ỦY BAN NHÂN DÂN
TỈNH ĐỒNG THÁP
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
Số:
927/QĐ-UBND-HC
|
Đồng
Tháp, ngày 10 tháng 8 năm 2018
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG
CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH
ỦY BAN NHÂN DÂN TỈNH ĐỒNG THÁP
Căn cứ Luật Tổ chức chính quyền địa
phương ngày 19 tháng 6 năm 2015;
Căn cứ Luật Công nghệ thông tin
ngày 29 tháng 6 năm 2006;
Căn cứ Luật an toàn thông tin mạng
ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 85/2016/NĐ-CP
ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin
theo cấp độ; Nghị định số 142/2016/NĐ-CP ngày 14 tháng 10 năm 2016 của Chính phủ
về ngăn chặn xung đột thông tin trên mạng;
Căn cứ Thông tư số
20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền
thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Xét đề nghị của Sở Thông tin và
Truyền thông tại Tờ trình số 133/TTr-STTTT ngày 20 tháng 7 năm 2018,
QUYẾT ĐỊNH:
Điều 1. Ban hành
kèm theo Quyết định này là Quy chế bảo đảm an toàn thông tin mạng trong hoạt động
ứng dụng công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh.
Điều 2. Quyết định
này có hiệu lực kể từ ngày ký và thay thế Quyết định số 915/QĐ-UBND-HC ngày 08
tháng 10 năm 2010 của Ủy ban nhân dân tỉnh về việc ban hành Quy chế bảo đảm an toàn,
an ninh thông tin trong lĩnh vực ứng dụng công nghệ thông tin của các cơ quan
nhà nước trên địa bàn tỉnh Đồng Tháp.
Điều 3. Chánh Văn
phòng Ủy ban nhân dân tỉnh, Giám đốc các Sở, ban, ngành tỉnh, Chủ tịch Ủy ban
nhân dân các huyện, thị xã, thành phố, các tổ chức, cá nhân có liên quan chịu
trách nhiệm thi hành Quyết định này./.
Nơi nhận:
- Bộ Thông tin và Truyền
thông;
- TT: TU, HĐND tỉnh;
- Chủ tịch và các PCT. UBND tỉnh;
- VP.TU, các Ban đảng;
- UBMTTQ tỉnh; các TCCTXH tỉnh;
- VP. UBND tỉnh;
- Lưu: VT. KGVX, BM.
|
TM.
ỦY BAN NHÂN DÂN
CHỦ TỊCH
Nguyễn Văn Dương
|
QUY CHẾ
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG
TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH ĐỒNG THÁP
(kèm theo Quyết định số 927/QĐ-UBND-HC ngày 10 tháng 8 năm 2018 của Ủy ban
nhân dân tỉnh)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi
điều chỉnh, đối tượng áp dụng
Quy chế này quy định về phạm vi tài
nguyên thông tin, các nguyên tắc, chính sách, biện pháp cơ bản bảo đảm an toàn
thông tin mạng trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà
nước trên địa bàn tỉnh.
Quy chế này áp dụng đối với các cơ
quan nhà nước, đơn vị thuộc tỉnh (sau đây gọi là cơ quan, đơn vị) và cán bộ,
công chức, viên chức, người lao động trong các cơ quan, đơn vị (sau đây gọi là
cá nhân) tham gia vào hoạt động ứng dụng công nghệ thông tin của tỉnh.
Khuyến khích các cơ quan, đơn vị khác
hoạt động ứng dụng và phát triển công nghệ thông tin trên địa bàn tỉnh áp dụng
quy chế này.
Điều 2. Giải
thích từ ngữ
Trong Quy chế này, các từ ngữ dưới
đây được hiểu như sau:
1. An toàn thông tin mạng là sự bảo vệ
thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ,
gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo
mật và tính khả dụng của thông tin.
2. Mạng là môi trường trong đó thông
tin được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông qua mạng
viễn thông và mạng máy tính.
3. Hệ thống thông tin là tập hợp phần
cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp,
truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.
4. Chủ quản hệ thống thông tin là cơ
quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thông
tin.
