Đánh giá tài sản trong an ninh mạng

Đánh giá tính toàn vẹn của tài sản

Dựa trên mức độ ảnh hưởng của lỗi hoặc gián đoạn đối với thông tin được xử lý, tài sản được phân loại theo mức độ thấp, trung bình và cao.

Đánh giá khả năng sử dụng của tài sản

Khả năng sử dụng tài sản được đánh giá theo thời gian gián đoạn truy cập chấp nhận được:
- Cao: Gián đoạn truy cập được chấp nhận dưới 1 giờ.
- Trung bình: Gián đoạn truy cập được chấp nhận dưới 1 ngày.
- Thấp: Gián đoạn truy cập được chấp nhận trong vài ngày.

Giá trị của tài sản

Giá trị tài sản được tính toán dựa trên ba thuộc tính: Bảo mật (Confidentiality), Toàn vẹn (Integrity) và Khả năng sử dụng (Availability).
Công thức tính giá trị tài sản: Giá trị tài sản = Giá trị Bảo mật + Giá trị Toàn vẹn + Giá trị Khả năng sử dụng.
Khi giá trị tài sản lớn hơn 3, chủ sở hữu tài sản cần tiến hành đánh giá rủi ro cho tài sản này.

Chủ sở hữu tài sản

Xác định trách nhiệm cho mỗi tài sản trong công ty, đơn vị hoặc dự án.
Đánh giá rủi ro ở tất cả các phòng ban/đơn vị cho hoạt động tạo giá trị và hoạt động hỗ trợ.
- Trưởng phòng ban/đơn vị có trách nhiệm xác định rủi ro trong phòng ban/đơn vị của mình.
- Áp dụng phương pháp dựa trên quy trình để xác định rủi ro hoạt động.

Mức độ tổ chức

Xác định rủi ro cho tất cả các dự án trong công ty, bao gồm toàn bộ vòng đời dự án.
Quản lý dự án chịu trách nhiệm chính về việc xác định rủi ro trong dự án của họ.
Bất kỳ thành viên nào trong nhóm dự án cũng có thể báo cáo mối nguy hiểm khi thực hiện công việc hàng ngày của họ.

Nguồn mối nguy hiểm

Nhóm dự án cần xem xét phạm vi dự án, ước tính chi phí, lịch trình (bao gồm đánh giá đường dẫn quan trọng), độ chín kỹ thuật, các thông số hiệu suất chính, các thách thức hiệu suất, kỳ vọng của bên liên quan so với kế hoạch hiện tại, các phụ thuộc bên ngoài và bên trong, các thách thức triển khai, tích hợp, khả năng xử lý các mối nguy hiểm, lệch chi phí, kỳ vọng của sự kiện thử nghiệm, an toàn, bảo mật và nhiều hơn nữa.
Ngoài ra, dữ liệu lịch sử từ các dự án tương tự, phỏng vấn bên liên quan, kinh nghiệm trước đây và kiến thức hiện có cũng cung cấp giá trị cho việc xem xét mối nguy hiểm.
Sử dụng các nguồn mối nguy hiểm sau (nhưng không giới hạn) để xác định mối nguy hiểm:

Nguồn cơ hội

Sử dụng các nguồn cơ hội sau (nhưng không giới hạn) để xác định cơ hội trong tổ chức.
Hành động để giải quyết cơ hội cũng có thể bao gồm việc xem xét các mối nguy hiểm liên quan:

Phương pháp đánh giá rủi ro dựa trên tài sản

Áp dụng phương pháp quản lý rủi ro dựa trên tài sản cho bộ phận CNTT để đảm bảo các rủi ro liên quan đến tài sản quan trọng được xác định và quản lý để giảm thiểu tác động bất ngờ. Các bộ phận khác có thể áp dụng phương pháp này nếu cần thiết.
Đánh giá và xem xét xử lý rủi ro khi tài sản đáp ứng một trong các điều kiện sau:
- Khi giá trị của tài sản - được tính toán từ xếp hạng C-I-A (xem phần 2.1.3.2.) - lớn hơn hoặc bằng 5.
- Khi tài sản có một trong các giá trị C/I/A đạt hạng tối đa.

Xác định tài sản

Bước này xác định danh sách tài sản và giá trị của nó (CIA - xem phần 2.1.3.2. bên dưới).
Tài sản là một thành phần hoặc một phần của một hệ thống tổng thể mà tổ chức trực tiếp gán giá trị và do đó tổ chức cần bảo vệ.
Các loại tài sản cho tài sản thông tin có thể là một trong các loại sau:
- Thông tin kỹ thuật số:
  - Thông tin/dữ liệu kỹ thuật số có giá trị đối với hoạt động. Ví dụ: cơ sở dữ liệu, tệp, tài liệu quy trình, báo cáo nghiên cứu, hướng dẫn làm việc, kế hoạch kinh doanh, dữ liệu sao lưu,...
- Tài liệu giấy:
  - Tài liệu giấy có giá trị đối với hoạt động. Ví dụ: hợp đồng, thỏa thuận, báo cáo,...
- Vật lý:
  - Phần cứng vật lý hoặc cơ sở vật chất được sử dụng bởi hoạt động của công ty. Ví dụ: máy chủ, chuyển mạch, máy tính xách tay, điện thoại di động, UPS, ổn áp điện, tính gần,...
- Phần mềm:
  - Phần mềm được sử dụng bởi hoạt động của công ty. Ví dụ: ứng dụng, hệ điều hành, tiện ích, công cụ phát triển phần mềm,...
- Dịch vụ:
  - Dịch vụ do các bên thứ ba cung cấp, được sử dụng bởi hoạt động của công ty. Ví dụ: cung cấp điện, cung cấp nước, ISP, bảo vệ an ninh,...
- Con người:
  - Con người có kinh nghiệm, kiến thức và kỹ năng. Ví dụ: nhân viên quản lý, nhân viên thực hiện, cố vấn bên ngoài,...

Xác định CIA

Bảo mật:
- Cấp 3: Thông tin được hạn chế đối với một vài người hoặc vai trò trong các đơn vị kinh doanh chuyên dụng, những người có trách nhiệm duy nhất để sử dụng thông tin. Nếu bị tiết lộ sai, nó sẽ gây tác động đáng kể đến hoạt động của các đơn vị kinh doanh liên quan, nhưng có thể không gây thiệt hại nghiêm trọng hoặc mất mát cho toàn bộ doanh nghiệp.
Toàn vẹn:
- Cấp 3: Lỗi của con người hoặc hành động không có trách nhiệm có thể gây ra tác động thảm khốc đến tính toàn vẹn của thông tin được xử lý.
- Cấp 2: Thông tin không chính xác hoặc không đầy đủ có thể gây ra tác động đáng kể, nhưng không gián đoạn hoạt động kinh doanh của công ty.
- Cấp 1: Sự cố hoạt động hoặc sử dụng không đúng có thể gây ra tác động đáng kể đến tính toàn vẹn của thông tin được xử lý.
Khả năng sử dụng:
- Cấp 3: Lỗi hoặc gián đoạn có thể gây ra tác động nhỏ hoặc không có tác động đến thông tin được xử lý.
- Cấp 2: Lỗi hoặc gián đoạn có thể gây ra tác động nhỏ hoặc không có tác động đến thông tin được xử lý.
- Cấp 1: Lỗi hoặc gián đoạn có thể gây ra tác động nhỏ hoặc không có tác động đến thông tin được xử lý.