Chương 2: Mối đe dọa, Điểm yếu và Kiểm soát rủi ro ATTT

1. Các khái niệm cốt lõi

1.1. Mối đe dọa (Threat)

Mối đe dọa là nguyên nhân tiềm ẩn của một sự cố không mong muốn, có thể dẫn đến tổn hại cho hệ thống hoặc doanh nghiệp.

1.2. Điểm yếu (Vulnerability/Weakness)

Là những đặc điểm chưa tốt, thiếu sót hoặc lỗ hổng của tài sản/quyền kiểm soát mà mối đe dọa có thể khai thác.

1.3. Rủi ro (Risk)

Rủi ro là tác động của sự không chắc chắn lên mục tiêu.

graph LR A[Mối đe dọa] -- khai thác --> B[Điểm yếu] B --> C{Rủi ro} C --> D[Hệ quả/Thiệt hại]

Công thức tính hạng mức rủi ro: $Risk Rating = Likelihood (Khả năng xảy ra) \times Severity (Mức độ nghiêm trọng)$

2. Tiêu chí đánh giá rủi ro (Risk Criteria)

2.1. Khả năng xảy ra (Likelihood)

Được chia thành các cấp độ dựa trên tần suất hoặc xác suất:

  • Rare: Hiếm khi (~0%).
  • Unlikely: Khó xảy ra (~10%).
  • Possible: Có thể xảy ra (~20%).
  • Likely: Rất có thể (~30%).
  • Almost Certain: Chắc chắn xảy ra (~100%).

2.2. Tác động (Impact/Severity)

Được định lượng bằng tiền hoặc mức độ ảnh hưởng:

  • Negligible: Không đáng kể (< 100 triệu VNĐ).
  • Minor: Nhỏ (100 - 500 triệu VNĐ).
  • Moderate: Trung bình (500 triệu - 1 tỷ VNĐ).
  • Major: Lớn (1 tỷ - 5 tỷ VNĐ).
  • Catastrophic: Thảm khốc (> 5 tỷ VNĐ).

3. Kiểm toán ATTT theo ISO 27001:2013

3.1. Cấu trúc Phụ lục A (Annex A)

Phụ lục A bao gồm 14 nhóm (Domains) yêu cầu bảo mật. Một số nhóm quan trọng:

DomainTên nhómNội dung chính
A.5Chính sách ATTTQuy định về phê duyệt và công bố chính sách.
A.6Tổ chức ATTTPhân công nhiệm vụ, quản lý thiết bị di động.
A.7An toàn nhân sựĐào tạo, nâng cao nhận thức nhân viên.
A.8Quản lý tài sảnPhân loại thông tin, bàn giao tài sản.
A.9Quản lý truy cậpChính sách mật khẩu, quyền truy cập.
A.11An toàn vật lýKiểm soát ra vào phòng server, cable mạng.
A.12An toàn vận hànhBackup dữ liệu, chống malware, logging.
A.15Quan hệ nhà cung cấpThỏa thuận bảo mật (NDA).

3.2. Công thức phát biểu một phát hiện bảo mật

Khi làm báo cáo kiểm toán, nên áp dụng Công thức 1 (Tỷ lệ 1:1) để đảm bảo tính rõ ràng và thù lao kiểm toán:

4. Các lỗi thường gặp khi phát biểu rủi ro

BỘ 50 CÂU HỎI TRẮC NGHIỆM CHƯƠNG 2

Câu 1. Mối đe dọa (Threat) theo ISO 27000:2018 được định nghĩa là gì?

  • A. Là một lỗ hổng trong phần mềm.
  • B. Là nguyên nhân tiềm ẩn của một sự cố không mong muốn gây tổn hại cho hệ thống.
  • C. Là xác suất một sự kiện xấu xảy ra.
  • D. Là kết quả của việc không có chính sách bảo mật.

Câu 2. Điểm yếu (Vulnerability) được định nghĩa là gì?

  • A. Là một hành động tấn công của hacker.
  • B. Là sự kiện thiên tai gây hỏng hóc thiết bị.
  • C. Là điểm yếu của một tài sản hoặc quyền kiểm soát có thể bị khai thác bởi mối đe dọa.
  • D. Là thiệt hại về tài chính sau sự cố.

Câu 3. Trong ngữ cảnh ATTT, thuật ngữ “Bug” hoặc “Flaw” được hiểu là gì?

  • A. Mối đe dọa.
  • B. Rủi ro.
  • C. Điểm yếu.
  • D. Hệ quả.

Câu 4. Rủi ro (Risk) theo cách hiểu thông thường là sự kết hợp của mấy yếu tố?

  • A. 2 yếu tố.
  • B. 3 yếu tố.
  • C. 4 yếu tố.
  • D. 5 yếu tố.

