Yêu cầu quản lý và yêu cầu kỹ thuật đối với hệ thống thông tin cấp độ 1 cần đảm bảo những gì để đúng với Tiêu chuẩn?

Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ theo Tiêu chuẩn là gì? Quy định về yêu cầu quản lý, yêu cầu kỹ thuật đối với hệ thống thông tin cấp độ 1 phải đảm bảo như thế nào? Anh Trịnh Hoàng (Hải Phòng) đặt câu hỏi.

Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ theo Tiêu chuẩn là gì?

Tại Mục 4 Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ có quy định Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ như sau:

Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ
Các yêu cầu của từng cấp độ được chia làm hai nhóm: yêu cầu quản lý và yêu cầu kỹ thuật.
Yêu cầu quản lý đưa ra các yêu cầu về mặt quản lý nhằm quản lý việc xây dựng, quản lý vận hành và gỡ bỏ hệ thống thông tin bảo đảm an toàn. Các yêu cầu quản lý được chia thành các nhóm yêu cầu: thiết lập chính sách an toàn thông tin; tổ chức bảo đảm an toàn thông tin; bảo đảm nguồn nhân lực; quản lý thiết kế, xây dựng hệ thống; quản lý vận hành hệ thống.
Yêu cầu kỹ thuật đưa ra các yêu cầu về mặt kỹ thuật để bảo đảm việc thiết kế, xây dựng và thiết lập hệ thống thông tin bảo đảm an toàn. Các yêu cầu kỹ thuật được chia thành các nhóm yêu cầu: bảo đảm an toàn mạng; bảo đảm an toàn máy chủ; bảo đảm an toàn ứng dụng; bảo đảm an toàn dữ liệu.

Yêu cầu quản lý và yêu cầu kỹ thuật đối với hệ thống thông tin cấp độ 1 cần đảm bảo những gì để đúng với Tiêu chuẩn?

Yêu cầu quản lý và yêu cầu kỹ thuật đối với hệ thống thông tin cấp độ 1 cần đảm bảo những gì để đúng với Tiêu chuẩn? (Hình từ Internet)

Quy định về yêu cầu quản lý đối với hệ thống thông tin cấp độ 1 cần đảm bảo như thế nào?

Theo Mục 5.1 Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ quy định như sau:

Yêu cầu quản lý
5.1.1 Thiết lập chính sách an toàn thông tin
5.1.1.1 Chính sách an toàn thông tin
Xây dựng chính sách, quy trình quản lý, vận hành hoạt động bình thường của hệ thống nhằm bảo đảm tính sẵn sàng của hệ thống trong quá trình vận hành, khai thác.
5.1.1.2 Xây dựng và công bố
Chính sách được tổ chức/bộ phận được ủy quyền thông qua trước khi công bố áp dụng.
5.1.1.3 Rà soát, sửa đổi
Định kỳ 03 năm hoặc khi có thay đổi chính sách an toàn thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung.
5.1.2 Tổ chức bảo đảm an toàn thông tin
5.1.2.1 Đơn vị chuyên trách về an toàn thông tin
Có cán bộ có trách nhiệm bảo đảm an toàn thông tin cho hệ thống thông tin.
5.1.2.2 Phối hợp với cơ quan/tổ chức có thẩm quyền
a) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin;
b) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin.
5.1.3 Bảo đảm nguồn nhân lực
5.1.3.1 Tuyển dụng
Cán bộ được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành phù hợp với vị trí tuyển dụng.
5.1.3.2 Trong quá trình làm việc
a) Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống;
b) Có hình thức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng.
5.1.3.3 Chấm dứt hoặc thay đổi công việc
Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức.
5.1.4 Quản lý thiết kế, xây dựng hệ thống
5.1.4.1 Thiết kế an toàn hệ thống thông tin
a) Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;
b) Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin.
5.1.4.2 Thử nghiệm và nghiệm thu hệ thống
Thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng.
5.1.5 Quản lý vận hành hệ thống
5.1.5.1 Quản lý an toàn mạng
Xây dựng và thực thi chính sách, quy trình quản lý vận hành hoạt động bình thường của hạ tầng mạng.
5.1.5.2 Quản lý an toàn máy chủ và ứng dụng
Xây dựng và thực thi chính sách, quy trình quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ.
5.1.5.3 Quản lý an toàn dữ liệu
Có phương án sao lưu dự phòng thông tin, dữ liệu, cấu hình hệ thống.

Theo đó, yêu cầu về quản lý đối với hệ thống thông tin cấp độ 1 bao gồm:

- Thiết lập chính sách an toàn thông tin,

- Tổ chức bảo đảm an toàn thông tin,

- Bảo đảm nguồn nhân lực,

- Quản lý hệ thống, xây dựng hệ thống

- Quản lý vận hành hệ thống.

Yêu cầu kỹ thuật đối với hệ thống thông tin cấp độ 1 phải tuân thủ những vấn đề gì?

