Nội dung Gợi Ý kiểm tra giữa kỳ An toàn thông tin | An toàn thông tin | Đại học Công nghiệp Thành phố Hồ Chí Minh

Nội dung Gợi Ý kiểm tra giữa kỳ An toàn thông tin của Trường Đại học Công nghiệp Thành phố Hồ Chí Minh. Hi vọng tài liệu này sẽ giúp các bạn học tốt, ôn tập hiệu quả, đạt kết quả cao trong các bài thi, bài kiểm tra sắp tới. Mời các bạn cùng tham khảo chi tiết bài viết dưới đây nhé.

Thông tin:
23 trang 3 tháng trước

Bình luận

Vui lòng đăng nhập hoặc đăng ký để gửi bình luận.

Nội dung Gợi Ý kiểm tra giữa kỳ An toàn thông tin | An toàn thông tin | Đại học Công nghiệp Thành phố Hồ Chí Minh

Nội dung Gợi Ý kiểm tra giữa kỳ An toàn thông tin của Trường Đại học Công nghiệp Thành phố Hồ Chí Minh. Hi vọng tài liệu này sẽ giúp các bạn học tốt, ôn tập hiệu quả, đạt kết quả cao trong các bài thi, bài kiểm tra sắp tới. Mời các bạn cùng tham khảo chi tiết bài viết dưới đây nhé.

37 19 lượt tải Tải xuống
lOMoARcPSD|45470368
lOMoARcPSD| 45470368
Nội dung kiểm tra giữa kỳ
Câu 1: Nhận dạng được các mối đe dọa ảnh hưởng đến ATTT của một tổ chức/cá nhân
Câu 2: Giải thích một số vấn đề pháp lý liên quan đến an toàn HTTT
Câu 3: Giải thích được các khái niệm cơ bản về An toàn thông tin, hệ mã hóa
Câu 1: LO1- Nhận dạng được các mối đe dọa ảnh hưởng đến ATTT của một tổ chức/cá nhân
Tình huống 1:
Bạn là một nhân viên thu ngân phí bảo hiểm của công ty bảo hiểm ANZ. Bạn được cấp một máy tính có kết
nối internet phần mềm đthực hiện công việc hàng ngày của mình. Do ít khách hàng nên bạn cũng khá
nhàn rỗi. Những lúc nhàn rỗi, bạn hay dùng máy tính làm việc lên internet để tải game, nhạc, phim về để
giải trí. Các trang web bạn vào hầu như là các trang web không an toàn. Bạn hãy:
(1) Chỉ ra 2 mối đe dọa mà bạn có thể gặp phải trong tình huống trên;
(2) Nêu ra được lý do tại sao có những mối đe dọa đó
(3) Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra
(4) Nêu vài giải pháp khắc phục
1.Hai mối đe dọa mà bạn có thể gặp phải trong tình huống này là:
Máy tính của bạn có thể bị tấn công bởi phần mềm độc hại hoặc virus từ các trang web không
an toàn mà bạn truy cập để tải game, nhạc, phim.
Thông tin cá nhân của bạn, bao gồm tên đăng nhập và mật khẩu, có thể bị lộ ra cho những k
xấu thông qua các trang web không an toàn mà bạn truy cập.
2.Lý do tại sao những mối đe dọa đó do các trang web không an toàn thường chứa phần mềm
độc hại hoặc virus được giấu trong các tệp tải xuống hoặc các quảng cáo độc hại. Bên cạnh đó, những
trang web không an toàn này còn có thể lừa đảo bạn để lấy thông tin cá nhân của bạn bằng cách yêu
cầu bạn nhập thông tin cá nhân hoặc tài khoản ngân hàng.
3.Hậu quả nếu các mối đe dọa đó xảy ra có thể là nghiêm trọng. Nếu máy tính của bạn bị nhiễm virus
hoặc phần mềm độc hại, thể ảnh ởng đến hiệu suất của y tính của bạn, tạo ra các lỗi hệ
thống thậm chí y mất dữ liệu. Nếu thông tin nhân của bạn bị lộ ra, thể bị sử dụng để
gây hại cho bạn, ví dụ như lừa đảo tài chính hoặc trộm danh tính.
4.Một số giải pháp khắc phục có thể bao gồm:
Không truy cập vào các trang web không an toàn và không tải xuống các tệp từ các trang web
không rõ nguồn gốc.
Cài đặt phần mềm chống virus và bảo mật mạng để ngăn chặn các phần mềm độc hại và virus.
Sử dụng mật khẩu mạnh và khác nhau cho từng tài khoản để tránh bị lộ thông tin cá nhân nếu
một tài khoản bị tấn công.
lOMoARcPSD|45470368
Thường xuyên sao lưu dữ liệu quan trọng để tránh mất dữ liệu nếu máy tính bị tấn công.
Tình huống 2:
Bạn trưởng phòng kinh doanh của một công ty lớn. Bạn thường xuyên phân công công việc, theo dõi công
việc các nhân viên thuộc cấp dưới của mình qua hệ thống website của doanh nghiệp. Đồng thời thường xuyên
giao dịch hợp đồng với khách hàng qua email, cũng như báo cáo kết quả công việc cho sếp. Đợt vừa rồi bạn
một chuyến công tác 1 tuần các một số tỉnh. Thật không may mắn, máy laptop m việc của bạn bị
hư đột xuất và không có nơi nào sữa chữa liền được. Để giải quyết các công việc hàng ngày, bạn phải dùng
máy tính công cộng tại các khách sạn mà bạn lưu trú tại nơi công tác.
Bạn hãy:
(1) Chỉ ra 3 mối đe dọa mà bạn hoặc công ty có thể gặp phải trong tình huống trên.
(2) Nêu ra được lý do tại sao có những mối đe dọa đó.
(3) Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra.
(4) Nêu vài giải pháp khắc phục
1.Các mối đe dọa mà bạn hoặc công ty có thể gặp phải trong tình huống trên gồm:
Đánh cắp thông tin nhạy cảm: khi sử dụng máy tính công cộng, thông tin nhân dữ liệu
công ty thể bị đánh cắp thông qua các phần mềm độc hại, độc hoặc các kthuật tấn công
khác.
Lây nhiễm virus: các máy tính công cộng thường là nơi lây nhiễm virus và phần mềm độc hại.
Khi kết nối vào mạng của công ty truy cập thông tin công ty, y tính của bạn thể bị
nhiễm virus và truyền nhiễm cho các máy tính khác trong mạng.
Mất dữ liệu: sử dụng máy tính công cộng ng có nguy cơ mất dữ liệu, do việc y tính này
không được quản lý chặt chẽ hoặc các ứng dụng đã được cài đặt trên đó không được bảo mật.
2.Lý do tại sao những mối đe dọa đó do máy tính công cộng thường không được quản chặt
chẽ, không phần mềm bảo mật hoặc không được cập nhật thường xuyên. Điều y tạo ra lỗ hổng
bảo mật cho máy tính và thông tin trên đó.
3.Hậu quả nếu các mối đe dọa đó thật sự xảy ra thể là nghiêm trọng, gây thiệt hại cho công ty và
cá nhân. Nếu thông tin nhạy cảm bị đánh cắp, công ty có thể bị lộ thông tin về khách hàng, hợp đồng
các thông tin quan trọng khác. Nếu máy tính bị nhiễm virus, toàn bộ mạng của công ty thể bị
lây nhiễm làm gián đoạn các hoạt động kinh doanh. Nếu dữ liệu bị mất, công ty thể mất hết
thông tin quan trọng liên quan đến khách hàng, hợp đồng và các hoạt động kinh doanh.
4.Một số giải pháp khắc phục bao gồm:
Sử dụng VPN: Sử dụng một dịch vụ VPN để kết nối đến mạng riêng ảo của công ty để tăng
cường bảo mật thông tin truyền tải qua mạng.
Sử dụng phần mềm hóa dữ liệu: Sử dụng phần mềm hóa dữ liệu để bảo vệ thông tin
đang truyền tải qua mạng.
Không sử dụng máy tính công cộng để truy cập thông tin nhạy cảm: Tránh sử dụng máy tính
công cộng để truy cập vào các tài khoản nhạy cảm của công ty hoặc thông tin cá nhân.
lOMoARcPSD|45470368
Chỉ sử dụng các trang web đáng tin cậy: Tránh truy cập o các trang web không an toàn
chỉ sử dụng các trang web đáng tin cậy.
Chuyển đổi sang các phương thức liên lạc khác: Nếu không thể sử dụng email để truyền tải
thông tin nhạy cảm, bạn có thể sử dụng các phương thức liên lạc khác như điện thoại hoặc hộp
thư bưu điện.
Sao lưu dữ liệu thường xuyên: Sao lưu dữ liệu của bạn thường xuyên để đảm bảo rằng dữ liệu
quan trọng không bị mất hoặc bị hỏng trong trường hợp y tính của bạn bị hỏng hoặc b
tấn công.
Tình huống 3
Công ty cổ phần Chứng khoán FPT (tên viết tắt: FPTS) là thành viên của Tập đoàn FPT, được cấp phép
thành lập và hoạt động theo Giấy phép của y ban Chứng khoán Nớc cấp ngày 13/7/2007. Ngành nghề
kinh doanh chính: Môi giới chứng khoán; Hoạt động tự doanh chứng khoán; vấn đầu chứng khoán;
Bảo lãnh phát hành chứng khoán; Lưu ký và quản lý cổ đông...
1.Ba mối đe dọa:
- Tấn công giả mạo, lừa đảo qua tin nhắn
- Mã độc
- Lấy trộm và đánh cắp dữ liệu
2.Lý do có những mối đe dọa đó:
- Thiếu ý thức trong việc bảo mật cho đội ngũ làm việc, người dùng bị đánh lừa bởi một website giả mạo
gần như giống hệt với website thật.
- Có thể do thiếu cẩn trọng tạo điều kiện cho tội phạm mạng hội tấn công. thể là do nhân viên
sơ ý nhấp vào email giả mạo và vô tình phát tán mã độc khắp hệ thống mạng.
- Lợi dụng vị trí trong tổ chức để thực hiện hành vi phá hoại hoặc bị hack vò hệ thống hoặc sử dụng thiết
bị công cộng.
3.Phân tích hậu quả
- Đánh lừa người dùng, khai thác sự bất tiện của công nghệ bảo mật web. Lấy được các thông tin quan
trọng, mật khẩu các chi tiết thẻ tín dụng bằng cách giả dạng thảnh 1 chủ thể tin cậy trong giao dịch điện
tử. Các giao dịch thường dùng để đánh lừa những người dùng ít đa nghi. Thường được thực hiện qua thư
điện tử hoặc tin nhắn nhanh, yêu cầu người dùng nhập thông tin vào website giả mạo.
- Gây thiệt hại lớn cho cả máy chủ người ng, mức độ phụ thuộc vào mục đích của hacker. Nếu
nhắm vào máy chủ, chúng thể m liệt website hoặc triển khai những nội dung sai lệch. Khách hàng
cũng sẽ gặp vấn đề khi truy cập website.
- Gây ra những tổn thất tài chính nghiêm trọng, nguy bị tống tiền, lừa đảo, chiếm đoạt tài sản, bôi
nhọ và xâm phạm danh dự, nhân phẩm.
lOMoARcPSD|45470368
4.Biện pháp phòng ngừa
- Cần tập trung cảnh giác trước các phương thức tấn công kỷ thuật, cảnh giác với những email lạ, địa
chỉ email không rõ ràng.
+ Không tải tập tin và những đường dẫn đáng ngờ.
+ Đào tạo nhân viên những dấu hiệu nhận biết website/ email giả mạo.
- Sử dụng các công cụ diệt virus để xóa hết thư rác và mã độc trên website.
+ Thay đổi tất cả mật khẩu.
+ Liên hệ với nhà cung cấp dịch vụ lưu trữ web.
+ Cập nhật hoặc tải cài đặt bản sao lưu trên website.
- Hạn chế sử dụng thiết bị công cộng, không nhấn vào các đường link lạ, hạn chế sử dụng wifi công
cộng để đặng nhập vào các tài khoản cá nhân. Hạn chế cho người khác sử dụng thiết bị cá nhân.
Tình huống 4
.Website BẢO HIỂM MANULIFE của Manulife Financial cung cấp các dịch vụ xem danh mục các sản
phẩm đa dạng từ sản phẩm bảo hiểm truyền thống đến sản phẩm bảo hiểm sức khoẻ, giáo dục, liên kết đầu
tư, hưu trí… cho hơn 700.000 khách hàng thông qua đội ngũ đại hùng hậu chuyên nghiệp tại 55 văn
phòng trên 40 tỉnh thành cả nước. Khách hàng có thể chọn lựa, đặt câu hỏi, cần tư vấn hay mua gói bảo hiểm
trực tuyến trên Website. Xem thông tin quyền lợi bảo hiểm, xem hợp đồng bảo hiểm đã mua. Ngoài ra
Website còn giúp cho công ty có thể quản toàn bộ các hoạt động của công ty nquản khách hang,
nhân viên, hợp đồng bảo hiểm,…
(1) Các mối đe dọa đối với hệ thống an toàn thông tin của Website BẢO HIỂM MANULIFE
thểbao gồm:
Tấn công từ hacker: Hacker có thể tấn công vào hệ thống của Website để đánh cắp thông tin cá nhân
của khách hàng hoặc tấn công vào sở dữ liệu của công ty để lấy thông tin về hợp đồng bảo hiểm
hoặc thông tin nhân viên.
Lỗ hổng bảo mật: Có thể xảy ra khi có sự cố về bảo mật thông tin từ phía nhân viên hoặc từ các bên
thứ ba. Việc sử dụng phần mềm lỗi thời hoặc không được cập nhật cũng có thể dẫn đến lỗ hổng bảo
mật.
Sai sót trong quản thông tin: Việc quản thông tin không chặt chẽ thể dẫn đến những sai sót
trong việc lưu trữ và xử lý thông tin cá nhân của khách hàng.
(2) Lý do tại sao có những mối đe dọa đó:
Tấn công từ hacker: Website BẢO HIỂM MANULIFE có chứa thông tin quan trọng và nhạy cảm về
các giao dịch bảo hiểm và thông tin cá nhân của khách hàng. Do đó, nó có thể trở thành mục tiêu của
các kẻ tấn công muốn truy cập vào thông tin đó để lợi dụng cho mục đích xấu.
Lỗ hổng bảo mật: Sự cvề bảo mật thông tin thể xảy ra khi các phần mềm chưa được cập nhật
hoặc khi không có chính sách bảo mật mạnh mẽ để bảo vệ thông tin của khách hàng.
lOMoARcPSD|45470368
Sai sót trong quản thông tin: Việc quản thông tin không chặt chẽ thể dẫn đến những sai sót
trong việc lưu trữxử lý thông tinnhân của khách hàng. Nếu thông tin cá nhân của khách hàng
bị lộ ra ngoài, điều này có thể gây thiệt hại cho uy tín của công ty và sự tin tưởng của khách hàng.
3) Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra:
Nếu các mối đe dọa đối với hệ thống an toàn thông tin xảy ra, hệ thống bảo mật của Website BẢO
HIỂM MANULIFE thể bị tấn công thông tin khách hàng cũng như các hoạt động của công ty
thể bị đánh cắp hoặc lộ ra ngoài. Điều y thể dẫn đến những hậu quả nghiêm trọng như mất
tiền của khách hàng, thiệt hại về uy tín của công ty, pháp lý, và mất lòng tin của khách hàng.
(4) Biện pháp phòng ngừa:
Nâng cao kiến thức bảo mật của nhân viên khách hàng: Đào tạo giáo dục nhân viên và khách
hàng về những mối đe dọa bảo mật thông tin, cách phòng tránh, cập nhật những kthuật bảo mật
mới, và những hành động cần thiết khi phát hiện có sự xâm nhập vào hệ thống.
Sử dụng các giải pháp bảo mật: Sử dụng các giải pháp bảo mật hiện đại như tường lửa (firewall), phần
mềm chống virus, hóa dữ liệu (encryption), định danh hai lớp (two-factor authentication), để ngăn
chặn các cuộc tấn công vào hệ thống của Website BẢO HIỂM MANULIFE.
Tăng cường giám sát phát hiện sớm các mối đe dọa: Sử dụng các giải pháp giám sát hệ thống
(monitoring) để phát hiện sớm các hoạt động bất thường hoặc sự xâm nhập của hacker, và đưa ra các
biện pháp khắc phục ngay lập tức.
Thực hiện đánh giá rủi ro thường xuyên: Đánh giá thường xuyên c rủi ro bảo mật thông tin để
biện pháp bảo vệ phù hợp, phòng tránh được các mối đe dọa tiềm ẩn đảm bảo an toàn cho hệ thống
của Website BẢO HIỂM MANULIFE.
: LO2- Giải thích một số vấn đề pháp lý liên quan đến an toàn HTTT
Tình huống 1:
Để kiếm thêm thu nhập, bạn A đã tự tạo ra một website thương mại điện tử để bán thêm các quần áo, đồ
dùng cá nhân, mỹ phẩm, thực phẩm chức năng,… được chị của bạn A xách tay từ Nhật. Bạn A không đăng
giấy phép kinh doanh cũng như đăng webite với cơ quan có thẩm quyền. Ngoài ra, các hình ảnh quảng
cáo các sản phẩm, bạn A vào các trang web khác lấy về và đăng tải lên trang thương mại điện tử của mình.
(1) Dựa vào các bộ luật bạn đã học, hãy phân tích hành vi vi phạm của bạn A (hướng dẫn: chỉ ra các
hành vi vi phạm, hành vi đó đã vi phạm các khoản nào của điều khoản nào trong bộ luật nào? Trình
bày nội dung điều khoản luật đó. Thực hiện phân tích để thấy được vi phạm như thế nào? Phân tích
hậu quả nếu như vi phạm)
(2) Nếu bạn là bạn A thì bạn sẽ phải làm gì để không vi phạm các điều khoản luật mà vẫn đạt được mục
tiêu đặt ra.
(3) Bạn y cho nhận xét vtình hình chung về việc vi phạm tương tự A ở Việt Nam, đề xuất một số giải
pháp để giảm các hành vi vi phạm này.
