuật khác, bằng cách khai thác các điểm yếu trong cấu hình, giao thức hoặc chương trình của các hệ thống thông tin, gây ra tình trạng bất thường của hệ thống thông tin, hoặc gây tổn hại tiềm ẩn đến các hệ điều hành đang chạy.

Quét mạng, khai thác điểm yếu, khai thác cổng sau, cố gắng đăng nhập, nhiễu, DoS...

Quét mạng là sử dụng phần mềm quét mạng để lấy các thông tin về cấu hình, các cổng, dịch vụ và điểm yếu của mạng.

Khai thác điểm yếu là khai thác và sử dụng các nhược điểm của hệ thống thông tin, ví dụ nhược điểm về cấu hình, giao thức, hoặc chương trình.

Khai thác cổng sau là sử dụng các cổng sau hoặc các chương trình độc hại được để lại trong quá trình thiết kế hệ thống phần mềm và phần cứng.

Cố gắng đăng nhập là cố gắng đoán, bẻ gãy mật khẩu.

...

...

...

DoS gây ra do việc sử dụng hệ thống thông tin và các tài nguyên mạng như CPU, bộ nhớ, dung lượng ổ cứng hoặc băng thông mạng, và gây ảnh hưởng đến hoạt động bình thường của các hệ thống thông tin, ví dụ SYS-a, làm tràn bằng lệnh PING, bom thư điện tử.

Sự cố do vi phạm quy định

Mất an toàn thông tin do cố tình hoặc vô ý vi phạm các quy định

Sử dụng trái phép nguồn lực, vi phạm bản quyền...

Sử dụng trái phép nguồn lực là truy cập vào các nguồn lực để dùng cho các mục đích không được phép, bao gồm các công việc sinh lợi nhuận, ví dụ sử dụng thư điện tử để tham gia vào việc gửi thư theo dây chuyền bất hợp pháp để kiếm lời hoặc các mô hình đa cấp.

Vi phạm bản quyền gây ra do mua bán hoặc cài đặt các bản sao phần mềm thương mại không có giấy phép hoặc các tài liệu có bản quyền được bảo vệ, ví dụ, warez.

Sự cố do tổn hại chức năng

Mất an toàn thông tin do cố tình hoặc vô ý làm tổn hại chức năng của hệ thống thông tin về phương diện an toàn.

Lạm dụng quyền, giả mạo quyền, phủ nhận hành động, vận hành sai, vi phạm biên chế nhân sự...

...

...

...

Giả mạo quyền hạn là tạo nên các quyền giả mạo với mục đích lừa gạt.

Phủ nhận hoạt động là khi một một người nào đó phủ nhận những điều mà họ đã làm.

Vận hành sai là thực hiện các hoạt động không chính xác hoặc không định trước.

Vi phạm biên chế nhân sự là do thiếu hoặc không có nhân lực.

Sự cố do tổn hại thông tin

Mất an toàn thông tin do cố tình hoặc vô ý làm tổn hại đến sự an toàn thông tin như tính mật, tính toàn vẹn, tính sẵn sàng, ...

Ngăn chặn, theo dõi, nghe lén, tiết lộ, giả mạo, kỹ thuật xã hội, lừa đảo trên mạng, trộm cắp dữ liệu, mất dữ liệu, giả mạo dữ liệu, lỗi dữ liệu, phân tích luồng dữ liệu, phát hiện vị trí...

Ngăn chặn là lấy dữ liệu trước khi chúng có thể tiếp cận người nhận định trước.

Theo dõi là bí mật thu thập và báo cáo thông tin về các hoạt động của tổ chức khác.

...

...

...

Tiết lộ thông tin là làm cho các thông tin nhạy cảm bị công khai.

Giả mạo là khi một chủ thể giả làm một đối tượng khác.

Kỹ thuật xã hội là để thu thập thông tin từ một người theo hình thức phi kỹ thuật, ví dụ, lừa đảo, mánh khóe, hối lộ, hoặc đe dọa.

Lừa đảo mạng là sử dụng công nghệ mạng máy tính lừa đảo để lôi kéo người dùng tiết lộ những thông tin quan trọng, như lấy thông tin chi tiết về tài khoản ngân hàng và mật khẩu của người dùng bằng các thư điện tử lừa đảo.

Trộm cắp dữ liệu là hành vi lấy trộm dữ liệu.

Giả mạo dữ liệu là tiếp cận hoặc tạo ra các thay đổi dữ liệu một cách trái phép.

Lỗi dữ liệu là tạo ra lỗi khi nhập hoặc xử lý dữ liệu.

Phát hiện vị trí là phát hiện vị trí của các hệ thống hoặc thông tin nhạy cảm.

Sự cố do các nội dung độc hại

...

...

...

Nội dung bất hợp pháp, nội dung gây hoang mang, nội dung độc hại, nội dung lạm dụng...

Nội dung bất hợp pháp là nội dung được công bố rộng rãi vi phạm hiến pháp quốc gia hoặc quốc tế, luật pháp và quy định, ví dụ, khiêu dâm trẻ em, cổ súy bạo động, giả mạo, lừa đảo.

Nội dung gây hoang mang là thảo luận hoặc bình luận độc hại có khả năng gây kích động về các vấn đề nhạy cảm trên Internet, gây ra các sự kiện như bất ổn xã hội hoặc gây hoang mang dư luận.

Nội dung độc hại là truyền bá các nội dung gây tác động độc hại đến xã hội hoặc con người, ví dụ, lừa đảo, quấy rối.

Nội dung lạm dụng là quảng bá các nội dung chưa được chấp thuận từ người nhận, ví dụ, thư rác.

Các sự cố khác

Không thuộc các loại sự cố trên.

C.3  Phân cấp sự cố an toàn thông tin

...

...

...

Cần nhấn mạnh rằng đây chỉ là các ví dụ. Còn có các phương pháp tiếp cận khác như FIRST/Hệ thống chấm điểm điểm yếu thông thường (CVSS) Mitre và Định dạng thông tin cảnh báo có cấu trúc (SWIF) của Vương quốc Anh.

C.3.1  Ví dụ 1

C.3.1.1  Các yếu tố phân cấp

C.3.1.1.1  Giới thiệu

Phương pháp tiếp cận này phân cấp các sự cố an toàn thông tin theo ba yếu tố sau:

- tầm quan trọng của hệ thống thông tin,

- tổn thất nghiệp vụ,

- tác động xã hội.

C.3.1.1.2  Tầm quan trọng của hệ thống thông tin

...

...

...

C.3.1.1.3  Tổn thất nghiệp vụ

Tổn thất nghiệp vụ của tổ chức do các sự cố an toàn thông tin được xác định bằng cách xem xét mức độ nghiêm trọng của tác động gián đoạn nghiệp vụ do thiệt hại phần cứng/phần mềm, các chức năng và dữ liệu của các hệ thống thông tin. Mức độ nghiêm trọng của tác động có thể phụ thuộc vào chi phí khôi phục nghiệp vụ trở lại bình thường và các tác động tiêu cực khác của các sự cố an toàn thông tin, bao gồm tổn thất lợi nhuận và/hoặc cơ hội. Phương pháp tiếp cận này phân cấp các tổn thất nghiệp vụ thành bốn cấp độ chính: tổn thất nghiệp vụ đặc biệt nghiêm trọng, tổn thất nghiệp vụ nghiêm trọng, tổn thất nghiệp vụ lớn và tổn thất nghiệp vụ nhỏ, như mô tả dưới đây.

a) Tổn thất nghiệp vụ đặc biệt nghiêm trọng có thể là tê liệt hoạt động nghiệp vụ lớn đến mức làm mất khả năng nghiệp vụ, và/hoặc thiệt hại rất nghiêm trọng đến tính bí mật, toàn vẹn và sẵn sàng của dữ liệu nghiệp vụ quan trọng. Điều đó có thể đồng nghĩa với mức chi phí rất lớn để khôi phục nghiệp vụ trở lại hoạt động bình thường và loại bỏ các tác động tiêu cực. Các tổ chức có thể không thể chịu được mức tổn thất nghiệp vụ này.

b) Tổn thất nghiệp vụ nghiêm trọng có thể là gián đoạn hoạt động nghiệp vụ trong một thời gian dài hoặc tê liệt nghiệp vụ nội bộ dẫn đến ảnh hưởng nghiêm trọng khả năng nghiệp vụ, và/hoặc thiệt hại nghiêm trọng đến tính bí mật, toàn vẹn và sẵn sàng của dữ liệu nghiệp vụ quan trọng. Điều đó có thể đồng nghĩa với mức chi phí cao để khôi phục nghiệp vụ trở lại hoạt động bình thường và loại bỏ các tác động tiêu cực. Các tổ chức có thể chịu được mức tổn thất nghiệp vụ này.

c) Tổn thất nghiệp vụ lớn là gián đoạn hoạt động nghiệp vụ ở một mức đáng kể ảnh hưởng đến khả năng nghiệp vụ, và/hoặc thiệt hại đáng kể đến tính bí mật, toàn vẹn và sẵn sàng của dữ liệu nghiệp vụ quan trọng. Điều đó có thể đồng nghĩa với chi phí đáng kể để khôi phục nghiệp vụ trở lại hoạt động bình thường và loại bỏ các tác động tiêu cực. Các tổ chức hoàn toàn có thể chịu được mức tổn thất nghiệp vụ này.

d) Tổn thất nghiệp vụ nhỏ là gián đoạn hoạt động nghiệp vụ trong một thời gian ngắn dẫn đến một số ảnh hưởng đến khả năng nghiệp vụ và/hoặc tác động nhỏ đến tính bí mật, toàn vẹn và sẵn sàng của dữ liệu nghiệp vụ quan trọng. Điều đó có thể đồng nghĩa với chi phí nhỏ để khôi phục nghiệp vụ trở lại hoạt động bình thường và loại bỏ các tác động tiêu cực.