Về yêu cầu kỹ thuật ta căn cứ theo Mục 5.2 Tiêu chuẩn quốc gia TCVN 11930:2017 như sau:

Yêu cầu kỹ thuật
5.2.1 Bảo đảm an toàn mạng
5.2.1.1 Thiết kế hệ thống
a) Thiết kế các vùng mạng trong hệ thống theo chức năng, bao gồm tối thiểu các vùng mạng:
- Vùng mạng nội bộ;
- Vùng mạng biên;
- Vùng DMZ.
b) Phương án thiết kế bảo đảm các yêu cầu sau:
- Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn;
- Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập.
5.2.1.2 Kiểm soát truy cập từ bên ngoài mạng
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập thông tin nội bộ hoặc quản trị hệ thống từ các mạng bên ngoài và mạng Internet;
b) Kiểm soát truy cập từ bên ngoài vào hệ thống theo từng dịch vụ, ứng dụng cụ thể; chặn tất cả truy cập tới các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép truy cập từ bên ngoài.
5.2.1.3 Nhật ký hệ thống
Thiết lập chức năng ghi, lưu trữ nhật ký hệ thống trên các thiết bị mạng chính.
5.2.1.4 Phòng chống xâm nhập
a) Có phương án phòng chống xâm nhập để bảo vệ vùng DMZ;
b) Định kỳ cập nhật cơ sở dữ liệu dấu hiệu phát hiện tấn công mạng (Signatures).
5.2.1.5 Bảo vệ thiết bị hệ thống
a) Cấu hình chức năng xác thực trên các thiết bị hệ thống (nếu hỗ trợ) để xác thực người dùng khi quản trị thiết bị trực tiếp hoặc từ xa;
b) Thiết lập cấu hình chỉ cho phép sử dụng các kết nối mạng an toàn (nếu hỗ trợ) khi truy cập, quản trị thiết bị từ xa.
5.2.2 Bảo đảm an toàn máy chủ
5.2.2.1 Xác thực
a) Thiết lập chính sách xác thực trên máy chủ để xác thực người dùng khi truy cập, quản lý và sử dụng máy chủ;
b) Thay đổi các tài khoản mặc định trên hệ thống hoặc vô hiệu hóa (nếu không sử dụng);
c) Thiết lập cấu hình máy chủ để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:
- Yêu cầu thay đổi mật khẩu mặc định;
- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.
5.2.2.2 Kiểm soát truy cập
Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa.
5.2.2.3 Nhật ký hệ thống
a) Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:
- Thông tin kết nối mạng tới máy chủ (Firewall log);
- Thông tin đăng nhập vào máy chủ;
b) Đồng bộ thời gian giữa máy chủ với máy chủ thời gian.
5.2.2.4 Phòng chống xâm nhập
a) Loại bỏ các tài khoản không sử dụng, các tài khoản không còn hợp lệ trên máy chủ;
b) Sử dụng tường lửa của hệ điều hành và hệ thống để cấm các truy cập trái phép tới máy chủ.
5.2.2.5 Phòng chống phần mềm độc hại
Cài đặt phần mềm phòng chống mã độc (hoặc có phương án khác tương đương) và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm.
5.2.3 Bảo đảm an toàn ứng dụng
5.2.3.1 Xác thực
a) Thiết lập cấu hình ứng dụng để xác thực người sử dụng khi truy cập, quản trị, cấu hình ứng dụng;
b) Lưu trữ có mã hóa thông tin xác thực hệ thống;
c) Thiết lập cấu hình ứng dụng để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:
- Yêu cầu thay đổi mật khẩu mặc định;
- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.
5.2.3.2 Kiểm soát truy cập
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị ứng dụng từ xa;
b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng.
5.2.3.3 Nhật ký hệ thống
Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:
- Thông tin truy cập ứng dụng;
- Thông tin đăng nhập khi quản trị ứng dụng.
5.2.4 Bảo đảm an toàn dữ liệu
5.2.4.1 Sao lưu dự phòng
Thực hiện sao lưu dự phòng các thông tin, dữ liệu quan trọng trên hệ thống.

Như vậy, yêu cầu kỹ thuật đối với hệ thống thông tin cấp độ 1 phải tuân thủ những vấn đề sau đây:

- Bảo đảm an toàn mạng

- Bảo đảm an toàn máy chủ

- Bảo đảm an toàn ứng dụng

- Bảo đảm an toàn dữ liệu.

Hệ thống thông tin
Căn cứ pháp lý
MỚI NHẤT
Pháp luật
Hệ thống thông tin xét duyệt cho thuê tài chính bằng phương tiện điện tử phải bảo đảm an toàn hệ thống thông tin cấp độ mấy?
Pháp luật
Các thông tin an toàn thông tin mạng tối thiểu cần thu thập và cung cấp đối với hệ thống thông tin cấp độ 3 trở lên bao gồm những gì?
Pháp luật
Giám sát an toàn hệ thống thông tin được thực hiện thông qua phương thức giám sát trực tiếp đúng không?
Pháp luật
Hệ thống thông tin quan trọng về an ninh quốc gia là gì? Việc kiểm tra, giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như thế nào?
Pháp luật
Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được lưu trực tuyến bao nhiêu tháng?
Pháp luật
Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7 trong hoạt động ngân hàng là hệ thống thông tin cấp mấy?
Pháp luật
4 nguyên nhân dẫn đến việc chưa tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ là gì?
Pháp luật
Chậm nhất tháng 9/2024 100% hệ thống thông tin đang vận hành phải được phê duyệt cấp độ an toàn hệ thống thông tin?
Pháp luật
Sổ tay hướng dẫn tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ do ai ban hành?
Pháp luật
Chủ quản hệ thống thông tin theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp là những cơ quan nào?
Đặt câu hỏi

Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.

Đi đến trang Tìm kiếm nội dung Tư vấn pháp luật - Hệ thống thông tin
3,178 lượt xem
TÌM KIẾM LIÊN QUAN
Hệ thống thông tin

TÌM KIẾM VĂN BẢN
Xem toàn bộ văn bản về Hệ thống thông tin

Chủ quản: Công ty THƯ VIỆN PHÁP LUẬT. Giấy phép số: 27/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 09/05/2019.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3930 3279
Địa chỉ: P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;
Địa điểm Kinh Doanh: Số 17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q3, TP. HCM;
Chứng nhận bản quyền tác giả số 416/2021/QTG ngày 18/01/2021, cấp bởi Bộ Văn hoá - Thể thao - Du lịch
Thông báo
Bạn không có thông báo nào