(1)
Hành vi 1: vi phạm của bạn A không đăng giấy phép kinh doanh cũng như đăng website với
quan có thẩm quyền.
Việc không đăng ký giấy phép kinh doanh vi phạm Điều 5 Luật Doanh nghiệp năm 2020, đặc biệt là khoản
2 quy định “Mọi tổ chức, cá nhân làm thương mại phải đăng ký kinh doanh theo quy định của pháp luật”.
lOMoARcPSD|45470368
Việc không đăng website với quan có thẩm quyền vi phạm Điều 28 Luật Điện tử năm 2015, đặc biệt
là khoản 2 quy định “Doanh nghiệp, tổ chức, nhân hoạt động trên mạng phải đăng ký tên miền thông
tin cá nhân trên trang quản lý tên miền của Cục quản lý tên miền, tên miền quốc gia Việt Nam”.
Hành vi 2:
lấy hình ảnh quảng cáo sản phẩm từ các trang web khác cũng vi phạm quyền sở hữu trí tuệ.
Việc lấy hình ảnh quảng cáo sản phẩm từ các trang web khác vi phạm quy định v hành vi cm trong hot
động qung cáo Căn cứ theo điểm b khon 3 và khoản 8 Điều 34 Ngh định 38/2021/NĐ-CP quy định
...
b) Qung cáo có s dng hình nh, li nói, ch viết của cá nhân khi chưa được cá nhân đó đồng ý, tr
trường hợp được pháp lut cho phép.
Hậu quả của các hành vi vi phạm y thể là bị phạt tiền Pht tin t 20.000.000 đồng đến 40.000.000
đồng hoặc bị xử lý hành chính, thể bị thu hồi vốn và đình chỉ hoạt động kinh doanh. Ngoài ra, nếu bị kiện,
bạn A có thể bị phải bồi thường cho các bên bị tổn thất do hành vi vi phạm của mình.
(2) Nếu tôi bạn A, tôi sẽ đăng giấy phép kinh doanh đăng website với quan thẩm quyền.
Tôi cũng sẽ m cách mua bản quyền hình ảnh hoặc chụp ảnh sản phẩm của chính mình để đăng tải lên trang
thương mại điện tử.
(3).Để giảm các hành vi vi phạm như trường hợp của bạn A, chính phủ cần có các chính sáchcơ chế quản
lý thương mại điện tử để đảm bảo rằng các doanh nghiệp hoạt động trong lĩnh vực này tuân thủ các quy định
pháp luật.
Đặt các quy định cụ thể cho hoạt động thương mại điện tử và áp dụng chúng một cách nghiêm ngặt.
Tăng cường giám sát và kiểm tra các hoạt động thương mại điện tử để phát hiện và xử lý các hành vi
vi phạm.
Thúc đẩy đăng kinh doanh cho các doanh nghiệp thương mại điện tử để đảm bảo rằng họ hoạt
động hợp pháp và đóng góp vào ngân sách nhà nước.
Hỗ trợ và đào tạo cho các doanh nghiệp thương mại điện tử để họ thể hoạt động hiệu quả và tuân
thủ các quy định pháp luật.
Tóm lại, việc kiểm soát và quản lý các hoạt động thương mại điện tử đang là một vấn đề quan trọng đối với
Việt Nam và nhiều quốc gia khác. Để giảm các hành vi vi phạm, chính phủ cần có các chính sách và cơ chế
quản thương mại điện tử hiệu quả và áp dụng chúng một cách nghiêm ngặt. Các doanh nghiệp thương mại
điện tử cũng cần có ý thức và tuân thủ các quy định pháp luật Tình huống 2:
Hơn 14.000 điện thoại Việt Nam đã bị một công ty nhân nghe lén. Các điện thoại y bị theo dõi tin
nhắn, danh bạ, ghi âm cuộc gọi, định vị điện thoại, quay phim, chụp ảnh... Nghiêm trọng hơn, toàn bộ dữ
liệu được gửi về máy chủ của công ty này. Kết quả thanh tra đã khiến người sử dụng điện thoại ở Việt Nam
cảm thấy lo lắng.
Đoàn thanh tra liên ngành gồm thanh tra Sở Thông tin Truyền thông Nội, phòng Cảnh sát phòng chống
tội phạm sử dụng công nghệ cao - PC50 của Công an Hà Nội đã thanh tra tại công ty TNHH công nghệ Việt
Hồng quận Thanh Xuân, Nội phát hiện công ty này kinh doanh phần mềm Ptraker. Đây phần mềm
giúp người dùng có thể xem tin nhắn, danh bạ, ghi âm cuộc gọi, định vị điện thoại, quay phim, chụp ảnh, bật
lOMoARcPSD|45470368
- tắt 3G/GPRS của điện thoại bị giám sát. Thậm chí người sử dụng còn thể ra lệnh điều khiển từ xa điện
thoại bị cài Ptracker bằng cách nhắn tin tới điện thoại này.
(1) Dựa vào các luật bạn đã học, y phân tích hành vi vi phạm của công ty (hướng dẫn: chỉ ra các
hành vi vi phạm, hành vi đó đã vi phạm các khoản nào của điều khoản nào trong bộ luật o? Trình
bày nội dung điều khoản luật đó. Thực hiện phân tích để thấy được vi phạm như thế nào? Phân tích
hậu quả nếu như vi phạm)
(2) Hãy bạn hiểu như thế nào về điều khoản luật này? Nếu bạn là chủ doanh nghiệp thì bạn sẽ quyết định
gì về phần mềm này
(3) Bạn hãy tìm hiểu và trình y hiện nay những phần mềm/trang mạng hội o thông tin
nhân người dùng có thể bị sử dụng bất hợp pháp?
1/
Hành vi vi phạm của công ty TNHH công nghệ Việt Hồng cung cấp phần mềm Ptracker để nghe
lén điện thoại của người dùng không được sự đồng ý của họ. Hành vi này đã vi phạm các khoản
sau đây của pháp luật Việt Nam:
Điều 21 của Bộ luật Hình sự năm 2015 quy định về việc xâm phạm mật thông tin: "Ai trái phép
xâm phạm bí mật thông tin của cá nhân, tổ chức thì sẽ bị phạt từ 6 tháng đến 5 năm tù."
Điều 292 của Bộ luật Hình sự năm 2015 quy định về việc sử dụng trái phép thiết bị điện tử, truyền
thông: "Ai sử dụng trái phép thiết bị điện tử, truyền thông sẽ bị phạt tiền từ 10.000.000 đến
50.000.000 đồng hoặc phạt tù từ 3 tháng đến 3 năm."
Công ty TNHH công nghệ Việt Hồng đã vi phạm các điều luật trên khi cung cấp phần mềm Ptracker
để nghe lén điện thoại của người dùng mà không được sự đồng ý của họ. Việc này có thể gây ra hậu
quả nghiêm trọng cho sự riêng tư và an ninh thông tin của người dùng.
2/
Điều khoản luật liên quan đến việc bảo vệ mật thông tin một phần quan trọng trong việc đảm
bảo quyền riêng tư của công dân. Nếu tôi là chủ doanh nghiệp, tôi sẽ không cho phép sử dụng bất k
phần mềm nào để nghe lén điện thoại của người dùng mà không được sự đồng ý của họ. Tôi sẽ đảm
bảo rằng doanh nghiệp của tôi tuân thủ đầy đủ các quy định của pháp luật và không thực hiện bất k
hành vi vi phạm nào.
3/Hiện nay, nhiều phần mềm/trang mạng hội được sử dụng để thu thập thông tin nhân của
người dùng một cách bất hợp pháp. Sau đây là một số ví dụ:
Facebook: Facebook là một trong những mạng xã hội phổ biến nhất thế giới và có hơn 2 tỷ người dùng trên
toàn cầu. Tuy nhiên, trong những năm gần đây, Facebook đã bị cáo buộc vi phạm quyền riêng tư của người
dùng. Một số dụ bao gồm việc bị lộ thông tin nhân của người dùng cho các bên thứ ba, việc thu thập
dữ liệu trái phép qua ứng dụng Facebook Messenger việc theo dõi hoạt động của người dùng một cách
bất hợp pháp.
Zoom: Zoom một ng dụng họp trực tuyến phổ biến được sử dụng trong các cuộc họp lớp học trực
tuyến. Tuy nhiên, Zoom đã bị cáo buộc vi phạm quyền riêng tư của người dùng bằng cách thu thập thông tin
của họ một cách bất hợp pháp và chia sẻ thông tin này với các bên thứ ba.
TikTok: TikTok là một ứng dụng chia sẻ video ngắn được sử dụng rộng rãi trên toàn cầu. Tuy nhiên, TikTok
đã bị cáo buộc thu thập thông tin nhân của người dùng một cách bất hợp pháp, bao gồm cả thông tin về
lOMoARcPSD|45470368
vị trí danh bạ của người dùng. Ngoài ra, TikTok cũng bị cáo buộc chia sẻ thông tin y với các bên thứ
ba.
Google: Google là công ty công nghệ lớn nhất thế giới và cung cấp nhiều dịch vụ trực tuyến, bao gồm công
cụ tìm kiếm, email bản đồ. Tuy nhiên, Google đã bị cáo buộc vi phạm quyền riêng của người dùng
bằng cách thu thập thông tin cá nhân của họ một cách bất hợp pháp và chia sẻ thông tin này với các bên thứ
ba.
Tình huống 4:
Một sinh viên ngành CNTT rất đam công việc của một bác y tính chuyên cứu hộ các máy tính bị
tấn công bởi các độc, phân tích các mối đe dọa của một hệ thống thông tin để từ đó cài đặt các cơ chế
phù hợp đgiảm thiểu các rũi ro cho hệ thống thông tin đó. vậy, sinh viên này thường xuyên vào các diễn
dàn để tìm hiểu, học hỏi các kỹ thuật tấn công, các mã độc, các kỹ thuật tìm kiếm các lỗ hỏng của các công
nghệ,… Sau đó thực hiện thử nghiệm hết tất cả các kỹ thuật đã học hỏi vào bất cứ hệ thống thông tin bất k
mà mình thích. Kết quả đến nay đã thử nghiệm thành công rất nhiều công cụ và kỹ thuật đã học hỏi làm
nhiều y tính, cũng như website của nạn nhận lao đao các thử nghiệm y. Ngoài ra trong một lần tấn
công thử nghiệm, người y đã sao chép được rất nhiều thông tin bảo mật của hệ thống này. Sau đó người
này đem các thông tin này đăng tải lên các diễn đàn công cộng như là chiến tích của cá nhân mình.
(1) Dựa vào Bộ luật an ninh mạng, bạn y chỉ ra sinh viên trong tình huống trên đã vi phạm những
khoản nào trong bộ luật? Trình bày nội dung điều khoản luật đó ra.
(2) Bạn hãy phân tích chi tiết nội dung của điều khoản luật này.
(3) Giả sử bạn nhân viên làm việc trong ngành CNTT, bạn y đưa ra giải thích ít nhất 3 do tại
sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng.
(1) Sinh viên trong tình huống trên đã vi phạm các khoản sau đây trong Bộ luật an ninh mạng:
Điều 6: Cấm hành vi xâm nhập trái phép vào hệ thống thông tin, đồng thời cấm hành vi phá hoại, thay đổi,
sao chép, lưu trữ, phát tán trái phép thông tin trên hệ thống thông tin.
Điều 8: Cấm hành vi tấn công mạng, bao gồm tấn công phủ định dịch vụ, tấn công chèn mã độc, tấn công sử
dụng phần mm độc hại, tấn công giả mạo, tấn công m kiếm lỗ hỏng bảo mật trên hệ thống mạng. Điều 11:
Cấm hành vi đăng tải, truyền tải, chia sẻ, lưu trữ thông tin vi phạm pháp luật, gây hậu quả nghiêm trọng đến
an ninh, trật tự, an toàn xã hội.
Điều 14: Cấm nh vi tạo ra, phát tán hoặc sử dụng phần mềm độc hại, công cụ tấn công mạng hoặc các
công cụ phá hoại hệ thống thông tin khác.
Điều 19: Cấm nh vi khai thác thông tin bí mật, thông tin cá nhân của cá nhân, tổ chức trên mạng một cách
trái phép.
(2) Điều 6, 8, 11, 14 và 19 của Bộ luật an ninh mạng được thiết lập để bảo vệ an ninh, trật tự, an toàn xãhội,
ngăn chặn các hành vi m nhập trái phép vào hệ thống thông tin, tấn công mạng, sao chép, lưu trữ,
truyền tải thông tin bí mật hoặc cá nhân một cách trái phép. Việc vi phạm những điều khoản này sẽ bị xử
lý hình sự theo quy định của pháp luật.
(3) có thể tham khảo ý của tình huống 9
Tránh vi phạm pháp luật: Luật an ninh mạng chứa đựng nhiều quy định hạn chế để bảo vệ quyền lợi
sự riêng tư của người dùng mạng. Vi phạm các điều khoản y có thể dẫn đến hậu quả pháp lý nghiêm trọng.
Do đó, nắm rõ các điều khoản trong luật an ninh mạng là rất quan trọng để đảm bảo tuân thủ pháp luật.
lOMoARcPSD|45470368
Bảo vệ an toàn thông tin: Luật an ninh mạng ng bao gồm các quy định vbảo vệ thông tin dữ liệu.
Nhân viên CNTT cần nắm rõ các quy định y để đảm bảo an toàn cho dữ liệu thông tin của công ty và
khách hàng. Việc nắm rõ các quy định về bảo mật cũng giúp người m việc có thể đưa ra các giải pháp phù
hợp để bảo vệ thông tin.
Hỗ trợ tối đa cho công việc của công ty: Nhân viên CNTT cần hiểu rõ các quy định trong luật an ninh mạng
để thể hỗ trcông ty trong việc đảm bảo an toàn thông tin và phòng chống các vấn đề an ninh mạng. Việc
nắm các quy định cũng giúp cho người làm việc thể đưa ra các giải pháp phù hợp đúng đắn cho
công ty. Tình huống 5
Một website cung cấp dịch vụ giải trí miễn phí cho người dùng. Người dùng muốn truy cập vào các dịch vụ
của website phải đăng ký tài khoản. Khi đăng ký tài khoản, người dùng phải cung cấp thông tin cá nhân như
họ tên, địa chỉ nhà, email, số điện thoại…. Website không thông báo cho người dùng biết thông tin cá nhân
của họ được dùng để làm gì. Website này thu thập thông tin người dùng để bán cho các nhà quảng cáo.
(1) Hãy cho biết hành vi của website trên có vi phạm pháp luật không? Nếu có, hãy cho biết hành vi trên
vi phạm những điều khoản nào của những luật nào?
(2) Bạn hãy trình bày và phân tích chi tiết nội dung của điều khoản luật này.
(3) Giả sử bạn nhân viên làm việc trong ngành CNTT, bạn y đưa ra giải thích ít nhất 3 do tại
sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng.
1/Hành vi của website trên là vi phạm pháp luật. Nó vi phạm các điều khoản của Luật An ninh mạng và Luật
Bảo vệ quyền lợi người tiêu dùng.
Về Luật An ninh mạng: Website không thông báo cho người dùng biết thông tin cá nhân của họ được
sử dụng để làm gì, đây là vi phạm nội dung điều 18 của Luật An ninh mạng. Ngoài ra, việc thu thập
thông tin người dùng để bán cho các nhà quảng cáo cũng là vi phạm điều 19 của Luật An ninh mạng
về bảo vệ thông tin cá nhân.
Về Luật Bảo vệ quyền lợi người tiêu dùng: Website cung cấp dịch vụ giải trí miễn phí nhưng lại thu
thập thông tin người dùng một cách trái phép để bán cho các nhà quảng cáo, đây là vi phạm nội dung
điều 8 của Luật Bảo vệ quyền lợi người tiêu dùng.
2/Điều 18 và điều 19 của Luật An ninh mạng quy định như sau:
Điều 18: Trong trường hợp thu thập, sử dụng, xử lý, lưu trữ thông tin cá nhân của người dùng mạng,
cơ quan, tổ chức, cá nhân phải thông báo với người dùng về mục đích, phạm vi thu thập, sử dụng, xử
lý, lưu trữ thông tin và thời gian lưu trữ thông tin.
Điều 19: Bảo vệ thông tin cá nhân của người dùng mạng là trách nhiệm của quan, tổ chức, nhân
thu thập thông tin nhân. quan, tchức, nhân không được tiết lộ, chuyển nhượng hoặc sử
dụng thông tin nhân của người dùng mạng cho mục đích khác ngoài mục đích đã thông báo đến
người dùng trước khi thu thập thông tin cá nhân hoặc khi người dùng đồng ý. 3.Giốống tình huốống
trên
Tình huống 6
Khi ông A đi thăm người thân bệnh viện đã chụp hình trong phòng bệnh đăng trên Facebook.
Trong hình mà ông A đã đăng trên Facebook hình của bà B là bệnh nhân khác trong phòng bệnh.
B không muốn người khác biết mình đang nẳm viện nên gọi điện thoại yêu cầu ông A không được
đưa hình ảnh của mình trên Facebook. Ông A từ chối yêu cầu của B cho rằng mình toàn
quyền với hình ảnh mà mình đã chụp.
(1) Hành vi của ông A vi phạm pháp luật không? Nếu có, ông A đã vi phạm điều khoản nào
của luật nào? Nếu B gởi đơn khiếu nại cho cơ quan có thẩm quyền thì ông A sẽ bị xử phạt
tại điều khoản nào của luật nào?
(2) Bạn hãy trình bày và phân tích chi tiết nội dung của điều khoản luật này.
lOMoARcPSD|45470368
(3) Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ragiải thích ít nhất 3
do tại sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng.
Câu 1.1:
ng A đã vi phạm pháp luật Việc sử dụng hình ảnh, thông tin cá nhân của người khác để đăng tải
lên mạng xã hội không có sự đồng ý của người hình ảnh xâm phạm đến quyền cá nhân đối
với hình ảnh và được pháp luật bảo vệ tại Điều 32 Bộ luật Dân sự năm 2015.
-Căn cứ Điều 32 Bộ luật Dân sự 2015 theo đó, người có hành vi tự ý chụp ảnh, quay và sử dụng hình
ảnh mà không có sự đồng ý của người khác nếu xâm phạm đến nhân phẩm, danh dự của người đó thì
được coi là hành vi vi phạm pháp luật.