C.3.1.1.4  Tác động xã hội

Tác động đối với xã hội do sự cố an toàn thông tin được xác định bằng cách xem xét quy mô và mức độ tác động đến an ninh quốc gia, trật tự xã hội, sự phát triển kinh tế và lợi ích công cộng. Phương pháp tiếp cận này phân cấp tác động xã hội thành bốn cấp độ: tác động xã hội đặc biệt quan trọng, tác động xã hội quan trọng, tác động xã hội lớn và tác động xã hội nhỏ, như mô tả dưới đây.

a) Tác động xã hội đặc biệt quan trọng có thể là các ảnh hưởng bất lợi ảnh hưởng đến hầu hết các khu vực của một hoặc nhiều tỉnh, đe dọa lớn đến an ninh quốc gia, gây ra bất ổn xã hội, mang lại hậu quả vô cùng bất lợi về phát triển kinh tế và/hoặc gây thiệt hại nghiêm trọng đến lợi ích công cộng.

...

...

...

c) Tác động xã hội đáng kể có thể là các ảnh hưởng bất lợi ảnh hưởng đến các khu vực của một hoặc nhiều thành phố, đe dọa nhỏ đến an ninh quốc gia, gây ra một số xáo trộn trật tự xã hội, mang lại một số hậu quả xấu đến phát triển kinh tế và/hoặc ảnh hưởng đến lợi ích công cộng.

d) Tác động xã hội nhỏ có thể là các ảnh hưởng bất lợi một khu vực của một thành phố, ít có cơ hội đe dọa đến an ninh quốc gia, trật tự xã hội, sự phát triển kinh tế và lợi ích công cộng, nhưng có gây thiệt hại đến lợi ích của các cá nhân, doanh nghiệp và các tổ chức khác.

C.3.1.2  Các cấp độ

C.3.1.2.1  Giới thiệu

Dựa trên các yếu tố phân cấp, các sự cố an toàn thông tin cần được phân cấp theo mức độ nghiêm trọng bằng thang phân cấp. Thang phân cấp có thể chỉ đơn giản là 'lớn' và 'nhỏ' hoặc chi tiết hơn như:

• Khẩn cấp: tác động nghiêm trọng;

• Quan trọng: tác động trung bình;

• Cảnh báo: tác động thấp;

• Thông báo: không có tác động, nhưng có thể được phân tích để cải tiến các chính sách, quy trình hoặc biện pháp kiểm soát.

...

...

...

• Rất nghiêm trọng (cấp IV);

• Nghiêm trọng (Cấp III);

• Ít nghiêm trọng (cấp II);

• Nhỏ (cấp I).

Cần nhấn mạnh rằng các cấp độ ở trên chỉ là ví dụ. Trong một số phương pháp tiếp cận, cấp nghiêm trọng nhất được biểu diễn có chỉ số cao nhất. Trong các phương pháp khác thì cấp nghiêm trọng nhất lại được biểu diễn có chỉ số nhỏ nhất.

C.3.1.2.2  Rất nghiêm trọng (cấp IV)

Sự cố rất nghiêm trọng là những sự cố

a) hoạt động trên các hệ thống thông tin đặc biệt quan trọng, và

b) gây tổn thất nghiệp vụ đặc biệt nghiêm trọng, hoặc

...

...

...

C.3.1.2.3  Nghiêm trọng (cấp III)

Sự cố nghiêm trọng là những sự cố

a) hoạt động trên các hệ thống thông tin đặc biệt quan trọng hoặc các hệ thống thông tin quan trọng, và

b) gây tổn thất nghiệp vụ nghiêm trọng, hoặc

c) dẫn đến tác động xã hội quan trọng.

C.3.1.2.3  Ít nghiêm trọng (cấp II)

Sự cố ít nghiêm trọng là những sự cố

a) hoạt động trên các hệ thống thông tin quan trọng hoặc các hệ thống thông tin thông thường, và

b) gây tổn thất nghiệp vụ đáng kể, hoặc

...

...

...

C.3.1.2.3  Nhỏ (cấp I)

Sự cố nhỏ là những sự cố

a) hoạt động trên các hệ thống thông tin quan trọng thông thường,

b) gây tổn thất nghiệp vụ nhỏ hoặc không có tổn thất nghiệp vụ,

c) dẫn đến tác động xã hội nhỏ hoặc không có tác động xã hội,

d) không có yêu cầu phải hành động và không gây hậu quả.

C.3.1.3  Loại sự cố và cấp độ nghiêm trọng

Loại sự cố an toàn thông tin và cấp độ nghiêm trọng thường liên quan với nhau. Một sự cố an toàn thông tin có thể có cấp độ nghiêm trọng khác nhau phụ thuộc không chỉ vào nghiệp vụ mà còn vào tính chất của sự cố an toàn thông tin như

• cố ý,

...

...

...

• thời lượng,

• độ lớn.

Bảng C.2 đưa ra một số ví dụ về các loại sự cố an toàn thông tin có thể có các cấp độ nghiêm trọng khác nhau tùy theo tính chất của sự cố.

Bảng C.2 - Các ví dụ về danh mục sự cố và cấp độ nghiêm trọng

Cấp độ nghiêm trọng

Loại sự cố

Nhỏ

Ít nghiêm trọng

Nghiêm trọng

...

...

...

Tấn công bằng kỹ thuật

Nỗ lực bị thất bại

Thường là tấn công đơn lẻ

(tổn hại người dùng)

Nhiều cuộc tấn công

(tổn hại người dùng)

Tấn công đơn lẻ quan trọng (tổn hại ứng dụng, gốc)

Tấn công hàng loạt

(tấn công ứng dụng, gốc)

...

...

...

Quấy rối

Gây nhiễu (tác động đến thông lượng)

Không sẵn sàng

(ngừng dịch vụ)

Phần mềm độc hại

Đơn lẻ, bị phát hiện

(bị phát hiện và chặn bởi bảo vệ chống virus)

Đơn lẻ, không bị phát hiện

...

...

...

Lây nhiễm ra máy chủ

Lây nhiễm hàng loạt

C.3.2  Ví dụ 2

C.3.2.1  Giới thiệu

Phương pháp tiếp cận này đưa ra các hướng dẫn ví dụ để đánh giá các hậu quả xấu của sự cố an toàn thông tin, trong đó các hướng dẫn đều sử dụng thang điểm từ 1 (thấp) đến 10 (cao) để phân cấp các sự cố an toàn thông tin. (Trong thực tế, có thể sử dụng các thang điểm khác, như từ 1 đến 5, và mỗi tổ chức cần áp dụng một thang điểm phù hợp nhất với môi trường của mình).

Trước khi đọc các hướng dẫn ở dưới, cần lưu ý các điểm sau:

• Trong một số hướng dẫn ví dụ dưới đây có một số mục được chú thích là "Không có thông tin". Đó là do các hướng dẫn đã được xây dựng sao cho các hậu quả xấu tại mỗi cấp độ tăng dần, thể hiện trên thang điểm từ 1 đến 10, nhìn chung sẽ tương tự trên cả sáu loại được đưa đề cập từ C.3.2.2 đến C.3.2.7. Tuy nhiên, tại một số cấp độ (trên thang từ 1 đến 10) của một vài loại thì các mục hậu quả trung gian thấp hơn lại không đủ khác biệt để tạo thành một mục - do vậy các mục này được chú thích là "Không có thông tin”. Tương tự như vậy, tại các cấp độ cao hơn của một vài loại cũng không có hậu quả lớn hơn so với mục cao nhất được thấy - và do đó các mục cao hơn được chú thích là "Không có thông tin". (Vì vậy, xét về logic thì có thể sẽ không đúng nếu loại bỏ các dòng "Không có thông tin" và giảm thang đo đi.)

Như vậy, cần sử dụng các hướng dẫn dưới đây như là một bộ hướng dẫn ví dụ khi xem xét các hậu quả xấu của sự cố an toàn thông tin lên hoạt động nghiệp vụ của một tổ chức do:

• sự tiết lộ trái phép thông tin,

...

...

...

• sự bác bỏ thông tin,

• sự không sẵn sàng của thông tin và/hoặc dịch vụ,

• sự hủy bỏ thông tin và/hoặc dịch vụ.