Câu 5. Công thức định lượng xếp hạng rủi ro (Risk Rating) là gì?

  • A. Likelihood + Severity.
  • B. Likelihood - Severity.
  • C. Likelihood x Severity.
  • D. Likelihood / Severity.

Câu 6. Phát biểu nào sau đây là SAI về cách phát biểu một Mối đe dọa?

  • A. Phải là một mối đe dọa chắc chắn có.
  • B. Thường là một cụm danh từ.
  • C. Phải có cụm từ “có thể” để thể hiện sự bất trắc.
  • D. Không viết thành một câu có chủ ngữ và vị ngữ.

Câu 7. Điểm yếu của con người trong ATTT thường bao gồm yếu tố nào?

  • A. Kiến trúc hệ thống yếu kém.
  • B. Thiếu sót về kiến thức, kỹ năng, kinh nghiệm.
  • C. Cấu tạo vật liệu không bền.
  • D. Năng lực xử lý của CPU thấp.

Câu 8. Cụm từ nào thường xuất hiện trong phát biểu về Điểm yếu?

  • A. Có khả năng xảy ra.
  • B. Không có hoặc thiếu.
  • C. Sẽ dẫn đến thiệt hại.
  • D. Dự kiến xảy ra vào năm sau.

Câu 9. Theo Risk Criteria, mức độ tác động “Thảm khốc” (Catastrophic) tương ứng với giá trị thiệt hại nào?

  • A. 500 triệu - 1 tỷ VNĐ.
  • B. 1 tỷ - 5 tỷ VNĐ.
  • C. > 5 tỷ VNĐ.
  • D. < 100 triệu VNĐ.

Câu 10. Khi phát biểu rủi ro, cụm từ nào thường được sử dụng?

  • A. Chắc chắn hiện diện.
  • B. Đã xảy ra vào ngày hôm qua.
  • C. Có thể xảy ra.
  • D. Là một danh từ cụ thể.

Câu 11. “Nhân viên dùng thiết bị di động cá nhân truy cập mạng doanh nghiệp” là ví dụ của:

  • A. Điểm yếu.
  • B. Mối đe dọa.
  • C. Hệ quả.
  • D. Kiểm soát.

Câu 12. Công thức nào nên được ưu tiên sử dụng khi công bố một phát hiện bảo mật trong kiểm toán?

  • A. 1 Điểm yếu + n Mối đe dọa.
  • B. 1 Điểm yếu + 1 Mối đe dọa + 1 Rủi ro + 1 Khả năng xảy ra + x Hệ quả.
  • C. n Điểm yếu + 1 Rủi ro.
  • D. Chỉ cần nêu Rủi ro.

Câu 13. Lỗi “Phát biểu hệ quả không có con số bị ảnh hưởng” là lỗi thuộc về:

  • A. Điểm yếu.
  • B. Rủi ro.
  • C. Hệ quả/Tác động.
  • D. Mối đe dọa.

Câu 14. Phụ lục A của ISO 27001:2013 có bao nhiêu nhóm (domains) yêu cầu?

  • A. 10 nhóm.
  • B. 12 nhóm.
  • C. 14 nhóm.
  • D. 18 nhóm.

Câu 15. Nhóm A.12 trong Phụ lục A ISO 27001 tập trung vào lĩnh vực nào?

  • A. An toàn nhân sự.
  • B. Quản lý truy cập.
  • C. An toàn vận hành.
  • D. Sự tuân thủ.

Câu 16. Để rà soát và nâng cấp các biện pháp kiểm soát, doanh nghiệp nên đối chiếu ISO 27001 với tài liệu hướng dẫn nào?

  • A. ISO 9001.
  • B. ISO 27002.
  • C. ISO 31000.
  • D. ISO 14001.

Câu 17. Mô hình PDCA (Plan-Do-Check-Act) được áp dụng trong ISO 27001 nhằm mục đích gì?

  • A. Chỉ để đánh giá rủi ro.
  • B. Cải tiến liên tục hệ thống quản lý ATTT (ISMS).
  • C. Để sa thải nhân viên vi phạm.
  • D. Để lập báo cáo tài chính.

Câu 18. Một phát hiện bảo mật có “n Điểm yếu, m Mối đe dọa” sẽ dẫn đến vấn đề gì khi lập biện pháp kiểm soát (Control)?

  • A. Dễ dàng quản lý.
  • B. Khó ánh xạ 1:1 để lập Control tương ứng.
  • C. Giảm chi phí kiểm toán.
  • D. Tăng độ chính xác.

Câu 19. Thuật ngữ SIEM trong giám sát an ninh mạng là viết tắt của?

  • A. Security Information and Event Management.
  • B. System Internal Error Management.
  • C. Secure Information Exchange Model.
  • D. Software Integrity Evaluation Method.

Câu 20. CVE (Common Vulnerabilities and Exposures) là gì?