5. Trang thông tin điện tử là trang
thông tin hoặc một tập hợp trang thông tin trên môi trường mạng phục vụ cho việc
cung cấp, trao đổi thông tin.
6. Cổng thông tin điện tử là điểm
truy nhập duy nhất của cơ quan, đơn vị trên môi trường mạng, liên kết, tích hợp các kênh thông tin, các dịch vụ và các ứng dụng qua đó người dùng có
thể khai thác, sử dụng và cá nhân hóa việc hiển thị thông tin.
7. Xâm phạm an toàn thông tin mạng là
hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép
thông tin, hệ thống thông tin.
8. Sự cố an toàn thông tin mạng là việc
thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn,
tính bảo mật hoặc tính khả dụng.
9. Rủi ro an toàn thông tin mạng là
những nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng trạng thái an toàn
thông tin mạng.
10. Phần mềm độc hại là phần mềm có
khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống
thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ
trong hệ thống thông tin.
11. Bản ghi nhật ký hệ thống là một tập
tin được tạo ra trên mỗi thiết bị của hệ thống thông tin như: thiết bị bảo mật,
thiết bị tính toán, máy chủ ứng dụng,... có chứa tất cả thông tin về các hoạt động
xảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sự kiện
đã xảy ra, nguồn gốc và các kết quả để có biện pháp xử lý thích hợp.
12. Người sử dụng là cá nhân sử dụng
máy tính để xử lý công việc.
13. Thông tin cá nhân là thông tin gắn
với việc xác định danh tính của một người cụ thể.
Điều 3. Tài
nguyên thông tin cần bảo đảm an toàn thông tin
Tài nguyên thông tin cần bảo đảm an
toàn thông tin trên địa bàn tỉnh Đồng Tháp bao gồm các thành phần sau đây:
1. Hệ thống hạ tầng kỹ thuật:
a) Thiết bị tính toán, lưu trữ (máy
chủ, máy trạm, SAN, NAS,...).
b) Thiết bị ngoại vi (máy in, máy
quét và các thiết bị số hóa, thiết bị lưu trữ dữ liệu di động,...).
c) Đường truyền dữ liệu, đường truyền
Internet.
d) Mạng nội bộ (LAN), mạng diện rộng
(WAN) và thiết bị kết nối mạng, thiết bị bảo mật, thiết bị phụ trợ.
đ) Thiết bị công nghệ thông tin kết nối
mạng trong các cơ quan, đơn vị.
2. Hệ thống thông tin, phần mềm, ứng
dụng và cơ sở dữ liệu:
a) Hệ thống thông tin, cơ sở dữ liệu
dùng chung (hệ thống thư điện tử, hệ thống phần mềm một cửa điện tử và cổng dịch
vụ công, hệ thống phần mềm quản lý văn bản và điều hành,...).
b) Cổng thông tin điện tử của tỉnh và
hệ thống trang/Cổng thông tin điện tử của các cơ quan, đơn vị.
c) Hệ thống thông tin nghiệp vụ và
các cơ sở dữ liệu chuyên ngành.
3. Thông tin, dữ liệu được trao đổi,
truyền tải, xử lý và lưu trữ trên hạ tầng kỹ thuật của tỉnh.
Điều 4. Nguyên tắc
chung về bảo đảm an toàn thông tin mạng
1. Bảo đảm an toàn thông tin mạng là
yêu cầu bắt buộc, có tính xuyên suốt và phải thường xuyên, liên tục được nâng
cao, cải tiến trong quá trình:
a) Thu thập, tạo lập, xử lý, truyền tải,
lưu trữ và sử dụng thông tin, dữ liệu.
b) Thiết kế, xây dựng, vận hành, nâng
cấp, hủy bỏ hệ thống thông tin.
2. Cơ quan, đơn vị và cá nhân có
trách nhiệm thực hiện đầy đủ, nghiêm túc các quy định của pháp luật, quy định,
quy chế của tỉnh về bảo vệ bí mật nhà nước và bảo đảm an toàn thông tin.
3. Các dự án ứng dụng công nghệ thông
tin phải có ý kiến thẩm định nội dung liên quan đến an toàn thông tin trước khi
được phê duyệt.