Điều 32 Bộ luật Dân sự năm 2015.
1. Cá nhân có quyền đối với hình ảnh của mình.
Việc sử dụng hình ảnh của cá nhân phải được người đó đồng ý.
Việc sử dụng hình ảnh của người khác vì mục đích thương mại thì phải trả thù lao cho người có hình
ảnh, trừ trường hợp các bên có thỏa thuận khác.
2. Việc sử dụng hình ảnh trong trường hợp sau đây không cần sự đồng ý của người hình ảnhhoặc
người đại diện theo pháp luật của họ:
a) Hình ảnh được sử dụng vì lợi ích quốc gia, dân tộc, lợi ích công cộng;
b) Hình ảnh được sử dụng từ các hoạt động công cộng, bao gồm hội nghị, hội thảo, hoạt động thiđấu
thể thao, biểu diễn nghệ thuật hoạt động công cộng khác không làm tổn hại đến danh dự,
nhân phẩm, uy tín của người có hình ảnh.
3. Việc sử dụng hình ảnh vi phạm quy định tại Điều này thì người có hình ảnh có quyền yêu cầu
Tòa án ra quyết định buộc người vi phạm, quan, tổ chức, nhân liên quan phải thu hồi, tiêu
hủy, chấm dứt việc sử dụng hình ảnh, bồi thường thiệt hại và áp dụng các biện pháp xử lý khác theo
quy định của pháp luật.
Câu 1.2:
Nếu bà B gởi đơn khiếu nại cho cơ quan có thẩm quyền thì ông A sẽ bị xử phạt tại điều 101 của nghị
định 15/2020/NĐ-CP. Điều 101. Vi phạm các quy định về trách nhiệm sử dụng dịch vụ mạng xã hội
- Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi tự ý chụp ảnh đăng tải hình
ảnh người khác lên mạng hội chưa được sự cho phép, xâm phạm đến quyền nhân đối với
hình ảnh.
3.Giốống tình huốống trên
Tình huống 7
Lợi dụng lúc A không nhà, những người bạn của A đã vào trang facebook nhân của A chụp ảnh lại
các đoạn tin nhắn nội dung liên quan những người bạn y. Sau đó, những người bạn của A phát tán
lên mạng các đoạn tin nhắn này kèm theo những lời lẽ xúc phạm A.
(1) Những người bạn của A vi phạm pháp luật không? Nếu có, y cho biết vi phạm điều
khoản nào của Luật nào? Những người bạn của A sẽ bị xử lý như thế nào theo điều khoản nào
trong luật nào?
(2) Bạn hãy trình bày và phân tích chi tiết nội dung của điều khoản luật này.
(3) Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ra và giải thích ít nhất 3 lý
do tại sao bạn cần nắm các một số điều khoản luật trong luật an ninh mạng. Câu hỏi thảo
luận 2 1:
Những người bạn của A có vi phạm pháp luật
Vi phạm "Điều 611. Thiệt hại do danh dự, nhân phẩm, uy tín bị xâm phạm của Bô lu t dân sự qu
định: Nội dung:
lOMoARcPSD|45470368
1. Thiệt hại do danh dự, nhân phẩm, uy tín của cá nhân bị xâm phạm, thiệt hại do danh dự, uy tín của
pháp nhân, chủ thể khác bị xâm phạm bao gồm: a) Chi phí hợp lý để hạn chế, khắc phục thiệt hại;
b) Thu nhập thực tế bị mất hoặc bị giảm sút.
2. Người m phạm danh dự, nhân phẩm, uy tín của người khác phải bồi thường thiệt hại theo quy
định tại khoản 1 Điều này và một khoản tiền khác để bù đắp tổn thất về tinh thần mà người đó gánh
chịu. Mức bồi thường bù đắp tổn thất về tinh thần do các bên thoả thuận; nếu không thoả thuận
được thì mức tối đa không quá mười tháng lương tối thiểu do Nhà nước quy định."
Vi phạm "Điều 38. Quyền bí mật đời tư
1. Quyền bí mật đời tư của cá nhân được tôn trọng và được pháp luật bảo vệ.
2. Việc thu thập, công bố thông tin, liệu về đời của nhân phải được người đó đồng ý;
trongtrường hợp người đó đã chết, mất năng lực hành vi dân sự, chưa đủ mười lăm tuổi thì phải
được cha, mẹ, vợ, chồng, con đã thành niên hoặc người đại diện của người đó đồng ý, trừ trường
hợp thu thập, công bố thông tin, tư liệu theo quyết định của cơ quan, tổ chức có thẩm quyền.
3. Thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được bảo đảm antoàn
và bí mật.
Việc kiểm soát ttín, điện thoại, điện tín, các hình thức thông tin điện tử khác của nhân được
thực hiện trong trường hợp pháp luật quy định phải quyết định của quan nhà nước
thẩm quyền."
thế hành vi y thể xem đã xâm phạm vào quyền nhân thân của bạn, Nghị định 174/2013/NĐ-
CP quy định:
"Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau đây:
g) Cung cấp, trao đổi, truyền đưa hoặc lưu trữ, sử dụng thông tin số nhằm đe dọa, quấy rối, xuyên tạc,
vu khống, xúc phạm uy tín của tổ chức, danh dự, nhân phẩm, uy tín của người khác;"
2
Những người bạn của A sẽ bị xử lý kỹ luât hoặc xử lý theo vi phạm hành chính và phạt tiền theo quy
định của pháp luật tự ý xâm phậm o quyền riêng nhân của A, phát tán xúc phạm A. -
Căn cứ theo quy định tại Điều 159 Bộ luật Hình sự 2015 quy định vtội xâm phạm mật hoặc an
toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng khác của người khác theo
đó:
Trường hơp hành vi xâm phạm mật hoặc an toàn thư tín, điện thoại, điện tín, telex, fax hoặc
hình thức trao đổi thông tin riêng khác của người khác đã bị xử k luật hoặc xử phạt vi phạm
hành chính về nh vi này n vi phạm, tbị phạt cảnh cáo, phạt tiền từ 20.000.000 đồng đến
50.000.000 đồng hoặc phạt cải tạo không giam giữ đến 03 năm.
- Căn cứ Điều 155 Bộ luật Hình sự 2015 được sửa đổi bởi điểm e khoản 2 Điều 2 Luật sửa đổi Bộ
luật Hình sự 2017 quy định về tội làm nhục người khác như sau:
"1. Người nào xúc phạm nghiêm trọng nhân phẩm, danh dự của người khác, thì bị phạt cảnh cáo, phạt
tiền từ 10.000.000 đồng đến 30.000.000 đồng hoặc phạt cải tạo không giam giữ đến 03 năm. 3.Giốống
tình huốống trên
Tình huống 8
Công ty B đã đăng bảo hộ kiểu dáng công nghiệp nhãn hiệu tại Cục sở hữu trí tuệ Việt Nam
cho sản phẩm X đang được bán trên thị trường. Nhưng hiện nay trên mạng đã có loại sản phẩm tương
tự từ mẫu mã, đến tên nhãn hiệu được bán bởi một công ty khác ở nước ngoài.
(1) Nếu một công ty C nhập sản phẩm tương tự với sản phẩm X từ công ty nước ngoài về tiêu th
trong nước, công ty C vi phạm Luật sở hữu trí tuệ không? Nếu có, y cho biết vi phạm
lOMoARcPSD|45470368
điều khoản nào của Luật sở hữu trí tuệ? Công ty C sẽ bị xử lý như thế nào theo điều khoản nào
trong luật?
(2) Bạn hãy trình bày và phân tích chi tiết nội dung của điều khoản luật này.
(3) Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ragiải thích ít nhất 3
do tại sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng
(1) Công ty C sẽ thể vi phạm Luật sở hữu trí tuệ của Việt Nam. Cụ thể, việc nhập khẩu và tiêu thụ
sản phẩm tương tự với sản phẩm X của Công ty B sẽ thể xâm phạm đến quyền sở hữu kiểu
dáng công nghiệp và nhãn hiệu đã được đăng ký bảo hộ của Công ty B tại Việt Nam.
Điều 4: Quyền sở hữu công nghiệp quyền sở hữu trí tuệ khác được bảo vệ theo pháp luật. Người
sở hữu có quyền yêu cầu bảo vệ quyền sở hữu của mình.
Điều 143: Điều kiện để được bảo hộ kiểu dáng công nghiệp.
Theo điều 146 Luật sở hữu trí tuệ của Việt Nam, việc sử dụng n, đánh dấu hoặc nhãn hiệu giống
hoặc như nhãn hiệu đã được đăng ký bảo hộ của người khác hoặc giữ kiểu dáng sản phẩm của người
khác trong các trường hợp không được phép sẽ bị xử phạt hành chính hoặc bị truy cứu trách nhiệm
hình sự nếu hành vi này có tính chất vi phạm pháp luật nghiêm trọng.
Do đó, nếu Công ty C nhập khẩu và tiêu thụ sản phẩm tương tự với sản phẩm X của Công ty B trong
khi sản phẩm này đã được đăng bảo hộ kiểu dáng công nghiệp nhãn hiệu tại Việt Nam, Công
ty C thể bxử phạt hành chính phải chịu trách nhiệm hình sự nếu vi phạm pháp luật nghiêm
trọng.
Tình huống 9
Trưa 13/11/2017, Nguyễn Văn T. mua vé xem phim “Cô Ba Sài Gòn” ở rạp Lottle Cinema Vũng Tàu. T. đã
dùng điện thoại quay livestream nội dung phim đang chiếu lên Facebook.
(1) Hãy cho biết hành vi của Nguyễn Văn T. có vi phạm Luật sở hữu trí tuệ không? Nếu có, hãy cho biết
Nguyễn Văn T. đã vi phạm điều nào của Luật sở hữu trí tuệ và sẽ bị xử lý như thế nào theo điều nào
trong luật?
(2) Bạn hãy trình bày và phân tích chi tiết nội dung của điều khoản luật này.
(3) Giả sử bạn nhân viên làm việc trong ngành CNTT, bạn y đưa ra giải thích ít nhất 3 do tại
sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng.
(1)
Hành vi của Nguyễn Văn T. đã vi phạm Luật sở hữu trí tuệ đã vi phạm những điều khoản của Luật sở hữu
trí tuệ sau:
+ Khoản 6 Điều 28: Hành vi xâm phạm quyền tác giả.
+ Khoản 5 Điều 35: Hành vi xâm phạm các quyền liên quan.
- Tùy thuộc vào thiệt hại mà nhà sản xuất phải đối mặt với hành vi livestream, quay lén mà chủ thể thực hiện
sẽ bị xử phạt hành chính theo Điều 18 Nghị định 131/2013/NĐ-CP được sửa đổi bổ sung bởi Nghị định
28/2017/NĐ-CP quy định về hành vi xâm phạm quyền sao chép tác phẩm hoặc truy cứu trách nhiệm hình sự
theo Điều 225 Bộ luật hình sự 2015 (sửa đổi, bổ sung năm 2017) quy định về tội m phạm quyền tác giả,
quyền liên quan.
(2) Bạn hãy trình bày và phân tích chi tiết nội dung của điều khoản luật này.
- Điều 28: Hành vi xâm phạm quyền tác giả
+ Sao chép tác phẩm mà không được phép của tác giả, chủ sở hữu quyền tác giả, trừ trường hợp quy định tại
điểm a và điểm đ khoản 1 Điều 25 của Luật này. - Điều 35: Hành vi xâm phạm các quyền liên quan
lOMoARcPSD|45470368
+ Sao chép, trích ghép đối với cuộc biểu diễn đã được định hình, ban ghi âm, ghi hình, chương trình phát
sóng mà không được phép của người biểu diễn, nhà sản xuất bản ghi âm, ghi hình, tổ chức phát sóng - Điều
18 Nghị định 131/2013/NĐ-CP được sửa đổi bổ sung bởi Nghị định 28/2017/NĐ-CP quy định về hành
vi xâm phạm quyền sao chép tác phẩm
+ Phạt tiền 15-35 triệu đồng đối với hành vi sao chép bản ghi âm, ghi hình mà không được phép của chủ sở
hữu quyền của nhà sản xuất bản ghi âm, ghi hình.
lOMoARcPSD|45470368
Downloaded by Trang Mai (trang1201@gmail.com)
+ Ngoài bị phạt tiền, người vi phạm còn bị áp dụng biện pháp khắc phục hậu quả buộc gỡ bỏ bản sao bản
ghi âm, ghi hình dưới hình thức điện tử, trên môi trường mạng và kỹ thuật số hoặc buộc tiêu hủy tang vật vi
phạm.
- Điều 225 Bộ luật hình sự 2015 (sửa đổi, bsung năm 2017) quy định về tội xâm phạm quyền tác giả,
quyền liên quan.
Người nào không được phép của chủ thể quyền tác giả, quyền liên quan cố ý thực hiện một trong các
hành vi sau đây, xâm phạm quyền tác giả, quyền liên quan đang được bảo hộ tại Việt Nam với quy
thương mại hoặc thu lợi bất chính từ 50.000.000 đồng đến dưới 300.000.000 đồng hoặc gây thiệt hại cho
chủ thể quyền tác giả, quyền liên quan từ 100.000.000 đồng đến dưới 500.000.000 đồng hoặc hàng hóa vi
phạm trị giá từ 100.000.000 đồng đến dưới 500.000.000 đồng, thì bị phạt tiền từ 50.000.000 đồng đến
300.000.000 đồng hoặc phạt cải tạo không giam giữ đến 03 năm: a) Sao chép tác phẩm, bản ghi âm, bản ghi
hình;
b) Phân phối đến công chúng bản sao tác phẩm, bản sao bản ghi âm, bản sao bản ghi hình
(3) Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ra và giải thích ít nhất 3 lý do
tại sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng.
1. Đảm bảo quyền lợi của mình trên không gian mạng. Trong luật an ninh mạng ghi rằng an ninh
mạnglà sự bảo đảm hoạt động trên không gian mạng không gây hại đến an ninh quốc gia, trật tự, an toàn xã
hội, quyền và lợi ích hợp pháp của quan, tổ chức, nhân. Chính vậy hiểu luật an ninh mạng
chính là bảo về quyền và lợi ích của mình trong quá trình tham gia vào không gian mạng.
2. sở pháp cho những tranh chấp xảy ra trên không gian mạng. Không gian mạng cũng giống
ngoàithế giới thực đều nguy xảy ra các tranh chấp bất bình trong quá trình m việc với nhau,
vậy luật an ninh mạng ra đời để đảm bảo được những quy tắc quy định của chính phủ luôn được tuân
thủ nghiêm ngặt và công bằng nhất trong mọi tình huống.
3. -Nhằm thay đổi các nh vi xử sự không mong muốn thiết lập các hành vi xử sự phù hợp, để
mọingười biết được cái nào tốt, cái o xấu, cái nào ảnh hưởng đến bản thân người khác. Giúp cho mọi
người có cái nhìn đúng đắn nhất về an ninh mạng, từ đó sẽ có những biện pháp phòng chống tội phạm mạng.
Tình huống 10
Sinh viên A thực tập tại công ty chuyên cung cấp phần mềm ERP cho doanh nghiệp, sinh viên y được giao
nhiệm vụ hỗ trợ một nhân viên chính thức của công ty cùng tham gia bảo trì một hệ thống ERP cho một
doanh nghiệp hoạt động trong lĩnh vực sản xuất cung cấp thiết bị văn phòng. Do vậy, sinh viên A dễ dàng
tiếp cận danh sách các công ty cung cấp nguồn nguyên liệu cho doanh nghiệp y. Trong một lần trò chuyện,
sinh viên A đã vô tình tiết lộ các công ty cung cấp nguồn nguyên liệu với sinh viên B đang thực tập tại công
ty đối thủ.
(1) Vậy sinh viên A đã vi phạm nguyên tắc nào của bộ quy tắc ứng xử ACM?
(2) Trình bày chi tiết nguyên tắc trên?
(3) Giả sử bạn nhân viên làm việc trong ngành CNTT, bạn y đưa ra giải thích ít nhất 3 do tại
sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng.
Sinh viên A đã vi phạm nguyên tắc của bộ quy tắc ứng xử ACM về việc bảo vệ quyền riêng tư và thông tin
cá nhân của người khác.
Nguyên tắc yêu cầu các nhà khoa học máy tính các chuyên gia liên quan phải bảo vệ quyền riêng
thông tin nhân của người khác. Cụ thể, nguyên tắc y đề cập đến việc tránh việc thu thập thông tin
nhân không cần thiết, bán hoặc chia sẻ thông tin cá nhân của người dùng cho bất kỳ mục đích nào mà không
có sự đồng ý của họ, hoặc sử dụng thông tin cá nhân để gây hại cho người dùng hoặc các bên liên quan.
Câu 3: LO 3 - Giải thích được các khái niệm bản vAn toàn thông tin, hệ mã hóa
lOMoARcPSD|45470368
1. An toàn thông tin là gì? Tại sao một doanh nghiệp cần phải các biện pháp khác nhau để đảm bảotính
an toàn thông tin của doanh nghiệp?
2. Hệ thống thông tin gì? Hãy cho dụ một hệ thống thông tin bạn biết. Đưa ra dữ
liệu/thôngtin/chức năng nào cần đảm bảo an toàn, nêu lý do
3. Tam giác CIA là gì? Nêu mối tương quan giữa C, I, A
4. Vulnerability (lổ hỏng) - Threat (mối nguy/mối đe dọa) - Risk (rủi ro) là gì? Nêu mối tương quangiữa
3 yếu tố đó
5. Tấn công (Attack) an toàn thông tin là gì? Ai có thể trở thành kẻ tấn công (Attacker)?
6. Mã độc (Malware) là gì? Nêu các loại mã độc? Cho ví dụ về một tình huống bị tấn công mã đôjc
7. Tấn công mật khẩu gì? Cho dụ về một tình huống bị tấn công. Cách phòng chống tấn công
mậtkhẩu?
8. Tấn công backdoor là gì? Cho ví dụ về một tình huống bị tấn công. Cách phòng chống?
9. Tấn công từ chối dịch vụ (DoS, DDoS) là gì? Cho dụ về một trường hợp bị tấn ng. Cách
phòngchống?