  • A. Một loại mã độc mới.
  • B. Một tiêu chuẩn của Bộ Tài chính Mỹ.
  • C. Cơ sở dữ liệu công khai về các lỗ hổng bảo mật đã biết.
  • D. Một kỹ thuật tấn công của hacker.

Câu 21. Theo lời khuyên trong bài học, rủi ro sẽ tăng theo yếu tố nào?

  • A. Số lượng máy tính trong doanh nghiệp.
  • B. Số lượng người biết bí mật/điểm yếu của mình.
  • C. Tốc độ đường truyền internet.
  • D. Số lượng phần mềm có bản quyền.

Câu 22. Nhóm yêu cầu A.15 trong ISO 27001 liên quan đến đối tượng nào?

  • A. Nhân viên mới.
  • B. Cơ quan thuế.
  • C. Nhà cung cấp (Suppliers).
  • D. Khách hàng cá nhân.

Câu 23. NDA (Non-Disclosure Agreement) là gì?

  • A. Hợp đồng mua bán thiết bị.
  • B. Thỏa thuận bảo mật thông tin.
  • C. Chứng chỉ an toàn mạng.
  • D. Quy trình sao lưu dữ liệu.

Câu 24. Điểm yếu “Không áp dụng xác thực đa yếu tố (MFA) cho quản trị viên” thuộc nhóm yêu cầu nào?

  • A. A.7 An toàn nhân sự.
  • B. A.9 Quản lý truy cập.
  • C. A.13 An toàn truyền thông.
  • D. A.18 Sự tuân thủ.

Câu 25. “Mối đe dọa có cấu trúc” (Structured threat) thường do đối tượng nào thực hiện?

  • A. Những người nghiệp dư.
  • B. Nhân viên vô ý làm sai.
  • C. Tội phạm mạng có tổ chức, mục đích rõ ràng.
  • D. Thiên tai, lũ lụt.

Câu 26. Sự cố (Incident) khác với Rủi ro (Risk) ở điểm nào?

  • A. Sự cố là rủi ro đã hiện hữu (thực sự xảy ra).
  • B. Rủi ro là sự cố đã kết thúc.
  • C. Không có sự khác biệt.
  • D. Sự cố luôn nhẹ hơn rủi ro.

Câu 27. “Brute force attack” nhắm vào khai thác điểm yếu nào?

  • A. Phòng máy chủ không khóa cửa.
  • B. Hệ thống không có backup.
  • C. Mật khẩu yếu hoặc quy trình quản lý mật khẩu kém.
  • D. Cable mạng bị hỏng.

Câu 28. “Bề mặt tấn công bị mở rộng” là một ví dụ của:

  • A. Mối đe dọa.
  • B. Rủi ro.
  • C. Điểm yếu.
  • D. Kiểm soát.

Câu 29. “Nhân viên gặp sự cố không biết bắt đầu làm gì” là rủi ro do thiếu sót ở nhóm yêu cầu nào?

  • A. A.10 Mật mã.
  • B. A.16 Quản lý sự cố ATTT.
  • C. A.8 Quản lý tài sản.
  • D. A.5 Chính sách ATTT.

Câu 30. Việc sử dụng giao thức Telnet thay vì SSH là một điểm yếu vì?

  • A. Telnet quá đắt tiền.
  • B. Telnet truyền dữ liệu không mã hóa, dễ bị tấn công Man-in-the-middle.
  • C. Telnet không chạy được trên Windows.
  • D. SSH chậm hơn Telnet.

Câu 31. Một sự cố ATTT (Information Security Incident) có thể bao gồm mấy sự kiện?

  • A. Luôn luôn chỉ 1 sự kiện.
  • B. Một hoặc một loạt các sự kiện không mong muốn.
  • C. Tối thiểu 10 sự kiện.
  • D. Không bao gồm sự kiện nào.

Câu 32. Nhóm yêu cầu A.11 (An toàn vật lý và môi trường) bao gồm việc kiểm soát nào sau đây?

  • A. Cài đặt phần mềm diệt virus.
  • B. Kiểm soát ra vào phòng máy chủ (biometric, PIN…).
  • C. Mã hóa email.
  • D. Đào tạo lập trình an toàn.

Câu 33. Rủi ro “Doanh nghiệp bị phạt tiền vì vi phạm bản quyền phần mềm” thuộc domain nào?

  • A. A.12 An toàn vận hành.
  • B. A.18 Sự tuân thủ (Compliance).
  • C. A.9 Quản lý truy cập.
  • D. A.15 Quan hệ nhà cung cấp.

Câu 34. “Hardware Security Module (HSM)” được nhắc đến trong domain nào?

  • A. A.10 Mật mã (Cryptography).
  • B. A.14 Tiếp nhận, phát triển hệ thống.
  • C. A.11 An toàn vật lý.
  • D. A.6 Tổ chức ATTT.

