banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận việc định hướng Case study: HVA forum và "risk management"  XML
  [Discussion]   Case study: HVA forum và "risk management" 06/08/2010 17:29:09 (+0700) | #31 | 217784
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Quản lý các risk hiện tại hiệu quả nhất không đường nào khác bằng chăm sóc kĩ lưỡng anh Conmale smilie

Chăm sao cho hàng tuần đều có một bài hoặc loạt bài chất lượng cỡ "Ký sự những vụ DoS vào HVA" smilie
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Discussion]   Case study: HVA forum và "risk management" 06/08/2010 17:44:07 (+0700) | #32 | 217786
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]
Em xin được gói gọn câu trả lời là risk ở đây là yếu tố con người, mitigate risks cũng là yếu tốt con người. Như mọi người nói là chú conmale và JAL.
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Discussion]   Case study: HVA forum và "risk management" 06/08/2010 18:56:57 (+0700) | #33 | 217790
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]
@Vikjava & IQ thực ra thì chủ để là Risk chứ không phải là ISMS nhưng mình sẽ trình bày ISMS để mọi người tự nhận xét.

1. Khi nhắc đến ISMS người ta phải nói đến bộ tiêu chuẩn ISO/IEC 27000 series chứ không phải là một riêng một tiêu chuẩn nào cụ thể.
2. Bộ tiêu chuẩn 27000 có 21 tiêu chuẩn, nhưng tư tưởng chính nằm ở ISO/IEC27001 - cải tiến liên tục.
3. Có nhiều đồng chí chỉ tìm hiểu mỗi 27001 rồi phán: quá dễ, không thực tế... xin các đồng chí học hết 21 tiêu chuẩn rồi phán tiếp. Các bác đi tư vấn, xin làm ơn đừng nổ đừng xạo làm mất giá trị của tiêu chuẩn.
Em cũng chưa đủ trình độ để đi kiếm tiền bằng ISMS nên đó là lý do chỉ dám tư vấn miễn phí. Hiểu đầy đủ bộ này thì CISA cũng chỉ là muỗi.

4. Em xin liệt kê bộ tiêu chuẩn ISO 27000 ở đây:

* ISO/IEC 27000 — ISMS Tổng quát và từ vựng
* ISO/IEC 27001 — ISMS Yêu cầu
* ISO/IEC 27002 — Chuẩn mực thực hiện ISM
* ISO/IEC 27003 — Hướng dẫn triển khai ISMS
* ISO/IEC 27004 — Đo lường ISM
* ISO/IEC 27005 — Quản lý rủi ro IS
* ISO/IEC 27006 — Yêu cầu về tổ chức đánh giá và chứng nhận ISMS
* ISO/IEC 27011 — Hướng dẫn ISM cho tổ chức viễn thông.
* ISO 27799 - ISM trong y tế sử dụng ISO/IEC 27002
* ISO/IEC 27007 - Hướng dẫn đánh giá ISMS
* ISO/IEC 27008 - Hướng dẫn cho chuyên gia đánh giá về ISMS controls
* ISO/IEC 27013 - Hướng dẫn tích hợp triển khai ISO/IEC 20000-1 và ISO/IEC 27001
* ISO/IEC 27014 - Khung quản lý IS
* ISO/IEC 27015 - Hướng dẫn ISM cho tài chính và bảo hiểm
* ISO/IEC 27031 - Hướng dẫn mức độ sẵn sàng ICT cho BCM
* ISO/IEC 27032 - Hướng dẫn cybersecurity
* ISO/IEC 27033 - IT network security
* ISO/IEC 27034 - Hướng dẫn application security
* ISO/IEC 27035 - Quản lý security incident.
* ISO/IEC 27036 - Hướng dẫn bảo mật sử dụng trong outsourcing
* ISO/IEC 27037 - Hướng dẫn xác định, thu thập và/hoặc thu nhận và bảo quản các bằng chứng số.