10.Tấn công Social Engineering là ? Cho ví dụ về một tình huống bị tấn công. Cách phòng chống?
11.“Theo dõi sự tuân thủ (Monitor for Compliance)” một trong 10 bước triển khai ISP. Bạn y phân
tích để thấy được tại sao cần có “theo dõi sự tuân thủ” trong khi triển khai ISP của một doanh nghiệp.
Theo doi su tuan tu la gi?
Tai sao phai theo doi su tuan thu?
Neu ko ko theo doi su tuan thu thi hau qua nhu the nao?
12.“Hiệu chỉnh chính sách (Modify Policy)” là một trong 10 bước triển khai ISP. Bạn y phân tích để
thấy được tại sao cần có “hiệu chỉnh chính sách” trong khi triển khai ISP của một doanh nghiệp.
13.”Đánh giá tính hiệu quả (Evaluate Effectiveness)” là một trong 10 bước triển khai ISP. Bạn hãy phân
tích để thấy được tại sao cần “Đánh giá tính hiệu quả” trong khi triển khai ISP của một doanh
nghiệp.
14.”Nhận thức và tập huấn (Awareness & Training)” một trong 10 bước triển khai ISP. Bạn hãy phân
tích để thấy được tại sao cần “Nhận thức tập huấn” trong khi triển khai ISP của một doanh
nghiệp.
lOMoARcPSD|45470368
lOMoARcPSD|45470368
Phần 3
1/
An toàn thông tin việc bảo vệ thông tin khỏi các mối đe dọa như tấn công từ các hacker, virus y tính,
lỗi cơ sở dữ liệu và lỗi con người. Điều này đảm bảo rằng thông tin của một tổ chức được bảo vệ và không
bị đánh cắp, sửa đổi hoặc tiết lộ cho những người không được phép. Doanh nghiệp cần có các biện pháp
khác nhau để đảm bảo tính an toàn thông tin của mình nếu thông tin của họ bị đánh cắp hoặc lộ ra ngoài
thì họ có thể mất tiền bạc, danh tiếng và khách hàng. Họ cũng thể bị phạt nếu thông tin nhân của khách
hàng bị lộ ra. Do đó, các biện pháp an toàn thông tin đóng vai trò quan trọng trong việc đảm bảo hoạt động
bền vững của doanh nghiệp.
2/
Hệ thống thông tin là tập hợp các thành phần khác nhau, bao gồm phần mềm, phần cứng, mạng và dữ liệu,
được tổ chức để xử lý và lưu trữ thông tin. Ví dụ về một hệ thống thông tin là hệ thống quản lý khách hàng
của một cửa hàng bán lẻ. Hệ thống này chứa thông tin về các khách hàng, sản phẩm đã mua và lịch sử mua
hàng.
Trong hệ thống y, dữ liệu của khách hàng là một trong những mục cần phải được đảm bảo an toàn. Điều
này làthông tin cá nhân của khách hàng, chẳng hạn như tên, địa chỉ và số điện thoại, được lưu trữ trong
hệ thống và có thể bị lộ ra ngoài nếu hệ thống không được bảo vệ tốt. Việc đảm bảo an toàn thông tin sẽ giúp
đảm bảo tính riêng tư của khách hàng và tránh các rủi ro pháp lý cho doanh nghiệp.
3/
Tam giác CIA là một khái niệm được sử dụng trong an ninh mạng và bảo mật thông tin. CIA là viết tắt của
Confidentiality (tính bảo mật), Integrity (tính toàn vẹn) Availability (tính khả dụng). Tam giác CIA đề
cập đến các mục tiêu chính trong việc bảo vệ thông tin hệ thống của một tổ chức. Các yếu tố y liên
quan chặt chẽ với nhau: tính bảo mật được đảm bảo bằng cách giữ cho thông tin bí mật; tính toàn vẹn được
đảm bảo bằng cách đảm bảo thông tin không bị sửa đổi hoặc thay đổi; và tính khả dụng được đảm bảo bằng
cách đảm bảo rằng thông tin và hệ thống có thể truy cập được.
4/
Vulnerability (lổ hỏng) điểm yếu trong hthống hoặc quy trình thbị khai thác. Threat (mối
nguy/mối đe dọa) là một tình huống hoặc sự kiện có khả năng y hại cho hệ thống hoặc thông tin của một
tổ chức. Risk (rủi ro) là mức độ tổn thất có thể xảy ra do mối đe dọa khai thác lỗ hổng. Mối tương quan giữa
ba yếu tố này là: lỗ hổng tạo ra mối đe dọa, mối đe dọa có thể được khai thác để gây ra rủi ro.
5/
Tấn công an toàn thông tin sự vi phạm tính bảo mật của hệ thống hoặc thông tin, nhằm tiết lộ, thay đổi
hoặc phá hủy thông tin. Một kẻ tấn công thể một hacker, một tên trộm thông tin hoặc một nhân viên
bên trong với mục đích gian lận hoặc phá hủy thông tin. 6/
Malware (độc) một phần mềm được thiết kế để xâm nhập hoặc tấn công hệ thống hoặc thiết bị của
người dùng không được sự cho phép của người dùng. Các loại độc bao gồm virus, worm, trojan,
ransomware, spyware, adware, và rootkit.
Ví dụ về một tình huống bị tấn công mã độc là khi một người dùng tải xuống một phần mềm độc hại từ một
trang web bị nhiễm virus, làm cho hệ thống của họ bị lây nhiễm và đe dọa đến tính bảo mật và toàn vẹn của
thông tin trên hệ thống. Mã độc thể thu thập thông tin nhạy cảm của người dùng gửi về cho kẻ tấn công
hoặc phát tán virus và worm đến các hệ thống khác.
lOMoARcPSD|45470368
7/
Tấn công mật khẩu quá trình m kiếm hoặc đoán đúng mật khẩu của một tài khoản đăng nhập vào hệ
thống để truy cập trái phép. Một tình huống dụ về tấn công mật khẩu là khi một hacker sử dụng phương
pháp Brute Force để thử hàng loạt các mật khẩu khác nhau cho một tài khoản đăng nhập vào một hệ thống,
để tìm ra mật khẩu đúng và có thể truy cập vào hệ thống đó.
Để phòng chống tấn công mật khẩu, các tổ chức thể sử dụng các biện pháp như cài đặt chính sách mật
khẩu mạnh, sử dụng phương pháp xác thực hai yếu tố, tăng cường việc giám sát và phát hiện các hoạt động
đăng nhập đáng ngờ, đặt giới hạn số lần đăng nhập sai trước khi khoá tài khoản, và đảm bảo mật khẩu được
bảo vệ an toàn và được đổi thường xuyên.
8/Tấn công backdoor là gì? Cho ví dụ về một tình huống bị tấn công. Cách phòng chống?
Tấn công backdoor là quá trình cài đặt một cửa sau (backdoor) trên hệ thống của một tổ chức hoặc cá nhân,
để cho phép kẻ tấn công truy cập vào hệ thống đó mà không cần phải qua quá trình xác thực đăng nhập thông
thường. Một ví dụ về tấn công backdoor là khi một hacker cài đặt phần mềm độc hại trên một hệ thống, cho
phép kẻ tấn công có thể truy cập vào hệ thống đó từ xa và kiểm soát hệ thống đó.
Để phòng chống tấn công backdoor, các tổ chức thể sử dụng các biện pháp nsử dụng phần mềm bảo
mật chống virus và malware, giám sát hệ thống để phát hiện các hoạt động đáng ngờ, và cập nhật các bản
bảo mật cho các lỗ hổng của hệ thống.
9/Tấn công từ chối dịch vụ (DoS, DDoS) gì? Cho dụ về một trường hợp bị tấn công. Cách phòng chống?
Tấn công từ chối dịch vụ (Denial of Service - DoS) một loại tấn công mạng một hoặc nhiều kẻ tấn
công cố gắng làm cho một hệ thống hoặc dịch vụ trở nên không khả dụng đối với người dùng bình thường.
Điều này thường được thực hiện bằng cách gửi nhiều yêu cầu đến hệ thống hoặc dịch vụ, gây quá tải
khiến nó không thể xử lý các yêu cầu từ người dùng thực.
Một phiên bản cải tiến của tấn công DoS là tấn công phân tán từ chối dịch vụ (DDoS), trong đó kẻ tấn công
sử dụng một mạng lưới các máy tính đã bị nhiễm virus để gửi hàng loạt yêu cầu đến một hệ thống hoặc dịch
vụ nhằm gây quá tải và khiến nó không thể xử lý các yêu cầu.
dụ về một trường hợp bị tấn công DDoS là khi một trang web của một doanh nghiệp bị tấn công bằng
cách gửi hàng ngàn yêu cầu giả mạo từ một mng lưới botnet, dẫn đến trang web không thể phục vụ các yêu
cầu từ người dùng thực và trở nên không khả dụng trong một thời gian dài.
Để phòng chống tấn công DDoS, các doanh nghiệp có thể triển khai các giải pháp bảo mật như giám sát lưu
lượng mạng, giới hạn số lượng yêu cầu đến từ một địa chỉ IP cụ thể, cung cấp khả năng mở rộng cho các hệ
thống dịch vụ, cài đặt các giải pháp phòng thủ chống lại các cuộc tấn công từ chối dịch vụ, định kỳ
kiểm tra và nâng cấp hạ tầng mạng. 10/
Tấn công Social Engineering một phương thức tấn công nhắm vào con người, thường bằng cách lừa đảo
hay xâm nhập vào tâm lý của nạn nhân để lấy thông tin hoặc tiền bạc.
Ví dụ về một tình huống bị tấn công Social Engineering khi một kẻ tấn công gọi điện đến một nhân viên
trong doanh nghiệp, giả vờ là một quản lý trong công ty và yêu cầu nhân viên đó cung cấp mật khẩu truy cập
vào hệ thống của công ty.
lOMoARcPSD|45470368
Cách phòng chống tấn công Social Engineering bao gồm:
Đào tạo nhân viên nhận biết các hình thức tấn công Social Engineering.
Xây dựng chính sách bảo mật tại công ty và đảm bảo rằng tất cả nhân viên đều tuân thủ các chính sách đó.
Tăng cường cơ chế xác thực và kiểm tra người dùng đối với các yêu cầu truy cập hệ thống quan trọng.
Cập nhật và bảo mật các phần mềm và thiết bị của công ty để đảm bảo tính bảo mật của hệ thống.
Sử dụng các phương tiện công nghệ để phát hiện và ngăn chặn các hình thức tấn công Social Engineering.
11/ “Theo dõi sự tuân thủ (Monitor for Compliance)” là một trong 10 bước triển khai ISP. Bạn hãy phân tích
để thấy được tại sao cần có “theo dõi sự tuân thủ” trong khi triển khai ISP của một doanh nghiệp.
Theo dõi sự tuân thủ là gìi?
Tai sao phải thao dõi sự tuân thủ?
Nếu không theo dõi sự tuân thủ thì hậu quả thế nào?
Theo dõi sự tuân thủ trong triển khai ISP (Information Security Program) của một doanh nghiệp là việc theo
dõi và đánh giá việc thực thi các chính sách, quy trình và tiêu chuẩn bảo mật thông tin được thiết lập. Theo
dõi sự tuân thủ cũng có thể bao gồm việc giám sát các hành vi và hoạt động của nhân viên, đối tác hoặc bên
thứ ba liên quan đến hệ thống thông tin của doanh nghiệp.
Việc thực hiện theo dõi sự tuân thủ là rất quan trọng vì nó giúp đảm bảo rằng các chính sách bảo mật thông
tin của doanh nghiệp được thực thi đúng cách hiệu quả. Nếu không sự theo dõi đánh giá sự tuân
thủ, doanh nghiệp có thể không nhận ra được các vấn đề bảo mật thông tin đang diễn ra hoặc nhận thấy quá
muộn, từ đó dẫn đến rủi ro bảo mật thông tin và tổn thất cho doanh nghiệp.
Nếu không có sự theo dõi sự tuân thủ, doanh nghiệp có thể bị phát hiện vi phạm quy định bảo mật thông tin
bị phạt hoặc mất uy tín. Hơn nữa, việc không sự theo dõi sự tuân thủ thể dẫn đến những hậu quả
nghiêm trọng như mất thông tin quan trọng, bị tấn công bảo mật hoặc gây ra thiệt hại cho doanh nghiệp.
vậy, theo dõi sự tuân thủ một bước quan trọng trong triển khai ISP của một doanh nghiệp, giúp đảm
bảo việc bảo mật thông tin được thực hiện đầy đủ và hiệu quả. 12/
“Hiệu chỉnh chính sách (Modify Policy)” trong 10 bước triển khai ISP gì và tại sao cần nó trong triển
khai ISP của một doanh nghiệp?
Hiệu chỉnh chính sách là quá trình xác định và cập nhật lại các quy định, quy trình và tiêu chuẩn để đảm bảo
tính hiệu quả của chính sách bảo mật thông tin của doanh nghiệp.
Tại sao cần có hiệu chỉnh chính sách trong triển khai ISP của một doanh nghiệp?
Các chính sách bảo mật thông tin được thiết kế để đảm bảo rằng dữ liệu và thông tin của doanh nghiệp được
bảo vệ chặt chẽ, nhưng các chính sách đó phải được cập nhật hiệu chỉnh thường xuyên để đáp ứng với
các thách thức an ninh mới nhất. Việc hiệu chỉnh chính sách bảo mật thông tin giúp cho doanh nghiệp đảm
bảo rằng các quy định, quy trình tiêu chuẩn được thích nghi với môi trường kinh doanh thay đổi các
thách thức an ninh mới nhất, đồng thời giúp tăng cường tính linh hoạt, đáp ứng nhanh chóng với các vấn đề
bảo mật thông tin.
lOMoARcPSD|45470368
Nếu không hiệu chỉnh chính sách, doanh nghiệp thể sẽ sử dụng các chính sách lỗi thời, không
đáp ứng được với các mối đe dọa mới nhất, khiến cho dữ liệu thông tin của doanh nghiệp trở nên dễ bị
tấn công. 13/
Đánh giá tính hiệu quả một bước quan trọng trong quá trình triển khai ISP của một doanh nghiệp
giúp đánh giá xác định sự hiệu quả của các biện pháp bảo mật đã triển khai. Khi đánh giá tính hiệu quả,
doanh nghiệp thể đánh giá được mức đđạt được các mục tiêu bảo mật, đánh giá được sự hiệu quả của
các chính sách và quy trình bảo mật, cũng như đánh giá được mức độ đáp ứng của hệ thống bảo mật với các
yêu cầu quy định liên quan. Đánh gtính hiệu quả giúp doanh nghiệp cải thiện c biện pháp bảo mật
hiện tại và lập kế hoạch cho các biện pháp bảo mật tương lai.
14/
Nhận thức tập huấn một bước quan trọng trong quá trình triển khai ISP của một doanh nghiệp. Bước
này giúp cung cấp kiến thức kỹ năng cần thiết cho nhân viên về các mối đe dọa bảo mật cách phòng
chống chúng, từ đó giúp nâng cao nhận thức và sự hiểu biết của nhân viên về các vấn đề bảo mật. Khi nhân
viên có kiến thức và knăng cần thiết, họ sẽ thể giúp bảo vệ hệ thống và dữ liệu của doanh nghiệp khỏi
các mối đe dọa bảo mật. Tập huấn cũng giúp doanh nghiệp đảm bảo rằng các nhân viên đang tuân thủ các
chính sách quy trình bảo mật của doanh nghiệp. Ngoài ra, bước nhận thức tập huấn còn giúp doanh
nghiệp tạo ra một văn hóa bảo mật tốt, khuyến khích sự tham gia của toàn bộ nhân viên trong việc đảm bảo
an toàn thông tin của doanh nghiệp.
LO1: GIẢI THÍCH SỰ ẢNH HƯỞNG CỦA AN TOÀN HTTT ĐẾN CÁ NHÂN, TỔ CHỨC VÀ XÃ
HỘI Tình huống 8
FPT Software là một công ty phần mềm gia công phần mềm hàng đầu tại Việt Nam. Với các công ty con
văn phòng tại chín quốc gia trên toàn thế giới (Nhật Bản, Hoa Kỳ, Pháp, Đức, Singapore, Malaysia, Úc, Thái
Lan, và Philippines). FPT Software được phục vụ hơn 150 khách hàng toàn cầu. FPT công ty số 1 tại Việt
Nam trong các lĩnh vực Phần mềm, Tích hợp hệ thống, Dịch vụ CNTT, Phân phối và Sản xuất các sản phẩm
CNTT, Bán lẻ sản phẩm CNTT... Ở lĩnh vực viễn thông, FPT là một trong 3 nhà cung cấp dịch vụ viễn thông
cố định và Internet lớn nhất Việt Nam. Ở lĩnh vực nội dung số, FPT hiện là đơn vị Quảng cáo trực tuyến số
1 tại Việt Nam và tự hào sở hữu hệ thống báo điện tử có 42 triệu lượt truy cập mỗi ngày. Ngoài ra, FPT còn
sở hữu khối giáo dục đại học dạy nghề với tổng số gần 16.000 sinh viên và là một trong những đơn vị đào
tạo về CNTT tốt nhất tại Việt Nam.
1) Hãy nêu giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối với công ty/doanh nghiệp được
mô tảở trên
2) Tại sao một doanh nghiệp cần phải các biện pháp khác nhau để đảm bảo tính an toàn thông tin
củadoanh nghiệp?
Bài làm
Câu 1: Bốn tính cần thiết của an toàn hệ thống thông tin đối với công ty/ doanh nghiệp được tả trên: -
Tính bí mật: Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượng không được xác
thực hoặc để lọt vào các hệ thống khác. Vậy tính mật giữ cho khách hàng khi sử dụng thể tuyệt mật
thông tin cá nhân của mình một cách an toàn nhất.