Bước đầu tiên là cân nhắc xem loại nào trong các loại sau đây có liên quan. Với những loại được thấy là có liên quan thì cần sử dụng hướng dẫn cho loại đó để thiết lập các tác động bất lợi thực tế đến hoạt động nghiệp vụ (hoặc giá trị) để đưa vào vào mẫu báo cáo sự cố an toàn thông tin.

C.3.2.2  Tổn thất tài chính/gián đoạn hoạt động nghiệp vụ

Hậu quả của việc tiết lộ và sửa đổi trái phép, sự bác bỏ, sự không sẵn sàng và sự hủy bỏ thông tin có thể là sự tổn thất tài chính, ví dụ làm giảm giá cổ phiếu, sự gian lận hoặc vi phạm hợp đồng do không hành động hoặc hành động chậm trễ. Tương tự như vậy, hậu quả cụ thể của sự không sẵn sàng hoặc hủy bỏ thông tin có thể là sự gián đoạn hoạt động nghiệp vụ. Để khắc phục và/hoặc khôi phục sau các sự cố như vậy sẽ đòi hỏi nhiều thời gian và công sức. Điều này trong một số trường hợp là rất quan trọng và cần được xem xét. Nhìn chung, thời gian khôi phục cần được tính theo đơn vị là thời gian sử dụng nhân lực và được chuyển đổi thành chi phí tài chính. Chi phí này cần được tính trên cơ sở tham khảo các chi phí thông thường cho một người theo tháng ở bậc/cấp độ thích hợp trong tổ chức, cần sử dụng hướng dẫn sau.

1  Gây ra chi phí/tổn thất tài chính là x₁ hoặc thấp hơn

2  Gây ra chi phí/tổn thất tài chính trong khoảng x₁ + 1 và x₂

3  Gây ra phí/tổn thất tài chính trong khoảng x₂ + 1 và x₃

...

...

...

5  Gây ra chi phí/tổn thất tài chính trong khoảng x₄ + 1 và x₅

6  Gây ra chi phí/tổn thất tài chính trong khoảng x₅ + 1 và x₆

7  Gây ra chi phí/tổn thất tài chính trong khoảng x₆ + 1 và x₇

8  Gây ra chi phí/tổn thất tài chính trong khoảng x₇ + 1 và x₈

9  Gây ra chi phí/tổn thất tài chính lớn hơn x₈

10  Tổ chức sẽ ngừng hoạt động

Với, x_i (i = 1, 2, ...., 8) là chi phí/tổn thất tài chính theo tám bậc/cấp độ được tổ chức xác định theo bối cảnh của mình.

C.3.2.3  Lợi ích thương mại và kinh tế

Thông tin thương mại và kinh tế cần được bảo vệ và được định giá khi xem xét giá trị của chúng đối với các đối thủ cạnh tranh hoặc tác động có thể của chúng lên các lợi ích thương mại. Cần sử dụng hướng dẫn sau.

...

...

...

2  có lợi với đối thủ cạnh tranh với giá trị y₁ hoặc thấp hơn (doanh thu)

3  có giá trị với đối thủ cạnh tranh theo giá trị trong khoảng y₁+1 và y₂ (doanh thu), hoặc gây ra tổn thất tài chính hoặc mất tiềm năng thu lợi nhuận, hoặc hỗ trợ tăng lợi thế hoặc có lợi cho các cá nhân hoặc tổ chức, hoặc cấu thành sự vi phạm các cam kết phù hợp để duy trì sự tin cậy đối với thông tin được cung cấp bởi bên thứ ba

4  có giá trị với đối thủ cạnh tranh theo giá trị trong khoảng y₂+1 và y₃ (doanh thu)

5  có giá trị với đối thủ cạnh tranh giá giá trị trong khoảng y₃+1 và y₄ (doanh thu)

6  có giá trị với đối thủ cạnh tranh theo giá trị lớn hơn y₄+1 (doanh thu)

7  Không có thông tin1.

8  Không có thông tin

9  về căn bản có thể làm suy giảm các lợi ích thương mại hoặc về căn bản làm suy giảm khả năng tài chính của tổ chức

10  Không có thông tin

...

...

...

C.3.2.4  Thông tin cá nhân

Trong trường hợp thông tin về cá nhân được giữ và xử lý thì nếu đúng về mặt đạo đức và đạo lý, và đôi khi cũng được yêu cầu bởi luật thì các thông tin đó cũng được bảo vệ để không bị tiết lộ trái phép mà nhẹ nhất cũng có thể dẫn đến sự lúng túng và tệ nhất là dẫn đến hành động pháp lý bất lợi, ví dụ luật bảo vệ dữ liệu. Hơn nữa, thông tin về cá nhân được yêu cầu phải luôn chính xác, vì sự sửa đổi trái phép làm thông tin sai lệch có thể có các tác động tương tự như trường hợp tiết lộ trái phép. Một điều quan trọng nữa là thông tin về các cá nhân không được bị giấu đi hoặc bị hủy hoại vì điều đó có thể dẫn đến những quyết định không chính xác hoặc không có hành động trong thời gian cần thiết với các tác động tương tự như trường hợp tiết lộ hoặc sửa đổi trái phép, cần sử dụng hướng dẫn sau.

1  Sự hơi lo lắng (băn khoăn) cho một cá nhân (tức giận, thất vọng, chán nản) nhưng không xảy ra vi phạm các yêu cầu pháp lý hoặc quy định

2  Sự lo lắng (băn khoăn) cho một cá nhân (tức giận, thất vọng, chán nản) nhưng không xảy ra vi phạm các yêu cầu pháp lý hoặc quy định

3  Sự vi phạm yêu cầu của quy định, pháp lý hay đạo đức hoặc sự chủ ý công khai về việc bảo vệ thông tin, dẫn đến sự hơi lúng túng cho một cá nhân

4  Sự vi phạm yêu cầu của quy định, pháp lý hay đạo đức hoặc sự chủ ý công khai về việc bảo vệ thông tin, dẫn đến sự lúng túng lớn cho cá nhân hay một chút lúng túng cho một nhóm người

5  Sự vi phạm yêu cầu của quy định, pháp lý hay đạo đức hoặc sự chủ ý công khai về việc bảo vệ thông tin, dẫn đến sự lúng túng nghiêm trọng cho một cá nhân

6  Sự vi phạm yêu cầu của quy định, pháp lý hay đạo đức hoặc sự chủ ý công khai về việc bảo vệ thông tin, dẫn đến sự lúng túng nghiêm trọng của một nhóm người

7  Không có thông tin

...

...

...

9  Không có thông tin

10  Không có thông tin

C.3.2.5  Trách nhiệm về pháp lý và quy định

Tổ chức nắm giữ và xử lý dữ liệu có thể bị bắt buộc phải tuân thủ các nghĩa vụ pháp lý và quy định. Sự không tuân thủ các nghĩa vụ đó, dù vô tình hay cố ý, đều có thể dẫn đến các hành động pháp lý hoặc hành chính đối với các cá nhân trong tổ chức có liên quan. Các hành động này có thể dẫn đến các bản án phạt và/hoặc bị bỏ tù. Cần sử dụng hướng dẫn sau.

1  Không có thông tin

2  Không có thông tin

3  Thông báo thi hành luật, án dân sự hoặc tội hình sự gây các thiệt hại/mức phạt tài chính là z₁ hoặc thấp hơn

4  Thông báo thi hành luật, án dân sự hoặc tội hình sự gây các thiệt hại/mức phạt tài chính trong khoảng z₁ + 1 và z₂

5  Thông báo thi hành luật, án dân sự hoặc tội hình sự gây các thiệt hại/mức phạt tài chính trong khoảng z₂ + 1 và z₃ hoặc phạt tù đến hai năm

...

...

...

7  Thông báo thi hành luật, án dân sự hoặc tội hình sự gây các thiệt hại/mức phạt tài chính không giới hạn, hoặc phạt tù trên mười năm

8  Không có thông tin

9  Không có thông tin

10  Không có thông tin

C.3.2.6  Quản lý và các hoạt động nghiệp vụ

Các thông tin có thể ở dạng mà sự tổn hại thông tin sẽ ảnh hưởng tới sự thi hành hiệu lực của một tổ chức. Ví dụ, thông tin liên quan đến sự thay đổi một chính sách có thể kích động sự phản ứng rộng rãi nếu chúng bị tiết lộ, đến mức tổ chức có thể không thực hiện được chính sách này. Sự sửa đổi, bác bỏ hoặc không sẵn sàng của thông tin liên quan đến các khía cạnh tài chính, hoặc các phần mềm máy tính cũng có thể còn gây hậu quả nghiêm trọng đến sự vận hành của một tổ chức. Hơn nữa, việc bác bỏ các cam kết có thể có những hậu quả nghiệp vụ bất lợi. Cần sử dụng hướng dẫn sau.

1  Sự vận hành không hiệu quả trong một bộ phận của tổ chức

2  Không có thông tin

3  Làm suy yếu sự quản lý đúng của các tổ chức và sự vận hành của của tổ chức

...

...