Câu 35. “Mối đe dọa phi cấu trúc” thường có đặc điểm gì?

  • A. Do các tổ chức tình báo thực hiện.
  • B. Có mục tiêu cụ thể và dài hạn.
  • C. Thực hiện bởi những người nghiệp dư và không có mục tiêu cụ thể.
  • D. Chỉ xảy ra thông qua đường vật lý.

Câu 36. Phương pháp STRIDE hoặc OCTAVE dùng để làm gì?

  • A. Để sao lưu dữ liệu.
  • B. Là các khuôn khổ phân loại mối đe dọa (threat classification).
  • C. Để quét virus.
  • D. Để quản trị nhân sự.

Câu 37. Điểm yếu “Mật khẩu ngầm định của thiết bị khi xuất xưởng không thay đổi” gọi là gì?

  • A. Zero-day.
  • B. Factory setting weakness.
  • C. Social engineering.
  • D. Phishing.

Câu 38. “Lỗ hổng zero-day” được hiểu là?

  • A. Lỗ hổng đã có bản vá từ lâu.
  • B. Lỗ hổng mới chưa được nhà sản xuất biết đến hoặc chưa có bản vá.
  • C. Lỗ hổng chỉ xuất hiện vào ngày chủ nhật.
  • D. Một kỹ thuật backup dữ liệu.

Câu 39. Tại sao không nên viết 2 vùng tin (field) có nội dung trùng nhau trong báo cáo rủi ro?

  • A. Để tiết kiệm giấy.
  • B. Vì mỗi vùng tin có vai trò và ý nghĩa riêng, không thay thế cho nhau.
  • C. Vì cơ sở dữ liệu sẽ bị lỗi.
  • D. Vì khách hàng sẽ không hiểu.

Câu 40. “Mục tiêu bảo vệ tính bí mật, toàn vẹn, xác thực của thông tin thất bại” là ví dụ của:

  • A. Điểm yếu.
  • B. Mối đe dọa.
  • C. Hệ quả (Consequences).
  • D. Khả năng xảy ra.

Câu 41. Việc “Thiết lập chế độ cấu hình tự động cập nhật bản vá lỗi” trong sự cố CrowdStrike được coi là:

  • A. Điểm yếu.
  • B. Mối đe dọa.
  • C. Sự kiện tiềm ẩn (Potential event).
  • D. Biện pháp kiểm soát tốt nhất.

Câu 42. “Lây nhiễm mã độc vào thiết bị tường lửa” được phân loại là:

  • A. Điểm yếu.
  • B. Mối đe dọa (Threat).
  • C. Khả năng xảy ra.
  • D. Hệ quả.

Câu 43. Đâu là một công cụ SIEM phổ biến?

  • A. Microsoft Word.
  • B. Splunk.
  • C. Adobe Photoshop.
  • D. Google Drive.

Câu 44. Trong ma trận rủi ro 5x5, nếu Likelihood = 4 và Severity = 3 thì Risk Rating bằng bao nhiêu?

  • A. 7.
  • B. 1.
  • C. 12.
  • D. 0.75.

Câu 45. Nhóm domain A.17 trong ISO 27001 là gì?

  • A. An toàn vận hành.
  • B. Quản lý sự cố.
  • C. ATTT trong quản lý liên tục hoạt động (Business Continuity).
  • D. Mật mã.

Câu 46. Việc “Thiếu sơ đồ mạng (Network diagram)” là lỗi thuộc nhóm nào?

  • A. Mối đe dọa bên ngoài.
  • B. Điểm yếu về hồ sơ/tài liệu (A.12 hoặc A.18).
  • C. Rủi ro về mật mã.
  • D. Hệ quả tài chính.

Câu 47. Cấp độ khả năng xảy ra “Possible” thường tương ứng với xác suất bao nhiêu trong ví dụ?

  • A. 10%.
  • B. 20%.
  • C. 30%.
  • D. 100%.

Câu 48. “Nhân viên sắp nghỉ việc ít quan tâm đến quy trình ATTT” là:

  • A. Điểm yếu.
  • B. Mối đe dọa (Threat).
  • C. Rủi ro.
  • D. Kiểm soát.

Câu 49. “Dây cable mạng đi ngoài trời không có ống bảo vệ” là một:

  • A. Mối đe dọa.
  • B. Điểm yếu.
  • C. Rủi ro.
  • D. Kiểm soát.

Câu 50. Theo slide 102, “Sử dụng phần mềm xử lý ảnh không có bản quyền” là vi phạm điều khoản nào?

  • A. A.5.1.1.
  • B. A.9.3.1.
  • C. A.18.1.2.
  • D. A.11.2.3.

Hy vọng bộ câu hỏi này giúp bạn ôn tập tốt!