4. Khi thực hiện thuê dịch vụ công
nghệ thông tin hoặc sử dụng dịch vụ công nghệ thông tin do bên thứ ba cung cấp,
cơ quan, đơn vị và cá nhân phải quản lý việc sở hữu thông tin, dữ liệu từ dịch
vụ đó; yêu cầu nhà cung cấp dịch vụ có trách nhiệm bảo mật thông tin; không để
nhà cung cấp dịch vụ truy nhập, sử dụng thông tin, dữ liệu thuộc phạm vi nhà nước
quản lý.
5. Xử lý sự cố an toàn thông tin phải
phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp
pháp của cơ quan, đơn vị, cá nhân liên quan và theo quy định của pháp luật.
Điều 5. Các hành
vi bị nghiêm cấm
1. Vi phạm quy định, quy chế về quản
lý, vận hành, sử dụng và bảo đảm an toàn thông tin đối với hạ tầng kỹ thuật và hệ
thống thông tin của tỉnh.
2. Truy nhập, tác động trái phép, làm
sai lệch, gây nguy hại đến thông tin, dữ liệu hoặc xâm phạm an toàn thông tin của
cơ quan, đơn vị và cá nhân khác.
3. Tấn công, làm ảnh hưởng đến hoạt động
bình thường của hệ thống thông tin hoặc ngăn chặn trái
phép, gây gián đoạn truy nhập hợp pháp của người sử dụng tới hệ thống thông
tin.
4. Sử dụng tài nguyên thông tin của tỉnh
để phát tán thư rác, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống thông
tin giả mạo, lừa đảo.
Chương II
NỘI DUNG BẢO ĐẢM
AN TOÀN THÔNG TIN MẠNG
Điều 6. Bảo đảm
an toàn thông tin mức vật lý
1. Bảo đảm an toàn thông tin mức vật
lý là việc bảo vệ hệ thống hạ tầng kỹ thuật, phần mềm, ứng dụng và cơ sở dữ liệu
khỏi các mối nguy hiểm vật lý (như: cháy, nổ; nhiệt độ, độ ẩm ngoài mức cho
phép; thiên tai; mất điện; tác động cơ học) có thể gây ảnh hưởng đến hoạt động
hệ thống.
2. Các biện pháp cơ bản bảo đảm an
toàn thông tin mức vật lý bao gồm:
a) Quản lý trung tâm tích hợp dữ liệu/phòng
máy chủ:
- Các thiết bị kết nối mạng, thiết bị
bảo mật quan trọng như tường lửa, thiết bị định tuyến, hệ thống máy chủ, hệ thống
lưu trữ SAN, NAS,... phải được đặt trong trung tâm tích hợp
dữ liệu/phòng máy chủ;
- Trung tâm tích hợp dữ liệu/phòng
máy chủ phải được thiết lập cơ chế bảo vệ, theo dõi, phát hiện xâm nhập và biện
pháp kiểm soát truy nhập, kết nối vật lý phù hợp đối với từng khu vực: máy chủ
và hệ thống lưu trữ; từ mạng và đấu nối; thiết bị nguồn điện và dự phòng điện
khẩn cấp; vận hành, kiểm soát, quản trị hệ thống. Cơ quan, đơn vị chủ quản
trung tâm tích hợp dữ liệu/phòng máy chủ có trách nhiệm xây dựng nội quy hoặc
hướng dẫn làm việc trong các khu vực này;
- Quá trình vào, ra hoặc bàn giao ca
trực trung tâm tích hợp dữ liệu/phòng máy chủ phải được ghi nhận vào nhật ký quản
lý trung tâm tích hợp dữ liệu/phòng máy chủ. Chỉ những cá nhân có quyền, nhiệm
vụ theo quy định của thủ trưởng cơ quan, đơn vị mới được phép vào trung tâm
tích hợp dữ liệu/phòng máy chủ;
- Có phương án, kế hoạch phòng, chống
và khắc phục sự cố ngập dột nước, sét, tĩnh điện, cháy nổ; áp dụng các quy chuẩn
kỹ thuật về an toàn kỹ thuật nhiệt, độ ẩm, ánh sáng cho các thiết bị tính toán,
lưu trữ; bảo đảm điều kiện hoạt động ổn định cho các hệ thống hỗ trợ như máy điều
hòa nhiệt độ, nguồn cấp điện, dây dẫn;
- Trung tâm tích hợp dữ liệu/phòng
máy chủ phải được trang bị hệ thống lưu điện đủ công suất và duy trì thời gian
hoạt động của các máy chủ ít nhất 15 phút khi có sự cố mất điện.