...

5  Cản trở sự mở rộng hoặc vận hành hiệu lực của các chính sách của tổ chức

6  Gây bất lợi đến tổ chức trong các cuộc đàm phán thương mại hoặc chính sách với bên khác

7  Cản trở nghiêm trọng sự mở rộng hoặc vận hành của các chính sách chính về tổ chức, hoặc phá vỡ hoặc làm gián đoạn căn bản đến các vận hành quan trọng

8  Không có thông tin

9  Không có thông tin

10  Không có thông tin

C.3.2.7  Mất tín nhiệm

Việc tiết lộ hoặc sửa đổi trái phép, việc bác bỏ, hoặc sự không sẵn sàng thực sự của thông tin có thể dẫn đến sự mất tín nhiệm đối với một tổ chức, kết quả là gây thiệt hại cho danh tiếng của tổ chức, làm mất uy tín và gây các hậu quả xấu khác, cần sử dụng các hướng dẫn sau.

1  Không có thông tin

...

...

...

3  Ảnh hưởng xấu đến mối quan hệ với các cổ đông, khách hàng, nhà cung cấp, nhân viên, người dùng bên thứ ba, cơ quan hành pháp, chính phủ, các tổ chức khác hoặc cộng đồng, dẫn đến sự công khai các bất lợi trong phạm vi nội bộ/khu vực

4  Không có thông tin

5  Ảnh hưởng xấu đến mối quan hệ với các cổ đông, khách hàng, nhà cung cấp, nhân viên, người dùng bên thứ ba, cơ quan hành pháp, chính phủ, các tổ chức khác hoặc cộng đồng, dẫn đến một số công khai bất lợi trên phạm vi quốc gia

6  Không có thông tin

7  Ảnh hưởng chủ yếu đến mối quan hệ với các cổ đông, khách hàng, nhà cung cấp, nhân viên, người dùng bên thứ ba, cơ quan hành pháp, chính phủ, các tổ chức khác hoặc cộng đồng, dẫn đến sự công khai bất lợi rộng rãi

8  Không có thông tin

9  Không có thông tin

10  Không có thông tin

...

...

...

(tham khảo)

Ví dụ về báo cáo và mẫu báo cáo sự kiện, sự cố và điểm yếu an toàn thông tin

D.1  Giới thiệu

Phụ lục này gồm các mục ví dụ cần được lập hồ sơ của các sự kiện, sự cố và điểm yếu an toàn thông tin và các mẫu ví dụ để báo cáo các sự kiện, sự cố và điểm yếu an toàn thông tin, kèm các phần chú thích liên quan. Cần lưu ý đây chỉ là những ví dụ tham khảo. Ngoài ra còn có những mẫu khác, chẳng hạn mẫu Giản đồ trong tiêu chuẩn Định dạng mô tả và trao đổi đối tượng sự cố (IODEF).

D.2  Các mục ví dụ của hồ sơ

D.2.1  Các mục ví dụ của hồ sơ sự kiện an toàn thông tin

Hồ sơ sự kiện an toàn thông tin gồm các thông tin cơ bản về sự kiện an toàn thông tin, như khi nào, cái gì, như thế nào và vì sao sự kiện xảy ra, cũng như các thông tin liên lạc của người báo cáo.

Thông tin cơ bản

Ngày xảy ra sự kiện

...

...

...

Số sự cố và/hoặc sự kiện liên quan (nếu có)

Thông tin chi tiết về người báo cáo

Họ và tên

Thông tin liên lạc như địa chỉ, tổ chức, bộ phận, điện thoại và thư điện tử

Mô tả sự kiện

Cái gì đã xảy ra

Xảy ra như thế nào

Tại sao xảy ra

Khái quát sơ bộ về thiết bị/tài sản bị ảnh hưởng

...

...

...

Các điểm yếu được xác định

Thông tin chi tiết về sự kiện

Ngày và thời điểm xảy ra sự kiện

Ngày và thời điểm phát hiện sự kiện

Ngày và thời thời điểm báo cáo sự kiện

D.2.2  Các mục ví dụ của hồ sơ sự cố an toàn thông tin

Hồ sơ sự cố an toàn thông tin gồm các thông tin cơ bản về sự cố an toàn thông tin, như khi nào, cái gì, như thế nào và vì sao sự cố xảy ra, cũng như loại sự cố, tác động, và kết quả của việc ứng phó với sự cố.

Thông tin cơ bản

Ngày tháng xảy ra sự cố

...

...

...

Số sự kiện/sự cố liên quan (nếu có)

Thông tin chi tiết về người báo cáo

Họ và tên

Thông tin liên lạc như địa chỉ, tổ chức, bộ phận, điện thoại và thư điện tử

Thông tin chi tiết về đầu mối liên lạc (PoC)

Họ và tên

Thông tin liên lạc như địa chỉ, tổ chức, bộ phận, điện thoại và thư điện tử

Thông tin chi tiết về thành viên ISIRT

Họ và tên

...

...

...

Mô tả sự cố

Cái gì đã xảy ra

Xảy ra như thế nào

Tại sao xảy ra

Khái quát sơ bộ về thiết bị/tài sản bị ảnh hưởng

Các tác động nghiệp vụ bất lợi

Các điểm yếu được xác định

Thông tin chi tiết về sự cố

Ngày và thời điểm xảy ra sự cố

...

...

...

Ngày và thời thời điểm báo cáo sự cố

Loại sự cố

Thiết bị/tài sản bị ảnh hưởng

Tác động/ảnh hưởng nghiệp vụ bất lợi của sự cố

Tổng chi phí khôi phục sau sự cố

Cách giải quyết sự cố

Người/thủ phạm có liên quan (nếu sự cố do con người gây ra)

Mô tả về thủ phạm

Động cơ thực tế hoặc theo cảm nhận

...

...

...

Các hành động được lập kế hoạch để giải quyết sự cố

Các hành động còn tồn tại

Kết luận

Những người/đơn vị trong nội bộ được thông báo

Những người/đơn vị bên ngoài được thông báo

D.2.3  Các mục ví dụ của hồ sơ điểm yếu an toàn thông tin

Hồ sơ điểm yếu an toàn thông tin gồm các thông tin cơ bản về điểm yếu an toàn thông tin, như khi nào, cái gì, cách xác định điểm yếu, các tác động tiềm ẩn và cách giải quyết.

Thông tin cơ bản

Ngày xác định điểm yếu

...

...

...

Thông tin chi tiết về người báo cáo

Họ và tên

Thông tin liên lạc như địa chỉ, tổ chức, bộ phận, điện thoại và thư điện tử

Mô tả điểm yếu

Cách giải quyết điểm yếu

D.3  Cách sử dụng các mẫu báo cáo

D.3.1  Định dạng ngày tháng và thời điểm

Ngày tháng cần được ghi theo định dạng ngày-tháng-năm (và nếu được yêu cầu thì cả là giây-phút-giờ). Nếu có thể thì cần dùng UTC (Giờ Quốc tế Phối hợp - Coordinated Universal Time) để so sánh khi nhiều sự kiện có thể xảy ra trong các khoảng thời gian (và tối thiểu thì số bù UTC được áp dụng cho mục thời điểm).

D.3.2  Chú thích

...

...

...

Nếu nghi ngờ rằng một sự kiện an toàn thông tin đang xảy ra hoặc có thể đã xảy ra - cụ thể là một điều gì đó có thể gây tổn thất hoặc thiệt hại đáng kể về tài sản hoặc danh tiếng của tổ chức thì lập tức cần hoàn tất và nộp mẫu báo cáo sự kiện an toàn thông tin (xem phần đầu của Phụ lục này) theo các thủ tục được mô tả trong lược đồ quản lý sự cố an toàn thông tin của tổ chức.

Thông tin cung cấp sẽ được sử dụng để thực hiện đánh giá sơ bộ để xác định xem liệu sự kiện này có được xếp loại là sự cố an toàn thông tin hay không, và nếu đúng thì cả các biện pháp khắc phục cần thiết để ngăn chặn hoặc hạn chế tổn thất hoặc thiệt hại. Do tính chất quan trọng tiềm ẩn về thời gian của quy trình này nên không cần phải hoàn thành tất cả các mục trong biểu mẫu báo cáo tại thời điểm này.

Nếu là một thành viên PoC thực hiện xem xét các mẫu đã hoàn thành/hoàn thành một phần thì sau đó bạn sẽ được yêu cầu phải quyết định xem liệu sự kiện đó có cần được xếp loại là sự cố an toàn thông tin không. Nếu sự kiện được xếp loại như vậy thì bạn cần hoàn thành mẫu sự cố an toàn thông tin với nhiều thông tin nhất trong khả năng của bạn và chuyển cả hai mẫu sự kiện và sự cố an toàn thông tin cho ISIRT. Cho dù sự kiện an toàn thông tin có được xếp loại là sự cố hay không thì dữ liệu sự kiện/sự cố/điểm yếu an toàn thông tin cũng cần được cập nhật.