Trong sê ri này có một số tiêu chuẩn không được đề cập (ví dụ ISO27012 cho egovernment) là do nguyên nhân các tiêu chuẩn này chưa định hình, hoặc chưa đủ điều kiện để nâng cấp lên thành tiêu chuẩn do Uỷ ban kỹ thuật của ISO và IEC quyết định.
Ngoài ra hai tiêu chuẩn 27033 và 27034 có các tiêu chuẩn con tương ứng hay còn gọi là các phần như 27033-1, 27034-5.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Discussion]   Case study: HVA forum và "risk management" 07/08/2010 09:03:26 (+0700) | #34 | 217817
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]
5. Làm ISMS bắt đầu từ đâu???
Làm ISMS phải bắt đầu từ việc học từ ngữ (ISO27000) sử dụng trong ISMS để thống nhất cách hiểu, tư duy, diễn đạt và trình bày. Tránh trường hợp một từ bị diễn giải thành nhiều nghĩa lệch lạc. Tuy nhiên, vì lý do thời gian, tiền bạc, và kể cả... kiêu ngạo mà nhiều đơn vị thường bỏ qua bước này.
Câu trả lời thông thường khi người tư vấn yêu cầu triển khai học về từ vựng là: "Cái này dễ, để tự đọc là được rồi" nhưng thực tế không mấy ai đọc. Hơn nữa mục đích chính không phải là hiểu từ vựng mà để cho toàn bộ nhân viên có cách hiểu giống nhau.
Chính vì vậy mà khi làm ISMS các đơn vị thường bị thất bại và có tính hình thức vì quan điểm và cách hiểu của mỗi người, mỗi cấp trong tổ chức là khác nhau. Những người mới vào cũng không được học nên dần dần khi mà turnover của employee cao thì cách tư duy và định hướng không còn được như ban đầu.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Discussion]   Case study: HVA forum và "risk management" 07/08/2010 09:50:22 (+0700) | #35 | 217822
tungdang
Member

[Minus]    0    [Plus]
Joined: 05/08/2010 22:06:34
Messages: 1
Offline
[Profile] [PM]

H3x4 wrote:
...

-Chỉ có 1 người duy nhất nằm quyền "sinh sát" cho hva.
...

 


Bạn có thể giải thích rõ hơn về cái nắm quyền "sinh sát" này được không? Ý bạn là người đó có những khả năng gì?
[Up] [Print Copy]
  [Discussion]   Case study: HVA forum và "risk management" 07/08/2010 10:21:23 (+0700) | #36 | 217823
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]

louisnguyen27 wrote:
5. Làm ISMS bắt đầu từ đâu???
Làm ISMS phải bắt đầu từ việc học từ ngữ (ISO27000) sử dụng trong ISMS để thống nhất cách hiểu, tư duy, diễn đạt và trình bày. Tránh trường hợp một từ bị diễn giải thành nhiều nghĩa lệch lạc. Tuy nhiên, vì lý do thời gian, tiền bạc, và kể cả... kiêu ngạo mà nhiều đơn vị thường bỏ qua bước này.
Câu trả lời thông thường khi người tư vấn yêu cầu triển khai học về từ vựng là: "Cái này dễ, để tự đọc là được rồi" nhưng thực tế không mấy ai đọc. Hơn nữa mục đích chính không phải là hiểu từ vựng mà để cho toàn bộ nhân viên có cách hiểu giống nhau.
Chính vì vậy mà khi làm ISMS các đơn vị thường bị thất bại và có tính hình thức vì quan điểm và cách hiểu của mỗi người, mỗi cấp trong tổ chức là khác nhau. Những người mới vào cũng không được học nên dần dần khi mà turnover của employee cao thì cách tư duy và định hướng không còn được như ban đầu. 

Đọc qua một số tài liệu em cũng biết 1 số khái niệm về ISMS (Một hệ thống quản lý thông tin bảo mật). Có vẻ nó thiên về quản lý nhiều hơn là kĩ thuật phải không anh.
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Discussion]   Case study: HVA forum và "risk management" 07/08/2010 10:23:00 (+0700) | #37 | 217824
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]

tungdang wrote:

H3x4 wrote:
...

-Chỉ có 1 người duy nhất nằm quyền "sinh sát" cho hva.
...

 


Bạn có thể giải thích rõ hơn về cái nắm quyền "sinh sát" này được không? Ý bạn là người đó có những khả năng gì? 

Em nghĩ anh nói thế có vẻ không khách quan nắm. Vì HVA là một tổ chức nên "Chỉ có 1 người duy nhất nằm quyền "sinh sát" cho hva." không được phù hợp cho nắm.
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Discussion]   Case study: HVA forum và "risk management" 07/08/2010 10:49:39 (+0700) | #38 | 217830
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Nếu xét đến "risk management" một cách thuần tuý, bất cứ một thể trạng nào cũng có giá trị (ở giới hạn và điều kiện nào đó) và bởi thế cũng có "risk". Risk ở đây là hiểm hoạ có thể biến đổi hoặc huỷ hoại giá trị đó. Khi xét đến HVA, một diễn đàn có số thành viên khá đông và có lịch sử hiện diện trên mạng khá lâu thì hiểm hoạ ấy có thể là:

1. Sự gián đoạn (dài hoặc ngắn).
2. Sự thay đổi tính chất (giá trị).
3. Sự chấm dứt (vĩnh viễn).

Từ ba "hiểm hoạ" tổng quát trên, mình có thể khai triển chi tiết của từng cái để từ đó mới có thể hình thành được phương hướng và phương pháp "mitigate" cho thích hợp. Những thảo luận trong chủ đề này cho đến nay đã đề cập đến 3 "hiểm hoạ" trên nhưng chưa hệ thống hoá lại cho sâu sát. Ví dụ,

1. Sự gián đoạn (dài hoặc ngắn): Do đâu có gián đoạn (khách quan và chủ quan), những khả năng có thể tác động đến sự gián đoạn là gì? (e.g. bị cúp điện, bị đứt cáp mạng, hết tiền trả tiền thuê máy chủ, lỡ tay gõ shutdown -h now, disk bị chết, quản lý bị.. mua chuộc smilie.... ).

2. Sự thay đổi tính chất (giá trị): tính chất thay đổi thế nào được xem là nguy hại? Do đâu có những thay đổi này? (e.g. bị xâm nhập CSDL và bị flood thông điệp phá hoại, bị deface, bị thành viên flood rác, bị thay đổi từ diễn đàn kỹ thuật thành diễn đàn xã hội để... tám..... ).

3. Sự chấm dứt (vĩnh viễn): do đâu có tình trạng này? (e.g. chẳng còn ai muốn có hva hiện diện nữa, trọn bộ tên miền, máy chủ, csdl... đều bị mất....).

Mỗi dạng "hiểm hoạ" ở trên có thể có cả chục, cả trăm hoặc thậm chí cả ngàn khả năng. Khi hình thành được danh sách khả năng, lúc ấy mới xếp loại "rất có thể xảy ra" (most likely happening) đến "ít có thể xảy ra" (least likely happening).

Sau khi hình thành xong bảng đánh giá này rồi mới có thể đi đến phương án và biện pháp "mitigate". Sau khi hình thành được các biện pháp "mitigate" (từ đơn giản nhất, ít tốn kém nhất đến phức tạp nhất và bảo đảm nhất) rồi mới có thể chọn ra những biện pháp tốt nhất và hợp lý nhất.

Tóm lại:

xác định các hiểm hoạ --> xác định các khả năng có thể xảy ra --> sắp xếp khả năng cao đến thấp ---> hình thành các biện pháp khắc phục --> chọn lựa các biện pháp khả thi và thích hợp nhất.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Case study: HVA forum và "risk management" 07/08/2010 12:05:14 (+0700) | #39 | 217838
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]
@jino_hoang Mới nhìn vào thì ISMS thiên về quản lý, nhưng càng đi sâu vào chi tiết thì càng nhiều vấn đề kỹ thuật. Bắt đầu từ 27011 trở đi gần như kỹ thuật rất nhiều. Đặc biệt chỉ riêng 27033 và 27034 nó chứa một loạt 14 tiêu chuẩn con.
Mặc dù nó không hướng dẫn là phải làm như thế nào nhưng nó yêu cầu là phải đảm bảo. Mà để đảm bảo thì kỹ thuật phải rất vững.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Discussion]   Case study: HVA forum và "risk management" 07/08/2010 17:59:39 (+0700) | #40 | 217854
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]
Như vậy thì để nắm vững được nó cũng cần rất nhiều thứ. Cái này có vẻ ít người biết, em nghĩ anh lên mở một topic về vấn đề này cho em và mọi người quan tâm có thể trao đổi và học hỏi. Như vậy sẽ tập hợp được nhiều kinh nghiệm cũng như tránh làm loãng topic của chú conmale!
Thân !
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Discussion]   Case study: HVA forum và "risk management" 07/08/2010 21:28:41 (+0700) | #41 | 217865
[Avatar]
louisnguyen27
Member

[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

conmale wrote:

1. Sự gián đoạn (dài hoặc ngắn).
2. Sự thay đổi tính chất (giá trị).
3. Sự chấm dứt (vĩnh viễn).
 

Em mở rộng thêm phần của anh một chút.
Đánh giá risk bao gồm 2 phần, một phần là qualitative và phần khác là quantitative. Trong 3 cái risk anh conmale trình bày thì cái đầu tiên là quantitative vì thời gian gián đoạn là measurable, cái risk thứ hai là qualitative. Cái risk thứ 3 thực ra là một trường hợp đăc biệt của cái risk thứ 2 và thứ 1.
Hai cái risk này có một sự tương quan qua lại: một sự gián đoạn có thể làm thay đổi tính chất giá trị và ngược lại sự thay đổi tính chất giá trị có thể làm gián đoạn hệ thống.