b) Thiết lập cơ chế dự phòng đối với
các thiết bị hạ tầng kỹ thuật quan trọng; có kế hoạch kiểm tra, bảo dưỡng định
kỳ và duy trì thông số kỹ thuật các thiết bị này hoặc có phương án sửa chữa,
thay thế đáp ứng yêu cầu về độ sẵn sàng trong suốt thời gian lắp đặt, sử dụng.
c) Các đường truyền dữ liệu, đường
truyền Internet và hệ thống dây dẫn các mạng WAN, LAN phải được lắp đặt trong ống,
máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối cổng
Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các cơ quan,
đơn vị.
d) Cá nhân sử dụng thiết bị lưu trữ dữ
liệu di động để lưu trữ thông tin, dữ liệu của cơ quan, đơn vị mình có trách
nhiệm bảo vệ thiết bị này và thông tin lưu trên thiết bị, tránh làm mất hoặc lộ,
lọt thông tin, dữ liệu. Không mang ra nước ngoài thông tin, dữ liệu của cơ
quan, đơn vị, của Nhà nước mà không liên quan tới nội dung công việc thực hiện ở
nước ngoài.
đ) Thiết bị tính toán có bộ phận lưu
trữ hoặc thiết bị lưu trữ khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài
hoặc ngừng sử dụng phải được tháo bộ phận lưu trữ khỏi thiết bị hoặc xóa thông
tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục dữ liệu). Khi
thanh lý thiết bị thì phải xóa nội dung lưu trữ bằng phần mềm hoặc thiết bị hủy
dữ liệu chuyên dụng hay phá hủy vật lý.
3. Cơ quan, đơn vị có trách nhiệm xây
dựng quy trình bảo dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý, vận hành
hệ thống hạ tầng kỹ thuật của mình; chỉ định bộ phận chuyên trách về công nghệ
thông tin thực hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa, bảo trì
thiết bị (bao gồm thiết bị đang hoạt động và thiết bị dự phòng).
Điều 7. Bảo đảm
an toàn thông tin khi sử dụng máy tính
1. Cá nhân sử dụng máy tính để xử lý
công việc tuân thủ các quy định sau:
a) Chỉ cài đặt phần mềm hợp lệ (phần
mềm có bản quyền thương mại, phần mềm nội bộ được đầu tư hoặc phần mềm mã nguồn
mở có nguồn gốc rõ ràng) và thuộc danh mục phần mềm được phép sử dụng do cơ
quan, đơn vị có thẩm quyền ban hành (nếu có) trên máy tính được cơ quan, đơn vị
cấp cho mình.
b) Cài đặt phần mềm xử lý phần mềm độc
hại và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm; thực hiện
kiểm tra, rà quét phần mềm độc hại khi sao chép, mở các tập
tin hoặc trước khi kết nối các thiết bị lưu trữ dữ liệu di động với máy tính của
mình.
c) Khi phát hiện ra bất kỳ dấu hiệu
nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính (máy chạy chậm bất
thường, cảnh báo từ phần mềm phòng, chống phần mềm độc hại, mất dữ liệu,...),
phải ngắt kết nối giữa máy với mạng nội bộ và báo trực tiếp cho bộ phận chuyên
trách về công nghệ thông tin để được xử lý kịp thời.
d) Chỉ truy nhập vào các trang/cổng
thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức
năng, trách nhiệm, quyền hạn của mình; sử dụng những trình duyệt an toàn; không
truy nhập, mở các trang tin, thư điện tử không rõ nguồn gốc; không sử dụng tính
năng lưu mật khẩu tự động hoặc đăng nhập tự động.
đ) Có trách nhiệm bảo mật tài khoản
truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác.