- Tính toàn vẹn: nghĩa rằng dữ liệu không thể bị chỉnh sửa không bị phát hiện. khác với
tính toàn vẹn trong tham chiếu của cơ sở dữ liệu, mặc dù nó có thể được xem như một trường hợp đặc biệt
của tính nhất quán như được hiểu trong hô hình cổ điển ACID (tính nguyên tử (atomicity), tính nhất quán
(consistency), tính tính cách ly (isolation), tính lâu bền (durability) là một tập các thuộc tính đảm bảo rằng
cơ sở dữ liệu đáng tin cậy) của xử lý giao dịch.
| 1/23

Preview text:

lOMoARcPSD| 45470368 lOMoAR cPSD| 45470368
Nội dung kiểm tra giữa kỳ
Câu 1: Nhận dạng được các mối đe dọa ảnh hưởng đến ATTT của một tổ chức/cá nhân
Câu 2: Giải thích một số vấn đề pháp lý liên quan đến an toàn HTTT
Câu 3: Giải thích được các khái niệm cơ bản về An toàn thông tin, hệ mã hóa
Câu 1: LO1- Nhận dạng được các mối đe dọa ảnh hưởng đến ATTT của một tổ chức/cá nhân Tình huống 1:
Bạn là một nhân viên thu ngân phí bảo hiểm của công ty bảo hiểm ANZ. Bạn được cấp một máy tính có kết
nối internet và phần mềm để thực hiện công việc hàng ngày của mình. Do ít khách hàng nên bạn cũng khá
nhàn rỗi. Những lúc nhàn rỗi, bạn hay dùng máy tính làm việc lên internet để tải game, nhạc, phim về để
giải trí. Các trang web bạn vào hầu như là các trang web không an toàn. Bạn hãy: (1)
Chỉ ra 2 mối đe dọa mà bạn có thể gặp phải trong tình huống trên; (2)
Nêu ra được lý do tại sao có những mối đe dọa đó (3)
Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra (4)
Nêu vài giải pháp khắc phục
1.Hai mối đe dọa mà bạn có thể gặp phải trong tình huống này là:
• Máy tính của bạn có thể bị tấn công bởi phần mềm độc hại hoặc virus từ các trang web không
an toàn mà bạn truy cập để tải game, nhạc, phim.
• Thông tin cá nhân của bạn, bao gồm tên đăng nhập và mật khẩu, có thể bị lộ ra cho những kẻ
xấu thông qua các trang web không an toàn mà bạn truy cập.
2.Lý do tại sao có những mối đe dọa đó là do các trang web không an toàn thường chứa phần mềm
độc hại hoặc virus được giấu trong các tệp tải xuống hoặc các quảng cáo độc hại. Bên cạnh đó, những
trang web không an toàn này còn có thể lừa đảo bạn để lấy thông tin cá nhân của bạn bằng cách yêu
cầu bạn nhập thông tin cá nhân hoặc tài khoản ngân hàng.
3.Hậu quả nếu các mối đe dọa đó xảy ra có thể là nghiêm trọng. Nếu máy tính của bạn bị nhiễm virus
hoặc phần mềm độc hại, nó có thể ảnh hưởng đến hiệu suất của máy tính của bạn, tạo ra các lỗi hệ
thống và thậm chí gây mất dữ liệu. Nếu thông tin cá nhân của bạn bị lộ ra, nó có thể bị sử dụng để
gây hại cho bạn, ví dụ như lừa đảo tài chính hoặc trộm danh tính.
4.Một số giải pháp khắc phục có thể bao gồm:
• Không truy cập vào các trang web không an toàn và không tải xuống các tệp từ các trang web không rõ nguồn gốc.
• Cài đặt phần mềm chống virus và bảo mật mạng để ngăn chặn các phần mềm độc hại và virus.
• Sử dụng mật khẩu mạnh và khác nhau cho từng tài khoản để tránh bị lộ thông tin cá nhân nếu
một tài khoản bị tấn công. lOMoARcPSD| 45470368
• Thường xuyên sao lưu dữ liệu quan trọng để tránh mất dữ liệu nếu máy tính bị tấn công. Tình huống 2:
Bạn là trưởng phòng kinh doanh của một công ty lớn. Bạn thường xuyên phân công công việc, theo dõi công
việc các nhân viên thuộc cấp dưới của mình qua hệ thống website của doanh nghiệp. Đồng thời thường xuyên
giao dịch hợp đồng với khách hàng qua email, cũng như báo cáo kết quả công việc cho sếp. Đợt vừa rồi bạn
có một chuyến công tác 1 tuần ở các một số tỉnh. Thật là không may mắn, máy laptop làm việc của bạn bị
hư đột xuất và không có nơi nào sữa chữa liền được. Để giải quyết các công việc hàng ngày, bạn phải dùng
máy tính công cộng tại các khách sạn mà bạn lưu trú tại nơi công tác. Bạn hãy: (1)
Chỉ ra 3 mối đe dọa mà bạn hoặc công ty có thể gặp phải trong tình huống trên. (2)
Nêu ra được lý do tại sao có những mối đe dọa đó. (3)
Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra. (4)
Nêu vài giải pháp khắc phục
1.Các mối đe dọa mà bạn hoặc công ty có thể gặp phải trong tình huống trên gồm:
• Đánh cắp thông tin nhạy cảm: khi sử dụng máy tính công cộng, thông tin cá nhân và dữ liệu
công ty có thể bị đánh cắp thông qua các phần mềm độc hại, mã độc hoặc các kỹ thuật tấn công khác.
• Lây nhiễm virus: các máy tính công cộng thường là nơi lây nhiễm virus và phần mềm độc hại.
Khi kết nối vào mạng của công ty và truy cập thông tin công ty, máy tính của bạn có thể bị
nhiễm virus và truyền nhiễm cho các máy tính khác trong mạng.
• Mất dữ liệu: sử dụng máy tính công cộng cũng có nguy cơ mất dữ liệu, do việc máy tính này
không được quản lý chặt chẽ hoặc các ứng dụng đã được cài đặt trên đó không được bảo mật.
2.Lý do tại sao có những mối đe dọa đó là do máy tính công cộng thường không được quản lý chặt
chẽ, không có phần mềm bảo mật hoặc không được cập nhật thường xuyên. Điều này tạo ra lỗ hổng
bảo mật cho máy tính và thông tin trên đó.
3.Hậu quả nếu các mối đe dọa đó thật sự xảy ra có thể là nghiêm trọng, gây thiệt hại cho công ty và
cá nhân. Nếu thông tin nhạy cảm bị đánh cắp, công ty có thể bị lộ thông tin về khách hàng, hợp đồng
và các thông tin quan trọng khác. Nếu máy tính bị nhiễm virus, toàn bộ mạng của công ty có thể bị
lây nhiễm và làm gián đoạn các hoạt động kinh doanh. Nếu dữ liệu bị mất, công ty có thể mất hết
thông tin quan trọng liên quan đến khách hàng, hợp đồng và các hoạt động kinh doanh.
4.Một số giải pháp khắc phục bao gồm:
• Sử dụng VPN: Sử dụng một dịch vụ VPN để kết nối đến mạng riêng ảo của công ty để tăng
cường bảo mật thông tin truyền tải qua mạng.
• Sử dụng phần mềm mã hóa dữ liệu: Sử dụng phần mềm mã hóa dữ liệu để bảo vệ thông tin
đang truyền tải qua mạng.
• Không sử dụng máy tính công cộng để truy cập thông tin nhạy cảm: Tránh sử dụng máy tính
công cộng để truy cập vào các tài khoản nhạy cảm của công ty hoặc thông tin cá nhân. lOMoARcPSD| 45470368
• Chỉ sử dụng các trang web đáng tin cậy: Tránh truy cập vào các trang web không an toàn và
chỉ sử dụng các trang web đáng tin cậy.
• Chuyển đổi sang các phương thức liên lạc khác: Nếu không thể sử dụng email để truyền tải
thông tin nhạy cảm, bạn có thể sử dụng các phương thức liên lạc khác như điện thoại hoặc hộp thư bưu điện.
• Sao lưu dữ liệu thường xuyên: Sao lưu dữ liệu của bạn thường xuyên để đảm bảo rằng dữ liệu
quan trọng không bị mất hoặc bị hỏng trong trường hợp máy tính của bạn bị hư hỏng hoặc bị tấn công. Tình huống 3
Công ty cổ phần Chứng khoán FPT (tên viết tắt: FPTS) là thành viên của Tập đoàn FPT, được cấp phép
thành lập và hoạt động theo Giấy phép của Ủy ban Chứng khoán Nhà nước cấp ngày 13/7/2007. Ngành nghề
kinh doanh chính: Môi giới chứng khoán; Hoạt động tự doanh chứng khoán; Tư vấn đầu tư chứng khoán;
Bảo lãnh phát hành chứng khoán; Lưu ký và quản lý cổ đông... 1.Ba mối đe dọa:
- Tấn công giả mạo, lừa đảo qua tin nhắn - Mã độc
- Lấy trộm và đánh cắp dữ liệu
2.Lý do có những mối đe dọa đó:
- Thiếu ý thức trong việc bảo mật cho đội ngũ làm việc, người dùng bị đánh lừa bởi một website giả mạo
gần như giống hệt với website thật.
- Có thể do thiếu cẩn trọng tạo điều kiện cho tội phạm mạng có cơ hội tấn công. Có thể là do nhân viên
sơ ý nhấp vào email giả mạo và vô tình phát tán mã độc khắp hệ thống mạng.
- Lợi dụng vị trí trong tổ chức để thực hiện hành vi phá hoại hoặc bị hack vò hệ thống hoặc sử dụng thiết bị công cộng.
3.Phân tích hậu quả -
Đánh lừa người dùng, khai thác sự bất tiện của công nghệ bảo mật web. Lấy được các thông tin quan
trọng, mật khẩu và các chi tiết thẻ tín dụng bằng cách giả dạng thảnh 1 chủ thể tin cậy trong giao dịch điện
tử. Các giao dịch thường dùng để đánh lừa những người dùng ít đa nghi. Thường được thực hiện qua thư
điện tử hoặc tin nhắn nhanh, yêu cầu người dùng nhập thông tin vào website giả mạo. -
Gây thiệt hại lớn cho cả máy chủ và người dùng, mức độ phụ thuộc vào mục đích của hacker. Nếu
nhắm vào máy chủ, chúng có thể làm tê liệt website hoặc triển khai những nội dung sai lệch. Khách hàng
cũng sẽ gặp vấn đề khi truy cập website. -
Gây ra những tổn thất tài chính nghiêm trọng, nguy cơ bị tống tiền, lừa đảo, chiếm đoạt tài sản, bôi
nhọ và xâm phạm danh dự, nhân phẩm. lOMoARcPSD| 45470368
4.Biện pháp phòng ngừa -
Cần tập trung cảnh giác trước các phương thức tấn công kỷ thuật, cảnh giác với những email lạ, địa chỉ email không rõ ràng.
+ Không tải tập tin và những đường dẫn đáng ngờ.
+ Đào tạo nhân viên những dấu hiệu nhận biết website/ email giả mạo. -
Sử dụng các công cụ diệt virus để xóa hết thư rác và mã độc trên website.
+ Thay đổi tất cả mật khẩu.
+ Liên hệ với nhà cung cấp dịch vụ lưu trữ web.
+ Cập nhật hoặc tải cài đặt bản sao lưu trên website. -
Hạn chế sử dụng thiết bị công cộng, không nhấn vào các đường link lạ, hạn chế sử dụng wifi công
cộng để đặng nhập vào các tài khoản cá nhân. Hạn chế cho người khác sử dụng thiết bị cá nhân. Tình huống 4
.Website BẢO HIỂM MANULIFE của Manulife Financial cung cấp các dịch vụ xem danh mục các sản
phẩm đa dạng từ sản phẩm bảo hiểm truyền thống đến sản phẩm bảo hiểm sức khoẻ, giáo dục, liên kết đầu
tư, hưu trí… cho hơn 700.000 khách hàng thông qua đội ngũ đại lý hùng hậu và chuyên nghiệp tại 55 văn
phòng trên 40 tỉnh thành cả nước. Khách hàng có thể chọn lựa, đặt câu hỏi, cần tư vấn hay mua gói bảo hiểm
trực tuyến trên Website. Xem thông tin và quyền lợi bảo hiểm, xem hợp đồng bảo hiểm đã mua. Ngoài ra
Website còn giúp cho công ty có thể quản lý toàn bộ các hoạt động của công ty như quản lý khách hang,
nhân viên, hợp đồng bảo hiểm,…
(1) Các mối đe dọa đối với hệ thống an toàn thông tin của Website BẢO HIỂM MANULIFE có thểbao gồm:
Tấn công từ hacker: Hacker có thể tấn công vào hệ thống của Website để đánh cắp thông tin cá nhân
của khách hàng hoặc tấn công vào cơ sở dữ liệu của công ty để lấy thông tin về hợp đồng bảo hiểm
hoặc thông tin nhân viên.
Lỗ hổng bảo mật: Có thể xảy ra khi có sự cố về bảo mật thông tin từ phía nhân viên hoặc từ các bên
thứ ba. Việc sử dụng phần mềm lỗi thời hoặc không được cập nhật cũng có thể dẫn đến lỗ hổng bảo mật.
Sai sót trong quản lý thông tin: Việc quản lý thông tin không chặt chẽ có thể dẫn đến những sai sót
trong việc lưu trữ và xử lý thông tin cá nhân của khách hàng.
(2) Lý do tại sao có những mối đe dọa đó:
Tấn công từ hacker: Website BẢO HIỂM MANULIFE có chứa thông tin quan trọng và nhạy cảm về
các giao dịch bảo hiểm và thông tin cá nhân của khách hàng. Do đó, nó có thể trở thành mục tiêu của
các kẻ tấn công muốn truy cập vào thông tin đó để lợi dụng cho mục đích xấu.
Lỗ hổng bảo mật: Sự cố về bảo mật thông tin có thể xảy ra khi các phần mềm chưa được cập nhật
hoặc khi không có chính sách bảo mật mạnh mẽ để bảo vệ thông tin của khách hàng. lOMoARcPSD| 45470368
Sai sót trong quản lý thông tin: Việc quản lý thông tin không chặt chẽ có thể dẫn đến những sai sót
trong việc lưu trữ và xử lý thông tin cá nhân của khách hàng. Nếu thông tin cá nhân của khách hàng
bị lộ ra ngoài, điều này có thể gây thiệt hại cho uy tín của công ty và sự tin tưởng của khách hàng.
3) Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra:
Nếu các mối đe dọa đối với hệ thống an toàn thông tin xảy ra, hệ thống bảo mật của Website BẢO
HIỂM MANULIFE có thể bị tấn công và thông tin khách hàng cũng như các hoạt động của công ty
có thể bị đánh cắp hoặc lộ ra ngoài. Điều này có thể dẫn đến những hậu quả nghiêm trọng như mất
tiền của khách hàng, thiệt hại về uy tín của công ty, pháp lý, và mất lòng tin của khách hàng.
(4) Biện pháp phòng ngừa:
Nâng cao kiến thức bảo mật của nhân viên và khách hàng: Đào tạo và giáo dục nhân viên và khách
hàng về những mối đe dọa bảo mật thông tin, cách phòng tránh, cập nhật những kỹ thuật bảo mật
mới, và những hành động cần thiết khi phát hiện có sự xâm nhập vào hệ thống.
Sử dụng các giải pháp bảo mật: Sử dụng các giải pháp bảo mật hiện đại như tường lửa (firewall), phần
mềm chống virus, mã hóa dữ liệu (encryption), định danh hai lớp (two-factor authentication), để ngăn
chặn các cuộc tấn công vào hệ thống của Website BẢO HIỂM MANULIFE.
Tăng cường giám sát và phát hiện sớm các mối đe dọa: Sử dụng các giải pháp giám sát hệ thống
(monitoring) để phát hiện sớm các hoạt động bất thường hoặc sự xâm nhập của hacker, và đưa ra các
biện pháp khắc phục ngay lập tức.
Thực hiện đánh giá rủi ro thường xuyên: Đánh giá thường xuyên các rủi ro bảo mật thông tin để có
biện pháp bảo vệ phù hợp, phòng tránh được các mối đe dọa tiềm ẩn và đảm bảo an toàn cho hệ thống
của Website BẢO HIỂM MANULIFE.
: LO2- Giải thích một số vấn đề pháp lý liên quan đến an toàn HTTT Tình huống 1:
Để kiếm thêm thu nhập, bạn A đã tự tạo ra một website thương mại điện tử để bán thêm các quần áo, đồ
dùng cá nhân, mỹ phẩm, thực phẩm chức năng,… được chị của bạn A xách tay từ Nhật. Bạn A không đăng
ký giấy phép kinh doanh cũng như đăng ký webite với cơ quan có thẩm quyền. Ngoài ra, các hình ảnh quảng
cáo các sản phẩm, bạn A vào các trang web khác lấy về và đăng tải lên trang thương mại điện tử của mình.
(1) Dựa vào các bộ luật bạn đã học, hãy phân tích hành vi vi phạm của bạn A (hướng dẫn: chỉ ra các
hành vi vi phạm, hành vi đó đã vi phạm các khoản nào của điều khoản nào trong bộ luật nào? Trình
bày nội dung điều khoản luật đó. Thực hiện phân tích để thấy được vi phạm như thế nào? Phân tích
hậu quả nếu như vi phạm)
(2) Nếu bạn là bạn A thì bạn sẽ phải làm gì để không vi phạm các điều khoản luật mà vẫn đạt được mục tiêu đặt ra.
(3) Bạn hãy cho nhận xét về tình hình chung về việc vi phạm tương tự A ở Việt Nam, đề xuất một số giải
pháp để giảm các hành vi vi phạm này. (1)
Hành vi 1: vi phạm của bạn A là không đăng ký giấy phép kinh doanh cũng như đăng ký website với cơ quan có thẩm quyền.
Việc không đăng ký giấy phép kinh doanh vi phạm Điều 5 Luật Doanh nghiệp năm 2020, đặc biệt là khoản
2 quy định “Mọi tổ chức, cá nhân làm thương mại phải đăng ký kinh doanh theo quy định của pháp luật”. lOMoARcPSD| 45470368
Việc không đăng ký website với cơ quan có thẩm quyền vi phạm Điều 28 Luật Điện tử năm 2015, đặc biệt
là khoản 2 quy định “Doanh nghiệp, tổ chức, cá nhân hoạt động trên mạng phải đăng ký tên miền và thông
tin cá nhân trên trang quản lý tên miền của Cục quản lý tên miền, tên miền quốc gia Việt Nam”. Hành vi 2:
lấy hình ảnh quảng cáo sản phẩm từ các trang web khác cũng vi phạm quyền sở hữu trí tuệ.