Nếu là một thành viên ISIRT thực hiện xem xét các mẫu sự kiện và sự cố an toàn thông tin được thành viên PoC chuyển đến thì sau đó mẫu sự cố cần được cập nhật theo tiến trình điều tra và các thông tin cập nhật được đưa vào cơ sở dữ liệu sự kiện/sự cố/điểm yếu an toàn thông tin.

Mục đích của mẫu báo cáo điểm yếu an toàn thông tin là cung cấp thông tin về điểm yếu được ghi nhận, và có vai trò như kho lưu trữ thông tin về cách giải quyết các điểm yếu được báo cáo.

Hãy tuân theo các hướng dẫn khi hoàn thiện các mẫu báo cáo:

• Mẫu báo cáo cần được đề nghị phải hoàn thành và trình theo đường điện tử2. (Khi có vấn đề xảy ra, hoặc được cho là đã xảy ra, với các cơ chế báo cáo điện tử (ví dụ như thư điện tử), kể cả khi cho rằng có thể hệ thống đang bị tấn công và các mẫu báo cáo điện tử có thể đã được đọc bởi những cá nhân không được phép, thì cần sử dụng các hình thức báo cáo thay thế khác. Các hình thức thay thế có thể là con người, hay qua điện thoại hoặc tin nhắn văn bản.)

• Chỉ cung cấp thông tin mà bạn biết là có - không suy đoán để hoàn thành các nội dung trong mẫu. Nếu cần phải cung cấp các thông tin mà bạn không thể xác nhận thì hãy ghi rõ rằng các thông tin này chưa được xác nhận, và những điều khiến bạn tin rằng đó có thể là sự thật.

• Cần cung cấp thông tin liên lạc đầy đủ của bạn. Vì có thể cần phải liên lạc với bạn - trong trường hợp khẩn cấp hoặc vào những thời điểm sau đó - để có thêm thông tin liên quan đến báo cáo của bạn.

...

...

...

D.4  Mẫu báo cáo ví dụ

D.4.1  Mẫu ví dụ về báo cáo sự kiện an toàn thông tin

BÁO CÁO SỰ KIỆN AN TOÀN THÔNG TIN

1. Ngày xảy ra sự kiện

2. Số sự kiện3

3. (Nếu có)
Số sự kiện và/hoặc sự cố liên quan

4. THÔNG TIN CHI TIẾT VỀ NGƯỜI BÁO CÁO

...

...

...

………………………

4.2 Địa chỉ

………………………

4.3 Tổ chức

………………………

4.4 Đơn vị

………………………

4.5 Điện thoại

………………………

...

...

...

………………………

5. MÔ TẢ SỰ KIỆN AN TOÀN THÔNG TIN

5.1 Mô tả sự kiện

• Cái gì đã xảy ra

• Xảy ra như thế nào

• Tại sao xảy ra

• Khái quát sơ bộ về thiết bị/tài sản bị ảnh hưởng

• Các tác động nghiệp vụ bất lợi

• Các điểm yếu được xác định

...

...

...

6.1 Ngày và thời điểm xảy ra sự kiện

6.2 Ngày và thời điểm phát hiện sự kiện

6.3 Ngày và thời điểm báo cáo sự kiện

6.4 Đã chấm dứt ứng phó với sự kiện chưa?        Rồi  □               CHƯA   □
(Tích vào ô tương ứng)

6.5 Nếu trả lời RỒI, xác định khoảng thời gian
sự kiện diễn ra theo Ngày/giờ/phút

D.4.2  Mẫu ví dụ về báo cáo sự cố an toàn thông tin

BÁO CÁO SỰ CỐ AN TOÀN THÔNG TIN

1. Ngày xảy ra sự cố

...

...

...

2. Số sự cố4

3. (Nếu có)
Số sự kiện và/hoặc sự cố liên quan

4. THÔNG TIN CHI TIẾT VỀ THÀNH VIÊN POC

4.1 Họ và tên

………………………

4.2 Địa chỉ

………………………

4.3 Tổ chức

...

...

...

4.4 Đơn vị

………………………

4.5 Điện thoại

………………………

4.6 E-mail

………………………

5. THÔNG TIN CHI TIẾT VỀ THÀNH VIÊN ISIRT

5.1 Họ và tên

………………………

...

...

...

………………………

5.3 Tổ chức

………………………

5.4 Đơn vị

………………………

5.5 Điện thoại

………………………

5.6 E-mail

………………………

...

...

...

6.1 Mô tả sự cố

• Cái gì đã xảy ra

• Xảy ra như thế nào

• Tại sao xảy ra

• Khái quát sơ bộ về thiết bị/tài sản bị ảnh hưởng

• Các tác động nghiệp vụ bất lợi

• Các điểm yếu được xác định

7. THÔNG TIN CHI TIẾT VỀ SỰ CỐ AN TOÀN THÔNG TIN

7.1 Ngày và thời điểm xảy ra sự cố

...

...

...

7.3 Ngày và thời điểm báo cáo sự cố

7.4 Thông tin chi tiết về nhận dạng/liên hệ của người báo cáo

7.5 Sự cố đã kết thúc chưa?               RỒI  □              CHƯA  □
(Tích vào ô tương ứng)

7.6 Nếu trả lời RỒI, xác định khoảng thời gian sự
cố diễn ra theo Ngày/giờ/phút

8. LOẠI SỰ CỐ AN TOÀN THÔNG TIN

(Lựa chọn một, sau đó hoàn thành các phần dưới đây)

8.1 Đã xảy ra
(sự cố đã xảy ra)

□

8.2 Nghi ngờ
(Sự cố có thể đã xảy ra nhưng chưa được xác nhận)

...

...

...

(chọn một)

8.3 Thảm họa tự nhiên

□

(Cho biết loại đe dọa liên quan)

Động đất

□

Núi lửa

□

Lũ lụt

...

...

...

Lốc xoáy

□

Sét

□

Sóng thần

□

Sụt lún

□

Loại khác

...

...

...

Ghi rõ:

(chọn một)

8.4 Bất ổn xã hội

□

(Cho biết loại đe dọa liên quan)

...

...

...

□

Khủng bố

□

Chiến tranh

□

Loại khác

□

Ghi rõ:

...

...

...

(chọn một)

8.5 Thiệt hại vật chất

□

(Cho biết loại đe dọa liên quan)

Hỏa hoạn

□

...

...

...

□

Tĩnh điện

□

Môi trường độc hại (như ô nhiễm, bụi, ăn mòn, đóng băng)

□

Phá hoại thiết bị

□

Phá hoại phương tiện lưu trữ

...

...

...

Trộm cắp thiết bị

□

Trộm cắp phương tiện lưu trữ

□

Mất mát thiết bị

□

Mất mát phương tiện lưu trữ

□

Giả mạo thiết bị

...

...

...

Giả mạo phương tiện lưu trữ

□

Loại khác

□

Ghi rõ:

...

...

...

8.6 Lỗi hạ tầng

□

(Cho biết loại đe dọa liên quan)

Lỗi nguồn điện

□

Lỗi mạng

□

Lỗi điều hòa

...

...

...

Lỗi nguồn nước

□

Loại khác

□

Ghi rõ:

...

...

...

(chọn một)

8.7 Nhiễu phát xạ

□

(Cho biết loại đe dọa liên quan)

Phát xạ điện từ

□

...

...

...

□

Nhiễu điện tử

□

Thăng giáng điện áp

□

Phát xạ nhiệt

□

Loại khác

...

...

...

Ghi rõ:

(chọn một)

8.8 Lỗi kỹ thuật

□

(Cho biết loại đe dọa liên quan)

...

...

...

Lỗi phần cứng

□

Sự cố phần mềm

□

Quá tại (năng lực của hệ thống bị bão hòa)

□

Sai phạm bảo trì

□

...

...

...

□

Ghi rõ:

(chọn một)

8.9 Phần mềm độc hại

...

...

...

(Cho biết loại đe dọa liên quan)

Sâu mạng

□

Ngựa Trojan

□

Botnet

□

Tấn công kết hợp

□

...

...

...

□

Trang chứa mã độc

□

Loại khác

□

Ghi rõ:

...

...

...

(chọn một)

8.10 Tấn công kỹ thuật

□

(Cho biết loại đe dọa liên quan)

Quét mạng

□

Khai thác điểm yếu

□

...

...

...

□

Cố đăng nhập, can thiệt

□

Từ chối dịch vụ

□

Loại khác

□

Ghi rõ:

...

...

...

(chọn một)

8.11 Vi phạm luật

□

(Cho biết loại đe dọa liên quan)

Sử dụng trái phép nguồn lực

□

...

...

...

□

Loại khác

□

Ghi rõ:

(chọn một)

...

...

...

□

(Cho biết loại đe dọa liên quan)

Lạm dụng quyền

□

Giả mạo quyền, từ chối hoạt động

□

Vận hành sai

□

Vi phạm sử dụng nhân lực

...

...

...

Loại khác

□

Ghi rõ:

...

...

...

8.13 Tổn hại thông tin

□

(Cho biết loại đe dọa liên quan)

Ngăn chặn

□

Theo dõi, nghe lén

□

Tiết lộ thông tin

□

...

