Một số thuật ngữ trong an toàn thông tin -

Một số thuật ngữ cơ bản:

• Asset (Tài sản): Bất cứ thứ gì có giá trị với tổ chức, ví dụ thông tin, hệ thống máy tính. Hiểu rõ giá trị, vị trí và mức độ phơi bày của tài sản giúp xác định nguồn lực cần đầu tư để bảo vệ.

• Vulnerability (Lỗ hổng): Điểm yếu trong hệ thống hoặc thiết kế có thể bị khai thác, thường xuất hiện trong giao thức, hệ điều hành hoặc ứng dụng.

• Threat (Mối đe dọa): Nguy cơ tiềm ẩn đối với tài sản. Khi một mối đe dọa khai thác thành công một lỗ hổng, nó trở thành mối nguy hiện hữu. Tác nhân thực hiện gọi là threat agent/vector.

• Countermeasure (Biện pháp đối phó): Biện pháp giảm thiểu rủi ro bằng cách loại bỏ hoặc giảm lỗ hổng, hoặc giảm khả năng bị khai thác.

Các yếu tố cần cân nhắc khi thiết kế mạng an toàn:

• Nhu cầu kinh doanh – Mạng được xây dựng để phục vụ mục tiêu nào?

• Phân tích rủi ro – Cân đối giữa rủi ro và chi phí.

• Chính sách bảo mật – Các tiêu chuẩn, hướng dẫn cần có để đáp ứng yêu cầu kinh doanh và rủi ro.

• Thực tiễn tốt nhất của ngành – Áp dụng các chuẩn mực bảo mật đã được chứng minh.

• Vận hành bảo mật – Gồm phản ứng sự cố, giám sát, bảo trì, và kiểm tra tuân thủ.

Phân loại dữ liệu – nền tảng của bảo mật

Mô hình phân loại thường gặp trong chính phủ/quân đội:

• Unclassified – Không yêu cầu bảo mật cao.

• Sensitive but Unclassified (SBU) – Nhạy cảm, gây xấu hổ nếu lộ, nhưng không ảnh hưởng nghiêm trọng.

• Confidential – Dữ liệu yêu cầu bảo mật ở mức thấp nhất của phân loại.

• Secret – Bảo vệ chặt chẽ, ít người được phép truy cập.

• Top Secret – Bảo vệ nghiêm ngặt nhất, chi phí cao, rất ít người được truy cập.

Mô hình phân loại phổ biến trong doanh nghiệp:

• Public – Công khai, ví dụ trên website marketing.

• Sensitive – Tương tự SBU, tiết lộ có thể gây ảnh hưởng uy tín.

• Private – Quan trọng với tổ chức, cần duy trì tính bí mật và chính xác.

• Confidential – Bảo mật cao nhất, như bí mật thương mại, hồ sơ nhân sự.

Các yếu tố quyết định mức phân loại:

• Giá trị: Quan trọng nhất, có thể dựa vào chi phí tạo/lấy dữ liệu, giá trị sở hữu trí tuệ hoặc giá trị với đối thủ.

• Thời gian (Age): Giá trị thay đổi theo thời gian, ví dụ bí mật quân sự sau chiến tranh có thể giải mật.

• Vòng đời hữu ích: Dữ liệu chỉ có giá trị trong một khoảng thời gian nhất định.

• Liên quan cá nhân: Dữ liệu cá nhân thường được bảo vệ đến khi cá nhân đó qua đời.

Vai trò trong hệ thống phân loại:

• Owner (Chủ sở hữu) – Chịu trách nhiệm cuối cùng, phân loại dữ liệu, chọn custodian và định hướng bảo vệ.

• Custodian (Người quản lý) – Thường là IT, thực hiện sao lưu, gắn nhãn, áp dụng kiểm soát bảo mật.

• User (Người dùng) – Không phân loại hay quản lý, nhưng phải tuân thủ quy trình bảo mật khi sử dụng.

Kết luận dành cho cộng đồng MCSA–AZURE–AWS