Việc lấy hình ảnh quảng cáo sản phẩm từ các trang web khác vi phạm quy định về hành vi cấm trong hoạt
động quảng cáo Căn cứ theo điểm b khoản 3 và khoản 8 Điều 34 Nghị định 38/2021/NĐ-CP quy định ...
b) Quảng cáo có sử dụng hình ảnh, lời nói, chữ viết của cá nhân khi chưa được cá nhân đó đồng ý, trừ
trường hợp được pháp luật cho phép.
Hậu quả của các hành vi vi phạm này có thể là bị phạt tiền Phạt tiền từ 20.000.000 đồng đến 40.000.000
đồng hoặc bị xử lý hành chính, có thể bị thu hồi vốn và đình chỉ hoạt động kinh doanh. Ngoài ra, nếu bị kiện,
bạn A có thể bị phải bồi thường cho các bên bị tổn thất do hành vi vi phạm của mình.
(2) Nếu tôi là bạn A, tôi sẽ đăng ký giấy phép kinh doanh và đăng ký website với cơ quan có thẩm quyền.
Tôi cũng sẽ tìm cách mua bản quyền hình ảnh hoặc chụp ảnh sản phẩm của chính mình để đăng tải lên trang thương mại điện tử.
(3).Để giảm các hành vi vi phạm như trường hợp của bạn A, chính phủ cần có các chính sách và cơ chế quản
lý thương mại điện tử để đảm bảo rằng các doanh nghiệp hoạt động trong lĩnh vực này tuân thủ các quy định pháp luật.
• Đặt các quy định cụ thể cho hoạt động thương mại điện tử và áp dụng chúng một cách nghiêm ngặt.
• Tăng cường giám sát và kiểm tra các hoạt động thương mại điện tử để phát hiện và xử lý các hành vi vi phạm.
• Thúc đẩy đăng ký kinh doanh cho các doanh nghiệp thương mại điện tử để đảm bảo rằng họ hoạt
động hợp pháp và đóng góp vào ngân sách nhà nước.
• Hỗ trợ và đào tạo cho các doanh nghiệp thương mại điện tử để họ có thể hoạt động hiệu quả và tuân
thủ các quy định pháp luật.
Tóm lại, việc kiểm soát và quản lý các hoạt động thương mại điện tử đang là một vấn đề quan trọng đối với
Việt Nam và nhiều quốc gia khác. Để giảm các hành vi vi phạm, chính phủ cần có các chính sách và cơ chế
quản lý thương mại điện tử hiệu quả và áp dụng chúng một cách nghiêm ngặt. Các doanh nghiệp thương mại
điện tử cũng cần có ý thức và tuân thủ các quy định pháp luật Tình huống 2:
Hơn 14.000 điện thoại ở Việt Nam đã bị một công ty tư nhân nghe lén. Các điện thoại này bị theo dõi tin
nhắn, danh bạ, ghi âm cuộc gọi, định vị điện thoại, quay phim, chụp ảnh... Nghiêm trọng hơn, toàn bộ dữ
liệu được gửi về máy chủ của công ty này. Kết quả thanh tra đã khiến người sử dụng điện thoại ở Việt Nam cảm thấy lo lắng.
Đoàn thanh tra liên ngành gồm thanh tra Sở Thông tin và Truyền thông Hà Nội, phòng Cảnh sát phòng chống
tội phạm sử dụng công nghệ cao - PC50 của Công an Hà Nội đã thanh tra tại công ty TNHH công nghệ Việt
Hồng ở quận Thanh Xuân, Hà Nội và phát hiện công ty này kinh doanh phần mềm Ptraker. Đây là phần mềm
giúp người dùng có thể xem tin nhắn, danh bạ, ghi âm cuộc gọi, định vị điện thoại, quay phim, chụp ảnh, bật lOMoARcPSD| 45470368
- tắt 3G/GPRS của điện thoại bị giám sát. Thậm chí người sử dụng còn có thể ra lệnh điều khiển từ xa điện
thoại bị cài Ptracker bằng cách nhắn tin tới điện thoại này.
(1) Dựa vào các bô luật bạn đã học, hãy phân tích hành vi vi phạm của công ty (hướng dẫn: chỉ ra các
hành vi vi phạm, hành vi đó đã vi phạm các khoản nào của điều khoản nào trong bộ luật nào? Trình
bày nội dung điều khoản luật đó. Thực hiện phân tích để thấy được vi phạm như thế nào? Phân tích
hậu quả nếu như vi phạm)
(2) Hãy bạn hiểu như thế nào về điều khoản luật này? Nếu bạn là chủ doanh nghiệp thì bạn sẽ quyết định gì về phần mềm này
(3) Bạn hãy tìm hiểu và trình bày hiện nay có những phần mềm/trang mạng xã hội nào mà thông tin cá
nhân người dùng có thể bị sử dụng bất hợp pháp? 1/
Hành vi vi phạm của công ty TNHH công nghệ Việt Hồng là cung cấp phần mềm Ptracker để nghe
lén điện thoại của người dùng mà không được sự đồng ý của họ. Hành vi này đã vi phạm các khoản
sau đây của pháp luật Việt Nam:
Điều 21 của Bộ luật Hình sự năm 2015 quy định về việc xâm phạm bí mật thông tin: "Ai trái phép
xâm phạm bí mật thông tin của cá nhân, tổ chức thì sẽ bị phạt từ 6 tháng đến 5 năm tù."
Điều 292 của Bộ luật Hình sự năm 2015 quy định về việc sử dụng trái phép thiết bị điện tử, truyền
thông: "Ai sử dụng trái phép thiết bị điện tử, truyền thông sẽ bị phạt tiền từ 10.000.000 đến
50.000.000 đồng hoặc phạt tù từ 3 tháng đến 3 năm."
Công ty TNHH công nghệ Việt Hồng đã vi phạm các điều luật trên khi cung cấp phần mềm Ptracker
để nghe lén điện thoại của người dùng mà không được sự đồng ý của họ. Việc này có thể gây ra hậu
quả nghiêm trọng cho sự riêng tư và an ninh thông tin của người dùng. 2/
Điều khoản luật liên quan đến việc bảo vệ bí mật thông tin là một phần quan trọng trong việc đảm
bảo quyền riêng tư của công dân. Nếu tôi là chủ doanh nghiệp, tôi sẽ không cho phép sử dụng bất kỳ
phần mềm nào để nghe lén điện thoại của người dùng mà không được sự đồng ý của họ. Tôi sẽ đảm
bảo rằng doanh nghiệp của tôi tuân thủ đầy đủ các quy định của pháp luật và không thực hiện bất kỳ hành vi vi phạm nào.
3/Hiện nay, có nhiều phần mềm/trang mạng xã hội được sử dụng để thu thập thông tin cá nhân của
người dùng một cách bất hợp pháp. Sau đây là một số ví dụ:
Facebook: Facebook là một trong những mạng xã hội phổ biến nhất thế giới và có hơn 2 tỷ người dùng trên
toàn cầu. Tuy nhiên, trong những năm gần đây, Facebook đã bị cáo buộc vi phạm quyền riêng tư của người
dùng. Một số ví dụ bao gồm việc bị lộ thông tin cá nhân của người dùng cho các bên thứ ba, việc thu thập
dữ liệu trái phép qua ứng dụng Facebook Messenger và việc theo dõi hoạt động của người dùng một cách bất hợp pháp.
Zoom: Zoom là một ứng dụng họp trực tuyến phổ biến được sử dụng trong các cuộc họp và lớp học trực
tuyến. Tuy nhiên, Zoom đã bị cáo buộc vi phạm quyền riêng tư của người dùng bằng cách thu thập thông tin
của họ một cách bất hợp pháp và chia sẻ thông tin này với các bên thứ ba.
TikTok: TikTok là một ứng dụng chia sẻ video ngắn được sử dụng rộng rãi trên toàn cầu. Tuy nhiên, TikTok
đã bị cáo buộc thu thập thông tin cá nhân của người dùng một cách bất hợp pháp, bao gồm cả thông tin về lOMoARcPSD| 45470368
vị trí và danh bạ của người dùng. Ngoài ra, TikTok cũng bị cáo buộc chia sẻ thông tin này với các bên thứ ba.
Google: Google là công ty công nghệ lớn nhất thế giới và cung cấp nhiều dịch vụ trực tuyến, bao gồm công
cụ tìm kiếm, email và bản đồ. Tuy nhiên, Google đã bị cáo buộc vi phạm quyền riêng tư của người dùng
bằng cách thu thập thông tin cá nhân của họ một cách bất hợp pháp và chia sẻ thông tin này với các bên thứ ba. Tình huống 4:
Một sinh viên ngành CNTT rất đam mê công việc của một bác sĩ máy tính chuyên cứu hộ các máy tính bị
tấn công bởi các mã độc, phân tích các mối đe dọa của một hệ thống thông tin để từ đó cài đặt các cơ chế
phù hợp để giảm thiểu các rũi ro cho hệ thống thông tin đó. Vì vậy, sinh viên này thường xuyên vào các diễn
dàn để tìm hiểu, học hỏi các kỹ thuật tấn công, các mã độc, các kỹ thuật tìm kiếm các lỗ hỏng của các công
nghệ,… Sau đó thực hiện thử nghiệm hết tất cả các kỹ thuật đã học hỏi vào bất cứ hệ thống thông tin bất kỳ
mà mình thích. Kết quả đến nay đã thử nghiệm thành công rất nhiều công cụ và kỹ thuật đã học hỏi và làm
nhiều máy tính, cũng như website của nạn nhận lao đao vì các thử nghiệm này. Ngoài ra trong một lần tấn
công thử nghiệm, người này đã sao chép được rất nhiều thông tin bảo mật của hệ thống này. Sau đó người
này đem các thông tin này đăng tải lên các diễn đàn công cộng như là chiến tích của cá nhân mình. (1)
Dựa vào Bộ luật an ninh mạng, bạn hãy chỉ ra sinh viên trong tình huống trên đã vi phạm những
khoản nào trong bộ luật? Trình bày nội dung điều khoản luật đó ra. (2)
Bạn hãy phân tích chi tiết nội dung của điều khoản luật này. (3)
Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ra và giải thích ít nhất 3 lý do tại
sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng.
(1) Sinh viên trong tình huống trên đã vi phạm các khoản sau đây trong Bộ luật an ninh mạng:
Điều 6: Cấm hành vi xâm nhập trái phép vào hệ thống thông tin, đồng thời cấm hành vi phá hoại, thay đổi,
sao chép, lưu trữ, phát tán trái phép thông tin trên hệ thống thông tin.
Điều 8: Cấm hành vi tấn công mạng, bao gồm tấn công phủ định dịch vụ, tấn công chèn mã độc, tấn công sử
dụng phần mềm độc hại, tấn công giả mạo, tấn công tìm kiếm lỗ hỏng bảo mật trên hệ thống mạng. Điều 11:
Cấm hành vi đăng tải, truyền tải, chia sẻ, lưu trữ thông tin vi phạm pháp luật, gây hậu quả nghiêm trọng đến
an ninh, trật tự, an toàn xã hội.
Điều 14: Cấm hành vi tạo ra, phát tán hoặc sử dụng phần mềm độc hại, công cụ tấn công mạng hoặc các
công cụ phá hoại hệ thống thông tin khác.
Điều 19: Cấm hành vi khai thác thông tin bí mật, thông tin cá nhân của cá nhân, tổ chức trên mạng một cách trái phép.
(2) Điều 6, 8, 11, 14 và 19 của Bộ luật an ninh mạng được thiết lập để bảo vệ an ninh, trật tự, an toàn xãhội,
ngăn chặn các hành vi xâm nhập trái phép vào hệ thống thông tin, tấn công mạng, sao chép, lưu trữ,
truyền tải thông tin bí mật hoặc cá nhân một cách trái phép. Việc vi phạm những điều khoản này sẽ bị xử
lý hình sự theo quy định của pháp luật.
(3) có thể tham khảo ý của tình huống 9
Tránh vi phạm pháp luật: Luật an ninh mạng chứa đựng nhiều quy định và hạn chế để bảo vệ quyền lợi và
sự riêng tư của người dùng mạng. Vi phạm các điều khoản này có thể dẫn đến hậu quả pháp lý nghiêm trọng.
Do đó, nắm rõ các điều khoản trong luật an ninh mạng là rất quan trọng để đảm bảo tuân thủ pháp luật. lOMoARcPSD| 45470368
Bảo vệ an toàn thông tin: Luật an ninh mạng cũng bao gồm các quy định về bảo vệ thông tin và dữ liệu.
Nhân viên CNTT cần nắm rõ các quy định này để đảm bảo an toàn cho dữ liệu và thông tin của công ty và
khách hàng. Việc nắm rõ các quy định về bảo mật cũng giúp người làm việc có thể đưa ra các giải pháp phù
hợp để bảo vệ thông tin.
Hỗ trợ tối đa cho công việc của công ty: Nhân viên CNTT cần hiểu rõ các quy định trong luật an ninh mạng
để có thể hỗ trợ công ty trong việc đảm bảo an toàn thông tin và phòng chống các vấn đề an ninh mạng. Việc
nắm rõ các quy định cũng giúp cho người làm việc có thể đưa ra các giải pháp phù hợp và đúng đắn cho
công ty. Tình huống 5
Một website cung cấp dịch vụ giải trí miễn phí cho người dùng. Người dùng muốn truy cập vào các dịch vụ
của website phải đăng ký tài khoản. Khi đăng ký tài khoản, người dùng phải cung cấp thông tin cá nhân như
họ tên, địa chỉ nhà, email, số điện thoại…. Website không thông báo cho người dùng biết thông tin cá nhân
của họ được dùng để làm gì. Website này thu thập thông tin người dùng để bán cho các nhà quảng cáo. (1)
Hãy cho biết hành vi của website trên có vi phạm pháp luật không? Nếu có, hãy cho biết hành vi trên
vi phạm những điều khoản nào của những luật nào? (2)
Bạn hãy trình bày và phân tích chi tiết nội dung của điều khoản luật này. (3)
Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ra và giải thích ít nhất 3 lý do tại
sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng.
1/Hành vi của website trên là vi phạm pháp luật. Nó vi phạm các điều khoản của Luật An ninh mạng và Luật
Bảo vệ quyền lợi người tiêu dùng.
• Về Luật An ninh mạng: Website không thông báo cho người dùng biết thông tin cá nhân của họ được
sử dụng để làm gì, đây là vi phạm nội dung điều 18 của Luật An ninh mạng. Ngoài ra, việc thu thập
thông tin người dùng để bán cho các nhà quảng cáo cũng là vi phạm điều 19 của Luật An ninh mạng
về bảo vệ thông tin cá nhân.
• Về Luật Bảo vệ quyền lợi người tiêu dùng: Website cung cấp dịch vụ giải trí miễn phí nhưng lại thu
thập thông tin người dùng một cách trái phép để bán cho các nhà quảng cáo, đây là vi phạm nội dung
điều 8 của Luật Bảo vệ quyền lợi người tiêu dùng.
2/Điều 18 và điều 19 của Luật An ninh mạng quy định như sau:
• Điều 18: Trong trường hợp thu thập, sử dụng, xử lý, lưu trữ thông tin cá nhân của người dùng mạng,
cơ quan, tổ chức, cá nhân phải thông báo với người dùng về mục đích, phạm vi thu thập, sử dụng, xử
lý, lưu trữ thông tin và thời gian lưu trữ thông tin.
• Điều 19: Bảo vệ thông tin cá nhân của người dùng mạng là trách nhiệm của cơ quan, tổ chức, cá nhân
thu thập thông tin cá nhân. Cơ quan, tổ chức, cá nhân không được tiết lộ, chuyển nhượng hoặc sử
dụng thông tin cá nhân của người dùng mạng cho mục đích khác ngoài mục đích đã thông báo đến
người dùng trước khi thu thập thông tin cá nhân hoặc khi người dùng đồng ý. 3.Giốống tình huốống trên Tình huống 6
Khi ông A đi thăm người thân ở bệnh viện đã chụp hình trong phòng bệnh và đăng trên Facebook.
Trong hình mà ông A đã đăng trên Facebook có hình của bà B là bệnh nhân khác trong phòng bệnh.
Bà B không muốn người khác biết mình đang nẳm viện nên gọi điện thoại yêu cầu ông A không được
đưa hình ảnh của mình trên Facebook. Ông A từ chối yêu cầu của bà B vì cho rằng mình có toàn
quyền với hình ảnh mà mình đã chụp. (1)
Hành vi của ông A có vi phạm pháp luật không? Nếu có, ông A đã vi phạm điều khoản nào
của luật nào? Nếu bà B gởi đơn khiếu nại cho cơ quan có thẩm quyền thì ông A sẽ bị xử phạt
tại điều khoản nào của luật nào? (2)
Bạn hãy trình bày và phân tích chi tiết nội dung của điều khoản luật này. lOMoARcPSD| 45470368 (3)
Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ra và giải thích ít nhất 3 lý
do tại sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng. Câu 1.1:
-Ông A đã vi phạm pháp luật vì Việc sử dụng hình ảnh, thông tin cá nhân của người khác để đăng tải
lên mạng xã hội mà không có sự đồng ý của người có hình ảnh là xâm phạm đến quyền cá nhân đối
với hình ảnh và được pháp luật bảo vệ tại Điều 32 Bộ luật Dân sự năm 2015.
-Căn cứ Điều 32 Bộ luật Dân sự 2015 theo đó, người có hành vi tự ý chụp ảnh, quay và sử dụng hình
ảnh mà không có sự đồng ý của người khác nếu xâm phạm đến nhân phẩm, danh dự của người đó thì
được coi là hành vi vi phạm pháp luật.
Điều 32 Bộ luật Dân sự năm 2015.
1. Cá nhân có quyền đối với hình ảnh của mình.
Việc sử dụng hình ảnh của cá nhân phải được người đó đồng ý.
Việc sử dụng hình ảnh của người khác vì mục đích thương mại thì phải trả thù lao cho người có hình
ảnh, trừ trường hợp các bên có thỏa thuận khác.