...

...

□

Lừa đảo trực tuyến

□

Trộm cắp dữ liệu

□

Tổn thất dữ liệu

□

Giả mạo dữ liệu

□

...

...

...

□

Dò vị trí

□

Loại khác

□

Ghi rõ:

...

...

...

(chọn một)

8.14 Nội dung xấu

□

(Cho biết loại đe dọa liên quan)

Nội dung bất hợp pháp

□

Nội dung gây hoang mang

...

...

...

Nội dung độc hại

□

Nội dung lạm dụng

□

Loại khác

□

Ghi rõ:

...

...

...

8.15 Loại khác

□

(nếu không thuộc các loại trên thì lựa chọn mục này)

Ghi rõ:

...

...

...

9. THIẾT BỊ/TÀI SẢN BỊ ẢNH HƯỞNG5

Thiết bị/tài sản bị ảnh hưởng (Nếu có)

(Cung cấp mô tả về thiết bị/tài sản bị ảnh hưởng do/hoặc liên quan đến sự  cố, bao gồm số sê ri, giấy phép và số phiên bản nếu có))

9.1 Thông tin/dữ liệu

……………………………………………………………………………

9.2 Phần cứng

……………………………………………………………………………

...

...

...

……………………………………………………………………………

9.4 Phương tiện truyền thông

……………………………………………………………………………

9.5 Tài liệu

……………………………………………………………………………

9.6 Quy trình

……………………………………………………………………………

9.7 Loại khác

……………………………………………………………………………

...

...

...

Chọn loại phù hợp, cột "giá trị" ghi mức tác động nghiệp vụ bất lợi, bao gồm tất cả các bên bị ảnh hưởng bởi sự cố, theo thang điểm từ 1 đến 10 sử dụng các hướng dẫn đối với các loại: tổn thất tài chính/Gián đoạn hoạt động nghiệp vụ, lợi ích kinh tế thương mại, thông tin cá nhân, nghĩa vụ pháp lý và quy định, hoạt động quản lý và nghiệp vụ, và tổn thất uy tín thương mại. (Xem Phụ lục C.3.2). Ghi các ký tự mã theo như hướng dẫn vào cột "Hướng dẫn", và nếu có chi phí thực tế, ghi lại chi phí vào cột "chi phí".

GIÁ TRỊ

HƯỚNG DẪN

CHI PHÍ

10.1 Vi phạm tính bí mật
(Ví dụ: tiết lộ trái phép)

□

...

...

...

10.2 Vi phạm tính toàn vẹn
(Ví dụ: sửa đổi trái phép)

□

10.3 Vi phạm tính sẵn sàng
(Ví dụ: không sẵn sàng)

□

...

...

...

10.4 Vi phạm tính chống từ chối

□

10.1 Phá hoại

□

...

...

...

11. TỔNG CHI PHÍ KHÔI PHỤC SAU SỰ CỐ

(Nếu có thể, cần khai báo tổng chi phí thực tế để khôi phục hoàn toàn sau sự cố, cột "giá trị" sử dụng thang điểm từ 1 đến 10 và cột "chi phí" là chi phí thực tế.)

GIÁ TRỊ

HƯỚNG DẪN

CHI PHÍ

12. GIẢI QUYẾT SỰ CỐ

12.1 Ngày bắt đầu điều tra sự cố

12.2 Tên người điều tra

...

...

...

12.4 Ngày kết thúc tác động của sự cố

12.5 Ngày hoàn thành điều tra sự cố

12.6 Địa điểm và vấn đề điều tra

13. NGƯỜI/THỦ PHẠM LIÊN QUAN (NẾU SỰ CỐ DO CON NGƯỜI GÂY RA)

(chọn một)

Người

□

Tổ chức/Đơn vị được thành lập hợp pháp

□

...

...

...

Nhóm người có tổ chức

□

Vô tình

□

Không có thủ phạm

□

...

...

...

Ví dụ: do yếu tố tự nhiên, lỗi thiết bị, lỗi của con người

14. MÔ TẢ THỦ PHẠM

15. ĐỘNG CƠ THỰC TẾ HOẶC THEO CẢM NHẬN

(chọn một)

Tội phạm/kiếm lợi nhuận

□

Chính trị/khủng bố

...

...

...

Tiêu khiển/xâm nhập

□

Trả thù

□

Loại khác

...

...

...

Ghi rõ:

16. CÁC HÀNH ĐỘNG ĐÃ ĐƯỢC THỰC HIỆN ĐỂ GIẢI QUYẾT SỰ CỐ

(ví dụ như "không hành động", "hành động tại chỗ", "điều tra nội bộ", điều tra "bên ngoài" bởi...)

17. CÁC HÀNH ĐỘNG ĐƯỢC LẬP KẾ HOẠCH ĐỂ GIẢI QUYẾT SỰ CỐ

(xem các ví dụ bên trên)

18. CÁC HÀNH ĐỘNG CÒN TỒN TẠI

(ví dụ: vẫn đang điều tra theo yêu cầu của những người khác)

19. KẾT LUẬN

(Xác định sự cố là lớn hay nhỏ, và đưa ra mô tả ngắn gọn để minh họa kết luận)

...

...

...

□

Nhỏ

□

(đưa ra kết luận khác)

……………………………………………..

...

...

...

(Mục này dành cho người có trách nhiệm về an toàn thông tin, nêu rõ hành động cần thiết. Phần này có thể được hiệu chỉnh bởi người quản lý an toàn thông tin của tổ chức hoặc các cá nhân có trách nhiệm khác)

Người quản lý an toàn thông tin/cá nhân có trách nhiệm

□

Người quản lý ISIRT

□

Người quản lý đơn vị
(nói rõ đơn vị)

□

Người quản lý hệ thống thông tin

□

...

...

...

□

Người quản lý của người lập báo cáo/Người quản lý đơn vị bị ảnh hưởng

□

Khác

□

(ví dụ: bộ phận hỗ trợ, bộ phận tổ chức cán bộ, ban quản lý, kiểm tra nội bộ)

Ghi rõ:

...

...

...

(Mục này dành cho người có trách nhiệm về an toàn thông tin, nêu rõ hành động cần thiết. Phần này có thể được hiệu chỉnh bởi người quản lý an toàn thông tin của tổ chức hoặc các cá nhân có trách nhiệm khác)

Cảnh sát

□

Khác

□

(ví dụ: cơ quan chức năng, ISIRT bên ngoài)

...

...

...

Ghi rõ:

21. CHỮ KÝ

NGƯỜI LẬP BÁO CÁO

NGƯỜI XEM

NGƯỜI XEM

Chữ ký số

Chữ ký số

Chữ ký số

...

...

...

…………..

…………..

…………..

Tên

…………..

Tên

…………..

...

...

...

…………..

Chức vụ

…………..

Chức vụ

…………..

Chức vụ

…………..

Ngày

…………..

...

...

...

…………..

Ngày

…………..

D.4.3  Mẫu ví dụ của hồ sơ điểm yếu an toàn thông tin

BÁO CÁO ĐIỂM YẾU AN TOÀN THÔNG TIN

1. Ngày phát hiện điểm yếu

2. Số điểm yếu6

3. THÔNG TIN CHI TIẾT CỦA NGƯỜI BÁO CÁO

...

...

...

………………………

3.2 Địa chỉ

………………………

3.3 Tổ chức

………………………

3.4 Đơn vị

………………………

3.5 Điện thoại

………………………

...

...

...

………………………

4. MÔ TẢ ĐIỂM YẾU AN TOÀN THÔNG TIN

4.1 Ngày và thời điểm báo cáo điểm yếu

4.2 Mô tả tường thuật về điểm yếu an toàn thông tin

• Điểm yếu được phát hiện như thế nào

• Tính chất của điểm yếu - vật lý, kỹ thuật,...

• Nếu là điểm yếu kỹ thuật, các tài sản/thiết bị mạng/công nghệ thông tin có liên quan

• Thiết bị/tài sản có thể bị ảnh hưởng nếu điểm yếu bị khai thác

• Các tác động nghiệp vụ bất lợi tiềm ẩn nếu điểm yếu bị khai thác

...

...

...

5.1 Điểm yếu được xác nhận chưa? (Lựa chọn ô tương ứng)

Rồi

□

Chưa

□

5.2 Ngày và thời điểm xác nhận điểm yếu

...

...

...

5.3 Tên người xác nhận

5.4 Địa chỉ

5.5 Tổ chức

...

...

...

5.6 Điện thoại

5.7 Thu điện tử

5.8 Điểm yếu được giải quyết chưa? (Lựa chọn ô tương ứng)

Rồi

□

Chưa

...

...

...

5.9 Mô tả ngắn gọn về cách giải quyết điểm yếu, thời gian và tên của người giải quyết

Phụ lục E

(tham khảo)

Các khía cạnh quy định và pháp lý

...

...

...