Đi sâu hơn vào chi tiết các yêu cầu sau phải xem xét:
- Cấu trúc tổ chức (vai trò và hoạt động của admin và mod - đó là câu hỏi tại sao 1 người thì khác gì 2 người cho H3x4, 1 người thì có thể tạo ra risk 1 nhưng 2 người có thể tạo ra risk 2).
- Quản lý tài sản (kể cả tài sản vô hình hay hữu hình - vấn đề newbieproit đề cập - chu kỳ sống của một phần cứng, một kỹ thuật hay một phần mềm cần được phân tích và đánh giá, khó nhất là có thể dự báo được công nghệ hay kỹ thuật thay thế).
- Nguồn nhân lực (năng lực của admin mod, trong trường hợp các min hiện tại đều về vườn thì khả năng thay đổi tính chất và giá trị rất lớn)
- Môi trường và các yếu tố vật lý
- Trao đổi thông tin và quản lý hoạt động (Hoạt động của các min và mod, phòng thủ cho HVA, phần này 100% là kỹ thuật)
- Access control (Cái này thể hiện ở việc các elite hoặc mod được truy cập vào các khu vực sâu hơn).

1. Trong một cái Risk lớn sẽ có những cái risk nhỏ hơn và xác suất để cái risk nhỏ đó trở thành cái risk lớn.
2. Khi phân tích các risk phải có cái nhìn bao quát và toàn diện.
3. Việc khai triển từ cái risk lớn xuống cái risk nhỏ hơn sẽ được tiếp tục cho đến khi các risk con là có khả năng kiểm soát được tức là các control có tính thực tế.



Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Discussion]   Case study: HVA forum và "risk management" 13/08/2010 04:00:18 (+0700) | #42 | 218256
[Avatar]
St Konqueror
Member

[Minus]    0    [Plus]
Joined: 08/12/2007 00:47:39
Messages: 229
Offline
[Profile] [PM]

conmale wrote:

1. Sự gián đoạn (dài hoặc ngắn).
2. Sự thay đổi tính chất (giá trị).
3. Sự chấm dứt (vĩnh viễn).

1. Sự gián đoạn (dài hoặc ngắn): Do đâu có gián đoạn (khách quan và chủ quan), những khả năng có thể tác động đến sự gián đoạn là gì? (e.g. bị cúp điện, bị đứt cáp mạng, hết tiền trả tiền thuê máy chủ, lỡ tay gõ shutdown -h now, disk bị chết, quản lý bị.. mua chuộc smilie.... ).

2. Sự thay đổi tính chất (giá trị): tính chất thay đổi thế nào được xem là nguy hại? Do đâu có những thay đổi này? (e.g. bị xâm nhập CSDL và bị flood thông điệp phá hoại, bị deface, bị thành viên flood rác, bị thay đổi từ diễn đàn kỹ thuật thành diễn đàn xã hội để... tám..... ).

3. Sự chấm dứt (vĩnh viễn): do đâu có tình trạng này? (e.g. chẳng còn ai muốn có hva hiện diện nữa, trọn bộ tên miền, máy chủ, csdl... đều bị mất....).

 


Cháu nghĩ là risk 3 chỉ có thể xuất hiện khi có risk 2. Bởi vì diễn đàn hay user group có bản chất là nơi trao đổi thông tin. Để chấm dứt vĩnh viễn sự tồn tại của chúng thì chỉ có thể là do bản thân chúng không còn mang những giá trị cốt lõi, không còn chứa đựng những thông tin mà các thành viên cần trao đổi. Khi đó, nhu cầu cho sự tồn tại của chúng không còn nữa và chúng sẽ tự diệt vong.

Còn các vấn đề như mất trọn bộ cơ sở hạ tầng, thậm chí lực lượng quản lí gặp trục trặc với luật pháp hay tệ hơn là bị đặt ra ngoài vòng luật pháp đi nữa thì có thể chỉ gây ra risk 1, đó là gián đoạn tạm thời (theo thời gian dài hoặc ngắn).

Do vậy, nếu xét trong trường hợp HVA, thì cháu nghĩ điều quan trọng nhất là HVA phải gắn bó với những giá trị cốt lõi của chính nó. Ví dụ như đảm bảo việc thi hành nội quy một cách chặt chẽ và định hướng các chủ đề thảo luận đi theo đường lối chung.

Regards.
-stk
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|