2. Việc sử dụng hình ảnh trong trường hợp sau đây không cần có sự đồng ý của người có hình ảnhhoặc
người đại diện theo pháp luật của họ:
a) Hình ảnh được sử dụng vì lợi ích quốc gia, dân tộc, lợi ích công cộng;
b) Hình ảnh được sử dụng từ các hoạt động công cộng, bao gồm hội nghị, hội thảo, hoạt động thiđấu
thể thao, biểu diễn nghệ thuật và hoạt động công cộng khác mà không làm tổn hại đến danh dự,
nhân phẩm, uy tín của người có hình ảnh.
3. Việc sử dụng hình ảnh mà vi phạm quy định tại Điều này thì người có hình ảnh có quyền yêu cầu
Tòa án ra quyết định buộc người vi phạm, cơ quan, tổ chức, cá nhân có liên quan phải thu hồi, tiêu
hủy, chấm dứt việc sử dụng hình ảnh, bồi thường thiệt hại và áp dụng các biện pháp xử lý khác theo
quy định của pháp luật. Câu 1.2:
Nếu bà B gởi đơn khiếu nại cho cơ quan có thẩm quyền thì ông A sẽ bị xử phạt tại điều 101 của nghị
định 15/2020/NĐ-CP. Điều 101. Vi phạm các quy định về trách nhiệm sử dụng dịch vụ mạng xã hội
- Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi tự ý chụp ảnh và đăng tải hình
ảnh người khác lên mạng xã hội mà chưa được sự cho phép, xâm phạm đến quyền cá nhân đối với hình ảnh.
3.Giốống tình huốống trên Tình huống 7
Lợi dụng lúc A không có nhà, những người bạn của A đã vào trang facebook cá nhân của A chụp ảnh lại
các đoạn tin nhắn có nội dung liên quan những người bạn này. Sau đó, những người bạn của A phát tán
lên mạng các đoạn tin nhắn này kèm theo những lời lẽ xúc phạm A. (1)
Những người bạn của A có vi phạm pháp luật không? Nếu có, hãy cho biết vi phạm điều
khoản nào của Luật nào? Những người bạn của A sẽ bị xử lý như thế nào theo điều khoản nào trong luật nào? (2)
Bạn hãy trình bày và phân tích chi tiết nội dung của điều khoản luật này. (3)
Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ra và giải thích ít nhất 3 lý
do tại sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng. Câu hỏi thảo luận 2 1:
Những người bạn của A có vi phạm pháp luật
Vi phạm "Điều 611. Thiệt hại do danh dự, nhân phẩm, uy tín bị xâm phạm của Bô luậ t dân sự quỵ định: Nội dung: lOMoARcPSD| 45470368
1. Thiệt hại do danh dự, nhân phẩm, uy tín của cá nhân bị xâm phạm, thiệt hại do danh dự, uy tín của
pháp nhân, chủ thể khác bị xâm phạm bao gồm: a) Chi phí hợp lý để hạn chế, khắc phục thiệt hại;
b) Thu nhập thực tế bị mất hoặc bị giảm sút.
2. Người xâm phạm danh dự, nhân phẩm, uy tín của người khác phải bồi thường thiệt hại theo quy
định tại khoản 1 Điều này và một khoản tiền khác để bù đắp tổn thất về tinh thần mà người đó gánh
chịu. Mức bồi thường bù đắp tổn thất về tinh thần do các bên thoả thuận; nếu không thoả thuận
được thì mức tối đa không quá mười tháng lương tối thiểu do Nhà nước quy định."
Vi phạm "Điều 38. Quyền bí mật đời tư
1. Quyền bí mật đời tư của cá nhân được tôn trọng và được pháp luật bảo vệ.
2. Việc thu thập, công bố thông tin, tư liệu về đời tư của cá nhân phải được người đó đồng ý;
trongtrường hợp người đó đã chết, mất năng lực hành vi dân sự, chưa đủ mười lăm tuổi thì phải
được cha, mẹ, vợ, chồng, con đã thành niên hoặc người đại diện của người đó đồng ý, trừ trường
hợp thu thập, công bố thông tin, tư liệu theo quyết định của cơ quan, tổ chức có thẩm quyền.
3. Thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được bảo đảm antoàn và bí mật.
Việc kiểm soát thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được
thực hiện trong trường hợp pháp luật có quy định và phải có quyết định của cơ quan nhà nước có thẩm quyền."
Vì thế hành vi này có thể xem là đã xâm phạm vào quyền nhân thân của bạn, Nghị định 174/2013/NĐ- CP quy định:
"Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau đây:
g) Cung cấp, trao đổi, truyền đưa hoặc lưu trữ, sử dụng thông tin số nhằm đe dọa, quấy rối, xuyên tạc,
vu khống, xúc phạm uy tín của tổ chức, danh dự, nhân phẩm, uy tín của người khác;" 2
Những người bạn của A sẽ bị xử lý kỹ luât hoặc xử lý theo vi phạm hành chính và phạt tiền theo quy
định của pháp luật vì tự ý xâm phậm vào quyền riêng tư cá nhân của A, phát tán và xúc phạm A. -
Căn cứ theo quy định tại Điều 159 Bộ luật Hình sự 2015 quy định về tội xâm phạm bí mật hoặc an
toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác theo đó:
Trường hơp có hành vi xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín, telex, fax hoặc
hình thức trao đổi thông tin riêng tư khác của người khác đã bị xử lý kỷ luật hoặc xử phạt vi phạm
hành chính về hành vi này mà còn vi phạm, thì bị phạt cảnh cáo, phạt tiền từ 20.000.000 đồng đến
50.000.000 đồng hoặc phạt cải tạo không giam giữ đến 03 năm.
- Căn cứ Điều 155 Bộ luật Hình sự 2015 được sửa đổi bởi điểm e khoản 2 Điều 2 Luật sửa đổi Bộ
luật Hình sự 2017 quy định về tội làm nhục người khác như sau:
"1. Người nào xúc phạm nghiêm trọng nhân phẩm, danh dự của người khác, thì bị phạt cảnh cáo, phạt
tiền từ 10.000.000 đồng đến 30.000.000 đồng hoặc phạt cải tạo không giam giữ đến 03 năm. 3.Giốống tình huốống trên Tình huống 8
Công ty B đã đăng ký bảo hộ kiểu dáng công nghiệp và nhãn hiệu tại Cục sở hữu trí tuệ Việt Nam
cho sản phẩm X đang được bán trên thị trường. Nhưng hiện nay trên mạng đã có loại sản phẩm tương
tự từ mẫu mã, đến tên nhãn hiệu được bán bởi một công ty khác ở nước ngoài. (1)
Nếu một công ty C nhập sản phẩm tương tự với sản phẩm X từ công ty nước ngoài về tiêu thụ
trong nước, công ty C có vi phạm Luật sở hữu trí tuệ không? Nếu có, hãy cho biết vi phạm lOMoARcPSD| 45470368
điều khoản nào của Luật sở hữu trí tuệ? Công ty C sẽ bị xử lý như thế nào theo điều khoản nào trong luật? (2)
Bạn hãy trình bày và phân tích chi tiết nội dung của điều khoản luật này. (3)
Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ra và giải thích ít nhất 3 lý
do tại sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng
(1) Công ty C sẽ có thể vi phạm Luật sở hữu trí tuệ của Việt Nam. Cụ thể, việc nhập khẩu và tiêu thụ
sản phẩm tương tự với sản phẩm X của Công ty B sẽ có thể xâm phạm đến quyền sở hữu kiểu
dáng công nghiệp và nhãn hiệu đã được đăng ký bảo hộ của Công ty B tại Việt Nam.
Điều 4: Quyền sở hữu công nghiệp và quyền sở hữu trí tuệ khác được bảo vệ theo pháp luật. Người
sở hữu có quyền yêu cầu bảo vệ quyền sở hữu của mình.
Điều 143: Điều kiện để được bảo hộ kiểu dáng công nghiệp.
Theo điều 146 Luật sở hữu trí tuệ của Việt Nam, việc sử dụng tên, đánh dấu hoặc nhãn hiệu giống
hoặc như nhãn hiệu đã được đăng ký bảo hộ của người khác hoặc giữ kiểu dáng sản phẩm của người
khác trong các trường hợp không được phép sẽ bị xử phạt hành chính hoặc bị truy cứu trách nhiệm
hình sự nếu hành vi này có tính chất vi phạm pháp luật nghiêm trọng.
Do đó, nếu Công ty C nhập khẩu và tiêu thụ sản phẩm tương tự với sản phẩm X của Công ty B trong
khi sản phẩm này đã được đăng ký bảo hộ kiểu dáng công nghiệp và nhãn hiệu tại Việt Nam, Công
ty C có thể bị xử phạt hành chính và phải chịu trách nhiệm hình sự nếu vi phạm pháp luật nghiêm trọng. Tình huống 9
Trưa 13/11/2017, Nguyễn Văn T. mua vé xem phim “Cô Ba Sài Gòn” ở rạp Lottle Cinema Vũng Tàu. T. đã
dùng điện thoại quay livestream nội dung phim đang chiếu lên Facebook. (1)
Hãy cho biết hành vi của Nguyễn Văn T. có vi phạm Luật sở hữu trí tuệ không? Nếu có, hãy cho biết
Nguyễn Văn T. đã vi phạm điều nào của Luật sở hữu trí tuệ và sẽ bị xử lý như thế nào theo điều nào trong luật? (2)
Bạn hãy trình bày và phân tích chi tiết nội dung của điều khoản luật này. (3)
Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ra và giải thích ít nhất 3 lý do tại
sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng. (1)
Hành vi của Nguyễn Văn T. đã vi phạm Luật sở hữu trí tuệ và đã vi phạm những điều khoản của Luật sở hữu trí tuệ sau:
+ Khoản 6 Điều 28: Hành vi xâm phạm quyền tác giả.
+ Khoản 5 Điều 35: Hành vi xâm phạm các quyền liên quan.
- Tùy thuộc vào thiệt hại mà nhà sản xuất phải đối mặt với hành vi livestream, quay lén mà chủ thể thực hiện
sẽ bị xử phạt hành chính theo Điều 18 Nghị định 131/2013/NĐ-CP được sửa đổi bổ sung bởi Nghị định
28/2017/NĐ-CP quy định về hành vi xâm phạm quyền sao chép tác phẩm hoặc truy cứu trách nhiệm hình sự
theo Điều 225 Bộ luật hình sự 2015 (sửa đổi, bổ sung năm 2017) quy định về tội xâm phạm quyền tác giả, quyền liên quan. (2)
Bạn hãy trình bày và phân tích chi tiết nội dung của điều khoản luật này.
- Điều 28: Hành vi xâm phạm quyền tác giả
+ Sao chép tác phẩm mà không được phép của tác giả, chủ sở hữu quyền tác giả, trừ trường hợp quy định tại
điểm a và điểm đ khoản 1 Điều 25 của Luật này. - Điều 35: Hành vi xâm phạm các quyền liên quan lOMoARcPSD| 45470368
+ Sao chép, trích ghép đối với cuộc biểu diễn đã được định hình, ban ghi âm, ghi hình, chương trình phát
sóng mà không được phép của người biểu diễn, nhà sản xuất bản ghi âm, ghi hình, tổ chức phát sóng - Điều
18 Nghị định 131/2013/NĐ-CP được sửa đổi bổ sung bởi Nghị định 28/2017/NĐ-CP quy định về hành
vi xâm phạm quyền sao chép tác phẩm

+ Phạt tiền 15-35 triệu đồng đối với hành vi sao chép bản ghi âm, ghi hình mà không được phép của chủ sở
hữu quyền của nhà sản xuất bản ghi âm, ghi hình. lOMoARcPSD| 45470368
+ Ngoài bị phạt tiền, người vi phạm còn bị áp dụng biện pháp khắc phục hậu quả buộc gỡ bỏ bản sao bản
ghi âm, ghi hình dưới hình thức điện tử, trên môi trường mạng và kỹ thuật số hoặc buộc tiêu hủy tang vật vi phạm.
- Điều 225 Bộ luật hình sự 2015 (sửa đổi, bổ sung năm 2017) quy định về tội xâm phạm quyền tác giả, quyền liên quan.
Người nào không được phép của chủ thể quyền tác giả, quyền liên quan mà cố ý thực hiện một trong các
hành vi sau đây, xâm phạm quyền tác giả, quyền liên quan đang được bảo hộ tại Việt Nam với quy mô
thương mại hoặc thu lợi bất chính từ 50.000.000 đồng đến dưới 300.000.000 đồng hoặc gây thiệt hại cho
chủ thể quyền tác giả, quyền liên quan từ 100.000.000 đồng đến dưới 500.000.000 đồng hoặc hàng hóa vi
phạm trị giá từ 100.000.000 đồng đến dưới 500.000.000 đồng, thì bị phạt tiền từ 50.000.000 đồng đến
300.000.000 đồng hoặc phạt cải tạo không giam giữ đến 03 năm: a) Sao chép tác phẩm, bản ghi âm, bản ghi hình;
b) Phân phối đến công chúng bản sao tác phẩm, bản sao bản ghi âm, bản sao bản ghi hình
(3) Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ra và giải thích ít nhất 3 lý do
tại sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng. 1.
Đảm bảo quyền lợi của mình trên không gian mạng. Trong luật an ninh mạng có ghi rằng an ninh
mạnglà sự bảo đảm hoạt động trên không gian mạng không gây hại đến an ninh quốc gia, trật tự, an toàn xã
hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. Chính vì vậy mà hiểu rõ luật an ninh mạng
chính là bảo về quyền và lợi ích của mình trong quá trình tham gia vào không gian mạng. 2.
Là cơ sở pháp lí cho những tranh chấp xảy ra trên không gian mạng. Không gian mạng cũng giống
ngoàithế giới thực đều có nguy cơ xảy ra các tranh chấp và bất bình trong quá trình làm việc với nhau, vì
vậy luật an ninh mạng ra đời là để đảm bảo được những quy tắc và quy định của chính phủ luôn được tuân
thủ nghiêm ngặt và công bằng nhất trong mọi tình huống. 3.
-Nhằm thay đổi các hành vi xử sự không mong muốn và thiết lập các hành vi xử sự phù hợp, để
mọingười biết được cái nào tốt, cái nào xấu, cái nào ảnh hưởng đến bản thân và người khác. Giúp cho mọi
người có cái nhìn đúng đắn nhất về an ninh mạng, từ đó sẽ có những biện pháp phòng chống tội phạm mạng. Tình huống 10
Sinh viên A thực tập tại công ty chuyên cung cấp phần mềm ERP cho doanh nghiệp, sinh viên này được giao
nhiệm vụ hỗ trợ một nhân viên chính thức của công ty cùng tham gia bảo trì một hệ thống ERP cho một
doanh nghiệp hoạt động trong lĩnh vực sản xuất và cung cấp thiết bị văn phòng. Do vậy, sinh viên A dễ dàng
tiếp cận danh sách các công ty cung cấp nguồn nguyên liệu cho doanh nghiệp này. Trong một lần trò chuyện,
sinh viên A đã vô tình tiết lộ các công ty cung cấp nguồn nguyên liệu với sinh viên B đang thực tập tại công ty đối thủ. (1)
Vậy sinh viên A đã vi phạm nguyên tắc nào của bộ quy tắc ứng xử ACM? (2)
Trình bày chi tiết nguyên tắc trên? (3)
Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ra và giải thích ít nhất 3 lý do tại
sao bạn cần nắm rõ các một số điều khoản luật trong luật an ninh mạng.
Sinh viên A đã vi phạm nguyên tắc của bộ quy tắc ứng xử ACM về việc bảo vệ quyền riêng tư và thông tin
cá nhân của người khác.
Nguyên tắc yêu cầu các nhà khoa học máy tính và các chuyên gia liên quan phải bảo vệ quyền riêng tư và
thông tin cá nhân của người khác. Cụ thể, nguyên tắc này đề cập đến việc tránh việc thu thập thông tin cá
nhân không cần thiết, bán hoặc chia sẻ thông tin cá nhân của người dùng cho bất kỳ mục đích nào mà không
có sự đồng ý của họ, hoặc sử dụng thông tin cá nhân để gây hại cho người dùng hoặc các bên liên quan.
Câu 3: LO 3 - Giải thích được các khái niệm cơ bản về An toàn thông tin, hệ mã hóa
Downloaded by Trang Mai (trang1201@gmail.com) lOMoARcPSD| 45470368
1. An toàn thông tin là gì? Tại sao một doanh nghiệp cần phải có các biện pháp khác nhau để đảm bảotính
an toàn thông tin của doanh nghiệp?
2. Hệ thống thông tin là gì? Hãy cho ví dụ một hệ thống thông tin mà bạn biết. Đưa ra dữ
liệu/thôngtin/chức năng nào cần đảm bảo an toàn, nêu lý do
3. Tam giác CIA là gì? Nêu mối tương quan giữa C, I, A
4. Vulnerability (lổ hỏng) - Threat (mối nguy/mối đe dọa) - Risk (rủi ro) là gì? Nêu mối tương quangiữa 3 yếu tố đó
5. Tấn công (Attack) an toàn thông tin là gì? Ai có thể trở thành kẻ tấn công (Attacker)?
6. Mã độc (Malware) là gì? Nêu các loại mã độc? Cho ví dụ về một tình huống bị tấn công mã đôjc
7. Tấn công mật khẩu là gì? Cho ví dụ về một tình huống bị tấn công. Cách phòng chống tấn công mậtkhẩu?
8. Tấn công backdoor là gì? Cho ví dụ về một tình huống bị tấn công. Cách phòng chống?
9. Tấn công từ chối dịch vụ (DoS, DDoS) là gì? Cho ví dụ về một trường hợp bị tấn công. Cách phòngchống?
10.Tấn công Social Engineering là ? Cho ví dụ về một tình huống bị tấn công. Cách phòng chống?
11.“Theo dõi sự tuân thủ (Monitor for Compliance)” là một trong 10 bước triển khai ISP. Bạn hãy phân
tích để thấy được tại sao cần có “theo dõi sự tuân thủ” trong khi triển khai ISP của một doanh nghiệp. Theo doi su tuan tu la gi?
Tai sao phai theo doi su tuan thu?