• Sự bảo vệ dữ liệu thỏa đáng và tính riêng tư của thông tin cá nhân được cung cấp. Ở các quốc gia có quy định pháp luật cụ thể về tính bí mật và toàn vẹn của dữ liệu thì việc kiểm soát dữ liệu cá nhân thường bị hạn chế. Do các sự cố an toàn thông tin thường cần phải được quy cho một cá nhân cụ thể nên thông tin có chất cá nhân có thể cần phải được ghi lại và được quản lý sao cho phù hợp. Do vậy, mỗi phương pháp tiếp cận có cấu trúc để quản lý sự cố an toàn thông tin cũng cần quan tâm đến việc bảo vệ quyền riêng tư thích hợp. Vấn đề này có thể bao gồm:

- nếu có thể thì những người có truy cập vào dữ liệu cá nhân không được có quen biết với (những) người đang bị điều tra,

- các thỏa thuận bảo mật cần có chữ ký của những người có truy cập vào dữ liệu cá nhân trước khi họ được phép truy cập,

- thông tin chỉ được sử dụng cho các mục đích rõ ràng theo cách chúng được thu nhận, cụ thể là dùng cho điều tra sự cố an toàn thông tin.

• Việc lưu trữ hồ sơ theo cách phù hợp được duy trì. Một số điều luật của các quốc gia có yêu cầu các công ty duy trì hồ sơ phù hợp về các hoạt động của họ để dùng cho việc soát xét trong quy trình đánh giá hàng năm của tổ chức. Các tổ chức chính phủ cũng có các yêu cầu tương tự. Ở một số nước, các tổ chức được yêu cầu phải báo cáo hoặc có tài liệu lưu trữ để dùng cho việc thi hành luật (ví dụ trong trường hợp có liên quan đến tội phạm nghiêm trọng hoặc có sự xâm nhập vào một hệ thống nhạy cảm của chính phủ).

• Các biện pháp kiểm soát được thực thi để đảm bảo tuân thủ các nghĩa vụ thương mại theo hợp đồng. Trong trường hợp có yêu cầu bắt buộc trong việc cung cấp dịch vụ quản lý sự cố an toàn thông tin, ví dụ các yêu cầu về thời gian ứng phó, thì tổ chức cần đảm bảo có được sự an toàn thông tin phù hợp nhằm đảm bảo vẫn đáp ứng mọi nghĩa vụ trong mọi tình huống. (Liên quan đến điều này, nếu một tổ chức ký hợp đồng hỗ trợ với một tổ chức bên ngoài, ví dụ ISIRT bên ngoài, thì cần đảm bảo rằng mọi yêu cầu, bao gồm cả thời gian ứng phó, đều được đưa vào bản hợp đồng với bên ngoài).

• Các vấn đề pháp lý liên quan đến chính sách và thủ tục được giải quyết. Các chính sách và thủ tục liên quan đến lược đồ quản lý sự cố an toàn thông tin cần được kiểm tra về các khía cạnh pháp lý và quy định tiềm ẩn, ví dụ xem có tuyên bố nào về hành động kỷ luật và/hoặc pháp lý đối với những người gây ra sự cố an toàn thông tin không. Ở một số quốc gia, việc chấm dứt sử dụng lao động là điều không dễ dàng.

• Mọi sự phủ nhận đều được kiểm tra về mặt pháp lý. Mọi phủ nhận liên quan đến các hành động do nhóm quản lý sự cố thông tin và những người hỗ trợ bên ngoài thực hiện đều cần được kiểm tra về phương diện pháp lý.

• Hợp đồng với nhân viên hỗ trợ bên ngoài phải bao hàm mọi khía cạnh được yêu cầu. Hợp đồng với nhân viên hỗ trợ bên ngoài, ví dụ với nhân viên từ ISIRT bên ngoài, cần được kiểm tra kỹ lưỡng về việc miễn trừ trách nhiệm pháp lý, bảo mật, sự sẵn sàng của dịch vụ, và hệ quả của việc tư vấn không đúng.

...

...

...

• Các yêu cầu về hành luật được đề cập. Các vấn đề liên quan đến khả năng các cơ quan hành luật có thể yêu cầu thông tin từ lược đồ quản lý sự cố an toàn thông tin cần phải rõ ràng. Đó có thể là trường hợp cần làm rõ mức độ thông tin tối thiểu khi lập tài liệu sự cố và thời gian cần lưu giữ hồ sơ mà pháp luật yêu cầu.

• Các khía cạnh trách nhiệm pháp lý đều rõ ràng. Các vấn đề về trách nhiệm pháp lý tiềm ẩn và các biện pháp kiểm soát cần thiết liên quan phải được triển khai cũng cần được làm rõ. Dưới đây là ví dụ về các sự kiện có thể có các vấn đề về trách nhiệm pháp lý liên quan:

- nếu một sự cố có thể đã ảnh hưởng đến một tổ chức khác (ví dụ, tiết lộ thông tin được chia sẻ), sự cố đó đã không được thông báo đúng lúc và tổ chức kia phải chịu tác động bất lợi,

- nếu một điểm yếu mới trong một sản phẩm được phát hiện, nhà cung cấp không được thông báo và một sự cố lớn liên quan có tác động lớn đến một hoặc nhiều tổ chức khác đã xảy ra sau đó,

- báo cáo không được lập ra ở những nơi, trong quốc gia cụ thể, mà các tổ chức được yêu cầu phải báo cáo hoặc xây dựng các tài liệu lưu trữ để dùng cho các cơ quan hành pháp sử dụng trong các trường hợp có thể dính líu đến tội ác nghiêm trọng, hoặc có sự xâm nhập vào một hệ thống nhạy cảm của chính phủ hoặc một bộ phận của cơ sở hạ tầng quốc gia quan trọng,

- thông tin bị tiết lộ dường như cho thấy rằng một người hoặc một tổ chức nào đó có thể dính líu đến một cuộc tấn công. Điều này có thể gây tổn hại danh tiếng và công việc của cá nhân hoặc tổ chức liên quan,

- thông tin được tiết lộ rằng có thể đã có trục trặc với một hạng mục nhất định nào đó của phần mềm và điều này được phát hiện là không phải sự thật.

• Các yêu cầu trong quy định cụ thể được đề cập. Nếu được yêu cầu bởi các yêu cầu trong quy định cụ thể thì các sự cố cần được báo cáo cho một cơ quan được chỉ định, ví dụ nhiều quốc gia có yêu cầu điều này trong ngành công nghiệp năng lượng hạt nhân, các công ty viễn thông và các nhà cung cấp dịch vụ Internet.

• Các thủ tục khởi tố hoặc kỷ luật nội bộ có thể thành công. Các biện pháp kiểm soát an toàn thông tin phù hợp cần được triển khai, bao gồm các biện pháp truy vết chống giả mạo phù hợp, để có thể truy tố thành công hoặc áp dụng các thủ tục kỷ luật nội bộ đối với "kẻ tấn công", cho dù đó là tấn công kỹ thuật hoặc vật lý. Để hỗ trợ việc này thì thông thường các bằng chứng cần được thu thập theo cách thức sao cho chúng dễ dàng được chấp nhận tại các tòa án quốc gia phù hợp hoặc tại diễn đàn kỷ luật khác, cần cho thấy rằng:

...

...

...

- các bản sao của chứng cứ điện tử giống hệt với bản gốc,

- mọi hệ thống IT mà từ đó chứng cứ được tập hợp đều đã hoạt động đúng tại thời điểm chứng cứ được ghi nhận.

• Các khía cạnh pháp lý liên quan đến các kỹ thuật giám sát được đề cập. Các hệ quả của việc sử dụng các kỹ thuật giám sát cũng cần được đề cập theo yêu cầu của luật pháp quốc gia liên quan. Tính hợp pháp của các kỹ thuật khác nhau cũng khác giữa các quốc gia. Ví dụ, ở một số quốc gia thì điều cần làm là cho mọi người biết rằng việc giám sát các hoạt động, bao gồm cả việc giám sát thông qua các kỹ thuật theo dõi, đang được thực hiện. Các yếu tố cần được xem xét gồm ai/cái gì đang bị giám sát, họ/cái đó bị giám sát như thế nào, và khi nào việc giám sát đang được thực hiện. Cũng cần lưu ý rằng việc giám sát/theo dõi bằng IDS đã được thảo luận cụ thể trong tiêu chuẩn ISO/IEC 18043.

• Chính sách sử dụng được chấp nhận được xác định và được thông báo. Việc thực hành/sử dụng được chấp nhận trong tổ chức cần được xác định, lập tài liệu và thông báo cho mọi người dùng đã định. (Ví dụ, người dùng cần được thông báo về chính sách sử dụng được chấp nhận và được yêu cầu cung cấp xác nhận viết tay rằng họ đã hiểu và chấp nhận chính sách đó khi họ tham gia vào một tổ chức hoặc được cấp quyền truy cập vào hệ thống thông tin).

THƯ MỤC TÀI LIỆU THAM KHẢO

[1] ISO/IEC 18043, Information technology - Security techniques - Selection, deployment and operations of intrusion detection systems

[2] ISO/IEC 20000 (all parts), Information technology - Service management

[3] ISO/PAS 22399, Societal security - Guidelines for incident preparedness and operational continuity management

...