Neu ko ko theo doi su tuan thu thi hau qua nhu the nao?
12.“Hiệu chỉnh chính sách (Modify Policy)” là một trong 10 bước triển khai ISP. Bạn hãy phân tích để
thấy được tại sao cần có “hiệu chỉnh chính sách” trong khi triển khai ISP của một doanh nghiệp.
13.”Đánh giá tính hiệu quả (Evaluate Effectiveness)” là một trong 10 bước triển khai ISP. Bạn hãy phân
tích để thấy được tại sao cần có “Đánh giá tính hiệu quả” trong khi triển khai ISP của một doanh nghiệp.
14.”Nhận thức và tập huấn (Awareness & Training)” là một trong 10 bước triển khai ISP. Bạn hãy phân
tích để thấy được tại sao cần có “Nhận thức và tập huấn” trong khi triển khai ISP của một doanh nghiệp. lOMoARcPSD| 45470368 lOMoARcPSD| 45470368 Phần 3 1/
An toàn thông tin là việc bảo vệ thông tin khỏi các mối đe dọa như tấn công từ các hacker, virus máy tính,
lỗi cơ sở dữ liệu và lỗi con người. Điều này đảm bảo rằng thông tin của một tổ chức được bảo vệ và không
bị đánh cắp, sửa đổi hoặc tiết lộ cho những người không được phép. Doanh nghiệp cần có các biện pháp
khác nhau để đảm bảo tính an toàn thông tin của mình vì nếu thông tin của họ bị đánh cắp hoặc lộ ra ngoài
thì họ có thể mất tiền bạc, danh tiếng và khách hàng. Họ cũng có thể bị phạt nếu thông tin cá nhân của khách
hàng bị lộ ra. Do đó, các biện pháp an toàn thông tin đóng vai trò quan trọng trong việc đảm bảo hoạt động
bền vững của doanh nghiệp. 2/
Hệ thống thông tin là tập hợp các thành phần khác nhau, bao gồm phần mềm, phần cứng, mạng và dữ liệu,
được tổ chức để xử lý và lưu trữ thông tin. Ví dụ về một hệ thống thông tin là hệ thống quản lý khách hàng
của một cửa hàng bán lẻ. Hệ thống này chứa thông tin về các khách hàng, sản phẩm đã mua và lịch sử mua hàng.
Trong hệ thống này, dữ liệu của khách hàng là một trong những mục cần phải được đảm bảo an toàn. Điều
này là vì thông tin cá nhân của khách hàng, chẳng hạn như tên, địa chỉ và số điện thoại, được lưu trữ trong
hệ thống và có thể bị lộ ra ngoài nếu hệ thống không được bảo vệ tốt. Việc đảm bảo an toàn thông tin sẽ giúp
đảm bảo tính riêng tư của khách hàng và tránh các rủi ro pháp lý cho doanh nghiệp. 3/
Tam giác CIA là một khái niệm được sử dụng trong an ninh mạng và bảo mật thông tin. CIA là viết tắt của
Confidentiality (tính bảo mật), Integrity (tính toàn vẹn) và Availability (tính khả dụng). Tam giác CIA đề
cập đến các mục tiêu chính trong việc bảo vệ thông tin và hệ thống của một tổ chức. Các yếu tố này liên
quan chặt chẽ với nhau: tính bảo mật được đảm bảo bằng cách giữ cho thông tin bí mật; tính toàn vẹn được
đảm bảo bằng cách đảm bảo thông tin không bị sửa đổi hoặc thay đổi; và tính khả dụng được đảm bảo bằng
cách đảm bảo rằng thông tin và hệ thống có thể truy cập được. 4/
Vulnerability (lổ hỏng) là điểm yếu trong hệ thống hoặc quy trình mà có thể bị khai thác. Threat (mối
nguy/mối đe dọa) là một tình huống hoặc sự kiện có khả năng gây hại cho hệ thống hoặc thông tin của một
tổ chức. Risk (rủi ro) là mức độ tổn thất có thể xảy ra do mối đe dọa khai thác lỗ hổng. Mối tương quan giữa
ba yếu tố này là: lỗ hổng tạo ra mối đe dọa, mối đe dọa có thể được khai thác để gây ra rủi ro. 5/
Tấn công an toàn thông tin là sự vi phạm tính bảo mật của hệ thống hoặc thông tin, nhằm tiết lộ, thay đổi
hoặc phá hủy thông tin. Một kẻ tấn công có thể là một hacker, một tên trộm thông tin hoặc một nhân viên
bên trong với mục đích gian lận hoặc phá hủy thông tin. 6/
Malware (mã độc) là một phần mềm được thiết kế để xâm nhập hoặc tấn công hệ thống hoặc thiết bị của
người dùng mà không được sự cho phép của người dùng. Các loại mã độc bao gồm virus, worm, trojan,
ransomware, spyware, adware, và rootkit.
Ví dụ về một tình huống bị tấn công mã độc là khi một người dùng tải xuống một phần mềm độc hại từ một
trang web bị nhiễm virus, làm cho hệ thống của họ bị lây nhiễm và đe dọa đến tính bảo mật và toàn vẹn của
thông tin trên hệ thống. Mã độc có thể thu thập thông tin nhạy cảm của người dùng và gửi về cho kẻ tấn công
hoặc phát tán virus và worm đến các hệ thống khác. lOMoARcPSD| 45470368 7/
Tấn công mật khẩu là quá trình tìm kiếm hoặc đoán đúng mật khẩu của một tài khoản đăng nhập vào hệ
thống để truy cập trái phép. Một tình huống ví dụ về tấn công mật khẩu là khi một hacker sử dụng phương
pháp Brute Force để thử hàng loạt các mật khẩu khác nhau cho một tài khoản đăng nhập vào một hệ thống,
để tìm ra mật khẩu đúng và có thể truy cập vào hệ thống đó.
Để phòng chống tấn công mật khẩu, các tổ chức có thể sử dụng các biện pháp như cài đặt chính sách mật
khẩu mạnh, sử dụng phương pháp xác thực hai yếu tố, tăng cường việc giám sát và phát hiện các hoạt động
đăng nhập đáng ngờ, đặt giới hạn số lần đăng nhập sai trước khi khoá tài khoản, và đảm bảo mật khẩu được
bảo vệ an toàn và được đổi thường xuyên.
8/Tấn công backdoor là gì? Cho ví dụ về một tình huống bị tấn công. Cách phòng chống?
Tấn công backdoor là quá trình cài đặt một cửa sau (backdoor) trên hệ thống của một tổ chức hoặc cá nhân,
để cho phép kẻ tấn công truy cập vào hệ thống đó mà không cần phải qua quá trình xác thực đăng nhập thông
thường. Một ví dụ về tấn công backdoor là khi một hacker cài đặt phần mềm độc hại trên một hệ thống, cho
phép kẻ tấn công có thể truy cập vào hệ thống đó từ xa và kiểm soát hệ thống đó.
Để phòng chống tấn công backdoor, các tổ chức có thể sử dụng các biện pháp như sử dụng phần mềm bảo
mật chống virus và malware, giám sát hệ thống để phát hiện các hoạt động đáng ngờ, và cập nhật các bản vá
bảo mật cho các lỗ hổng của hệ thống.
9/Tấn công từ chối dịch vụ (DoS, DDoS) là gì? Cho ví dụ về một trường hợp bị tấn công. Cách phòng chống?
Tấn công từ chối dịch vụ (Denial of Service - DoS) là một loại tấn công mạng mà một hoặc nhiều kẻ tấn
công cố gắng làm cho một hệ thống hoặc dịch vụ trở nên không khả dụng đối với người dùng bình thường.
Điều này thường được thực hiện bằng cách gửi nhiều yêu cầu đến hệ thống hoặc dịch vụ, gây quá tải và
khiến nó không thể xử lý các yêu cầu từ người dùng thực.
Một phiên bản cải tiến của tấn công DoS là tấn công phân tán từ chối dịch vụ (DDoS), trong đó kẻ tấn công
sử dụng một mạng lưới các máy tính đã bị nhiễm virus để gửi hàng loạt yêu cầu đến một hệ thống hoặc dịch
vụ nhằm gây quá tải và khiến nó không thể xử lý các yêu cầu.
Ví dụ về một trường hợp bị tấn công DDoS là khi một trang web của một doanh nghiệp bị tấn công bằng
cách gửi hàng ngàn yêu cầu giả mạo từ một mạng lưới botnet, dẫn đến trang web không thể phục vụ các yêu
cầu từ người dùng thực và trở nên không khả dụng trong một thời gian dài.
Để phòng chống tấn công DDoS, các doanh nghiệp có thể triển khai các giải pháp bảo mật như giám sát lưu
lượng mạng, giới hạn số lượng yêu cầu đến từ một địa chỉ IP cụ thể, cung cấp khả năng mở rộng cho các hệ
thống và dịch vụ, cài đặt các giải pháp phòng thủ chống lại các cuộc tấn công từ chối dịch vụ, và định kỳ
kiểm tra và nâng cấp hạ tầng mạng. 10/
Tấn công Social Engineering là một phương thức tấn công nhắm vào con người, thường bằng cách lừa đảo
hay xâm nhập vào tâm lý của nạn nhân để lấy thông tin hoặc tiền bạc.
Ví dụ về một tình huống bị tấn công Social Engineering là khi một kẻ tấn công gọi điện đến một nhân viên
trong doanh nghiệp, giả vờ là một quản lý trong công ty và yêu cầu nhân viên đó cung cấp mật khẩu truy cập
vào hệ thống của công ty. lOMoARcPSD| 45470368
Cách phòng chống tấn công Social Engineering bao gồm:
Đào tạo nhân viên nhận biết các hình thức tấn công Social Engineering.
Xây dựng chính sách bảo mật tại công ty và đảm bảo rằng tất cả nhân viên đều tuân thủ các chính sách đó.
Tăng cường cơ chế xác thực và kiểm tra người dùng đối với các yêu cầu truy cập hệ thống quan trọng.
Cập nhật và bảo mật các phần mềm và thiết bị của công ty để đảm bảo tính bảo mật của hệ thống.
Sử dụng các phương tiện công nghệ để phát hiện và ngăn chặn các hình thức tấn công Social Engineering.
11/ “Theo dõi sự tuân thủ (Monitor for Compliance)” là một trong 10 bước triển khai ISP. Bạn hãy phân tích
để thấy được tại sao cần có “theo dõi sự tuân thủ” trong khi triển khai ISP của một doanh nghiệp.
Theo dõi sự tuân thủ là gìi?
Tai sao phải thao dõi sự tuân thủ?
Nếu không theo dõi sự tuân thủ thì hậu quả thế nào?
Theo dõi sự tuân thủ trong triển khai ISP (Information Security Program) của một doanh nghiệp là việc theo
dõi và đánh giá việc thực thi các chính sách, quy trình và tiêu chuẩn bảo mật thông tin được thiết lập. Theo
dõi sự tuân thủ cũng có thể bao gồm việc giám sát các hành vi và hoạt động của nhân viên, đối tác hoặc bên
thứ ba liên quan đến hệ thống thông tin của doanh nghiệp.
Việc thực hiện theo dõi sự tuân thủ là rất quan trọng vì nó giúp đảm bảo rằng các chính sách bảo mật thông
tin của doanh nghiệp được thực thi đúng cách và hiệu quả. Nếu không có sự theo dõi và đánh giá sự tuân
thủ, doanh nghiệp có thể không nhận ra được các vấn đề bảo mật thông tin đang diễn ra hoặc nhận thấy quá
muộn, từ đó dẫn đến rủi ro bảo mật thông tin và tổn thất cho doanh nghiệp.
Nếu không có sự theo dõi sự tuân thủ, doanh nghiệp có thể bị phát hiện vi phạm quy định bảo mật thông tin
và bị phạt hoặc mất uy tín. Hơn nữa, việc không có sự theo dõi sự tuân thủ có thể dẫn đến những hậu quả
nghiêm trọng như mất thông tin quan trọng, bị tấn công bảo mật hoặc gây ra thiệt hại cho doanh nghiệp.
Vì vậy, theo dõi sự tuân thủ là một bước quan trọng trong triển khai ISP của một doanh nghiệp, giúp đảm
bảo việc bảo mật thông tin được thực hiện đầy đủ và hiệu quả. 12/
“Hiệu chỉnh chính sách (Modify Policy)” trong 10 bước triển khai ISP là gì và tại sao cần có nó trong triển
khai ISP của một doanh nghiệp?
Hiệu chỉnh chính sách là quá trình xác định và cập nhật lại các quy định, quy trình và tiêu chuẩn để đảm bảo
tính hiệu quả của chính sách bảo mật thông tin của doanh nghiệp.
Tại sao cần có hiệu chỉnh chính sách trong triển khai ISP của một doanh nghiệp?
Các chính sách bảo mật thông tin được thiết kế để đảm bảo rằng dữ liệu và thông tin của doanh nghiệp được
bảo vệ chặt chẽ, nhưng các chính sách đó phải được cập nhật và hiệu chỉnh thường xuyên để đáp ứng với
các thách thức an ninh mới nhất. Việc hiệu chỉnh chính sách bảo mật thông tin giúp cho doanh nghiệp đảm
bảo rằng các quy định, quy trình và tiêu chuẩn được thích nghi với môi trường kinh doanh thay đổi và các
thách thức an ninh mới nhất, đồng thời giúp tăng cường tính linh hoạt, đáp ứng nhanh chóng với các vấn đề bảo mật thông tin. lOMoARcPSD| 45470368
Nếu không có hiệu chỉnh chính sách, doanh nghiệp có thể sẽ sử dụng các chính sách cũ và lỗi thời, không
đáp ứng được với các mối đe dọa mới nhất, khiến cho dữ liệu và thông tin của doanh nghiệp trở nên dễ bị tấn công. 13/
Đánh giá tính hiệu quả là một bước quan trọng trong quá trình triển khai ISP của một doanh nghiệp vì nó
giúp đánh giá và xác định sự hiệu quả của các biện pháp bảo mật đã triển khai. Khi đánh giá tính hiệu quả,
doanh nghiệp có thể đánh giá được mức độ đạt được các mục tiêu bảo mật, đánh giá được sự hiệu quả của
các chính sách và quy trình bảo mật, cũng như đánh giá được mức độ đáp ứng của hệ thống bảo mật với các
yêu cầu và quy định liên quan. Đánh giá tính hiệu quả giúp doanh nghiệp cải thiện các biện pháp bảo mật
hiện tại và lập kế hoạch cho các biện pháp bảo mật tương lai. 14/
Nhận thức và tập huấn là một bước quan trọng trong quá trình triển khai ISP của một doanh nghiệp. Bước
này giúp cung cấp kiến thức và kỹ năng cần thiết cho nhân viên về các mối đe dọa bảo mật và cách phòng
chống chúng, từ đó giúp nâng cao nhận thức và sự hiểu biết của nhân viên về các vấn đề bảo mật. Khi nhân
viên có kiến thức và kỹ năng cần thiết, họ sẽ có thể giúp bảo vệ hệ thống và dữ liệu của doanh nghiệp khỏi
các mối đe dọa bảo mật. Tập huấn cũng giúp doanh nghiệp đảm bảo rằng các nhân viên đang tuân thủ các
chính sách và quy trình bảo mật của doanh nghiệp. Ngoài ra, bước nhận thức và tập huấn còn giúp doanh
nghiệp tạo ra một văn hóa bảo mật tốt, khuyến khích sự tham gia của toàn bộ nhân viên trong việc đảm bảo
an toàn thông tin của doanh nghiệp.
LO1: GIẢI THÍCH SỰ ẢNH HƯỞNG CỦA AN TOÀN HTTT ĐẾN CÁ NHÂN, TỔ CHỨC VÀ XÃ HỘI Tình huống 8
FPT Software là một công ty phần mềm gia công phần mềm hàng đầu tại Việt Nam. Với các công ty con và
văn phòng tại chín quốc gia trên toàn thế giới (Nhật Bản, Hoa Kỳ, Pháp, Đức, Singapore, Malaysia, Úc, Thái
Lan, và Philippines). FPT Software được phục vụ hơn 150 khách hàng toàn cầu. FPT là công ty số 1 tại Việt
Nam trong các lĩnh vực Phần mềm, Tích hợp hệ thống, Dịch vụ CNTT, Phân phối và Sản xuất các sản phẩm
CNTT, Bán lẻ sản phẩm CNTT... Ở lĩnh vực viễn thông, FPT là một trong 3 nhà cung cấp dịch vụ viễn thông
cố định và Internet lớn nhất Việt Nam. Ở lĩnh vực nội dung số, FPT hiện là đơn vị Quảng cáo trực tuyến số
1 tại Việt Nam và tự hào sở hữu hệ thống báo điện tử có 42 triệu lượt truy cập mỗi ngày. Ngoài ra, FPT còn
sở hữu khối giáo dục đại học và dạy nghề với tổng số gần 16.000 sinh viên và là một trong những đơn vị đào
tạo về CNTT tốt nhất tại Việt Nam. 1)
Hãy nêu và giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối với công ty/doanh nghiệp được mô tảở trên 2)
Tại sao một doanh nghiệp cần phải có các biện pháp khác nhau để đảm bảo tính an toàn thông tin củadoanh nghiệp? Bài làm
Câu 1
: Bốn tính cần thiết của an toàn hệ thống thông tin đối với công ty/ doanh nghiệp được mô tả trên: -
Tính bí mật: Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượng không được xác
thực hoặc để lọt vào các hệ thống khác. Vậy tính bí mật giữ cho khách hàng khi sử dụng có thể tuyệt mật
thông tin cá nhân của mình một cách an toàn nhất. -
Tính toàn vẹn: có nghĩa rằng dữ liệu không thể bị chỉnh sửa mà không bị phát hiện. Nó khác với
tính toàn vẹn trong tham chiếu của cơ sở dữ liệu, mặc dù nó có thể được xem như là một trường hợp đặc biệt
của tính nhất quán như được hiểu trong hô hình cổ điển ACID (tính nguyên tử (atomicity), tính nhất quán
(consistency), tính tính cách ly (isolation), tính lâu bền (durability) – là một tập các thuộc tính đảm bảo rằng
cơ sở dữ liệu đáng tin cậy) của xử lý giao dịch.