...

...

[5] TCVN ISO/IEC 27002, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin

[6] ISO/IEC 27003, Information technology - Security techniques - Information security management system implementation guidance

[7] ISO/IEC 27004, Information technology - Security techniques - Information security management - Measurement

[8] ISO/IEC 27005, lnformation technology - Security techniques - Information security risk management

[9] ISO/IEC 27031, Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity

[10] ISO/IEC 27033-1, Information technology - Security techniques - Network security - Part 1: Overview and concepts

[11] ISO/IEC 27033-2, Information technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security

[12] ISO/IEC 27033-3, Information technology - Security techniques - Network security - Part 3: Reference networking scenarios - Threats, design techniques and control issues

[13] Internet Engineering Task Force (IETF) Site Security Handbook, http://www.ietf.org/rfc/rfc2196.txt?number=2196

...

...

...

[15] NIST Special Publication 800-61, Computer Security Incident Handling Guide (2004), http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf

[16] TERENA's Incident Object Description Exchange Format Data Model and XML Implementation (IODEF) (produced by IETF), RFC 5070

[17] Internet Engineering Task Force (IETF) RFC 3227, Guidelines for evidence collection and archiving

[18] CESG GOVCERTUK, Incident Response Guidelines (2008), http://www.govcertuk.gov.uk/pdfs/incident response guidelines.pdf

[19] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, Incident Management Capability Metrics Version 0.1 (2007),

http://www.cert.org/archive/pdf/07tr008.pdf

[20] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, Incident Management Mission Diagnostic Method Version 1.0,

http://www.cert.org/archive/pdf/08tr007.pdf

[21] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, Defining Incident Management Processes for CSIRTs: A Work in Progress,

...

...

...

[22] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre", Handbook for Computer Security Incident Response Teams (CSIRTs),

http://www.cert.org/archive/pdf/csirt- handbook.pdf

[23] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, State of the Practice of Computer Security Incident Response Teams,

http://www.cert.org/archive/pdf/03tr001.pdf

[24] Software Engineering Instituteat Carnegie Mellon “CERT Coordination Centre”, CSIRT Services, http://www.cert.org/csirts/services.html

[25] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, Action List for Developing a Computer Security Incident Response Team (CSIRT),

http://www.cert.org/csirts/action_list.html

[26] Software Engineering Institute at Carnegie Mellon “CERT Coordination Centre”, Staffing Your Computer Security Incident Response Team - What Basic Skills Are Needed?

http://www.cert.org/csirts/csirt-staffing.html

...

...

...

[28] SANS Institute, An approach to the ultimate in-depth security event management framework (2008)

[29] SANS Institute, Mining gold, A primer on incident handling and response (2008)

[30] SANS Institute, Incident Handling for SMEs (Small to Medium Enterprises) (2008)

[31] SANS Institute, Breach Notification in Incident Handling (2008)

[32] SANS Institute, Baselines and Incident Handling (2008)

[33] SANS Institute, Documentation is to Incident Response as an Air Tank is to Scuba Diving (2007)

[34] SANS Institute, Creating and Managing an Incident Response Team for a Large Company (2007)

[35] SANS Institute, An Incident Handling Process for Small and Medium Businesses (2007)

[36] SANS Institute, Incident Management 101 Preparation & Initial Response (aka Identification) (2005)

...

...

...

[38] ISACA, COBIT 4.1 (Section DS5.11), www.isaca.org/cobit

[39] ENISA, A step-by-step approach on how to set up a CSIRT,

http://www.enisa.europa.eu/act/cert/support/guide

[40] ENISA, CERT cooperation and its further facilitation by relevant stakeholders,

http://www.enisa.europa.eu/act/cert/background/coop

[41] ENISA, A basic collection of good practices for running a CSIRT,

http://www.enisa.europa.eu/act/cert/support/guide2

[42] TERENA's Incident Object Description and Exchange Format Requirements (IODEF) (produced by IETF), RFC 3067

[43] CVSS - A complete Guide to the Common Vulnerability Scoring System (Version 2.0), FIRST, 20 June 2007, http://www.first.org/cvss/cvss-guide.html

...

...

...

[45] ITIL, ITIL framework document, http://www.itil-officialsite.com/home/home.asp

MỤC LỤC

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Thuật ngữ và định nghĩa

4  Tổng quan

4.1  Các khái niệm cơ bản

4.2  Các mục đích

...

...

...

4.4  Khả năng ứng dụng

4.5  Các giai đoạn

4.6  Ví dụ về các sự cố an toàn thông tin

5  Giai đoạn lập kế hoạch và chuẩn bị

5.1  Tổng quan về các hoạt động chính

5.2  Chính sách quản lý sự cố an toàn thông tin

5.2.1  Giới thiệu

5.2.2  Các bên liên quan

5.2.3  Nội dung

...

...

...

5.3.1  Giới thiệu

5.3.2  Nội dung

5.4  Lược đồ quản lý sự cố an toàn thông tin

5.4.1  Giới thiệu

5.4.2  Các bên liên quan

5.4.3  Nội dung

5.4.4  Các thủ tục

5.4.5  Sự tin cậy

5.4.6  Tính bí mật

...

...

...

5.5.1  Giới thiệu

5.5.2  Các thành viên và cấu trúc

5.5.3  Mối quan hệ với các bộ phận khác của tổ chức

5.5.4  Mối quan hệ với các bên có lợi ích bên ngoài

5.6  Hỗ trợ kỹ thuật và các hỗ trợ khác (bao gồm cả hỗ trợ vận hành)

5.7  Đào tạo và nâng cao nhận thức

5.8  Thử nghiệm lược đồ

6  Giai đoạn phát hiện và báo cáo

6.1  Tổng quan về các hoạt động chính

...

...

...

6.3  Báo cáo sự kiện an toàn thông tin

7  Giai đoạn đánh giá và quyết định

7.1  Tổng quan về các hoạt động chính

7.2  Đánh giá và quyết định ban đầu từ PoC

7.3  Đánh giá và xác nhận sự cố từ ISIRT

8  Giai đoạn ứng phó

8.1  Tổng quan về các hoạt động chính

8.2  Ứng phó

8.2.1  Ứng phó tức thì

...

...

...

8.2.3  Các ứng phó về sau

8.2.4  Ứng phó với tình huống khủng hoảng

8.2.5  Phân tích điều tra an toàn thông tin

8.2.6  Truyền thông

8.2.7  Tăng cấp xử lý

8.2.8  Ghi nhật ký hoạt động và kiểm soát thay đổi

9  Giai đoạn rút bài học kinh nghiệm

9.1  Tổng quan về các hoạt động chính

9.2  Phân tích điều tra thêm về an toàn thông tin thêm

...

...

...

9.4  Xác định và thực hiện các cải tiến trong việc triển khai các biện pháp kiểm soát an toàn thông tin

9.5  Xác định và thực hiện các cải tiến đối với các kết quả đánh giá rủi ro an toàn thông tin và soát xét của ban quản lý

9.6  Xác định và thực hiện các cải tiến đối với lược đồ quản lý sự cố an toàn thông tin

9.7  Các cải tiến khác

Phụ lục A (tham khảo) Bảng tham chiếu chéo giữa TCVN 11239 và TCVN ISO/IEC 27001

Phụ lục B (tham khảo) Ví dụ về các sự cố an toàn thông tin và nguyên nhân

Phụ lục C (tham khảo) Ví dụ về các phương pháp tiếp cận để phân loại và phân cấp các sự kiện và sự cố an toàn thông tin

Phụ lục D (tham khảo) Ví dụ về báo cáo và mẫu báo cáo sự kiện, sự cố và điểm yếu an toàn thông tin

Phụ lục E (tham khảo) Các khía cạnh quy định và pháp lý

...

...

...

1 Thuật ngữ “Không có thông tin” nghĩa là không có thông tin tương đương về mức tác động này.

2 Ví dụ, trong mẫu báo cáo ở web page an toàn có liên kết với cơ sở dữ liệu điện tử về sự kiện/sự cố/điểm yếu an toàn thông tin. Hiện nay, việc vận hành một lược đồ trên giấy có thể sẽ mất nhiều thời gian. Tuy nhiên, lược đồ trên giấy cũng cần được chuẩn bị cho trường hợp không thể sử dụng lược đồ điện tử.

3 Số sự kiện nên để người quản lý ISIRT của tổ chức điền

4 Số sự cố nên để người quản lý ISIRT của tổ chức điền, và có liên kết với số sự kiện liên quan

5 Báo cáo này cho thông tin chi tiết hơn về các thiết bị/tài sản bị ảnh hưởng để sẵn sàng cho việc điều tra và phân tích (trong các giai đoạn đầu khi phân tích sự kiện và sự cố, thông thường chỉ có các thông tin 'mức cao' được thu thập).

6 Số của điểm yếu nên để người quản lý ISIRT của tổ chức điền

Tiêu chuẩn quốc gia TCVN 11239:2015 (ISO/IEC 27035:2011) về Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý sự cố an toàn thông tin