Đặt mật khẩu với độ an toàn cao (có chữ thường, có chữ in hoa, có số và ký tự đặc
biệt như @, #, !,...) và thay đổi mật khẩu ít nhất 06 tháng/lần; các tài khoản
đăng nhập các hệ thống phải được đăng xuất khi không sử dụng; thường xuyên xóa
các biểu mẫu, mật khẩu, bộ nhớ cache và cookie trong trình duyệt trên máy tính.
e) Máy tính cá nhân phải được cài đặt
mật khẩu và thực hiện thao tác khóa máy tính (sử dụng tính năng có sẵn trên máy
tính) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.
g) Phải sử dụng hộp thư điện tử công vụ
của tỉnh có tên miền: @dongthap.gov.vn hoặc hộp thư điện tử có tên miền đặc thù
theo quy định của ngành nhưng phải đảm bảo tính an toàn, bảo mật khi trao đổi
trên môi trường mạng trong quá trình thực hiện nhiệm vụ công vụ.
h) Báo cáo và phải được thủ trưởng cơ
quan, đơn vị đồng ý, cho phép trước khi mang máy tính, thiết bị công nghệ thông
tin có kết nối mạng thuộc sở hữu riêng đến nơi làm việc và kết nối với mạng nội
bộ để thực hiện xử lý công việc. Trong trường hợp này, cá nhân phải tuân thủ đầy
đủ các quy định tại các Điểm a, b, c, d, đ, e, g của Khoản này và chịu sự giám
sát của bộ phận chuyên trách về công nghệ thông tin của cơ quan, đơn vị.
2. Cơ quan, đơn vị có trách nhiệm tập
hợp, cập nhật tài liệu hướng dẫn, quy định về bảo đảm an toàn thông tin khi sử
dụng máy tính (cho phù hợp với điều kiện môi trường hoạt động, tình hình phát
triển công nghệ thông tin) và phổ biến đến tất cả cá nhân thuộc phạm vi cơ
quan, đơn vị mình để tuân thủ thực hiện.
3. Tài khoản truy nhập
a) Cá nhân sử dụng hệ thống thông tin
được cấp và sử dụng tài khoản truy nhập với định danh duy nhất gắn với cá nhân
đó. Các hệ thống thông tin dùng chung của tỉnh sử dụng cơ chế đăng nhập một lần,
chung một tài khoản truy nhập và mật khẩu.
b) Trường hợp cá nhân thay đổi vị trí
công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, trong vòng không quá 05
ngày làm việc, cơ quan, đơn vị quản lý cá nhân đó phải thông báo cơ quan, đơn vị
chủ quản hệ thống thông tin để điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng đối
với hệ thống thông tin.
c) Tài khoản quản trị hệ thống (mạng,
hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải
tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản quản
trị hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế
dùng chung tài khoản quản trị.
Điều 8. Bảo đảm
an toàn thông tin đối với mạng máy tính
1. Hệ thống mạng nội bộ (LAN) phải được
thiết kế phân vùng theo chức năng cơ bản (theo các chính sách an toàn thông tin
riêng), bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ
thống ra bên ngoài Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng
mạng máy chủ nội bộ; vùng mạng máy chủ quản trị. Dữ liệu
trao đổi giữa các vùng mạng phải được quản lý giám sát bởi các hệ thống các thiết
bị mạng, thiết bị bảo mật.
Căn cứ điều kiện, yêu cầu thực tế về
bảo mật dữ liệu, cơ quan, đơn vị là chủ quản hệ thống mạng nội bộ chủ động triển
khai xây dựng mô hình, giải pháp an toàn bảo mật, bao gồm các biện pháp kỹ thuật
sau đây:
a) Kiểm soát truy nhập từ bên ngoài mạng
(sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH,
SSL/TLS, VPN hoặc tương đương).
b) Kiểm soát truy nhập từ bên trong mạng
(quản lý các thiết bị đầu cuối, máy tính người sử dụng kết nối vào hệ thống mạng;
giám sát, phát hiện và ngăn chặn truy nhập từ bên trong mạng
đến các địa chỉ Internet bị cấm truy nhập).
c) Phòng, chống xâm nhập và phần mềm
độc hại, bảo vệ các vùng mạng máy chủ công cộng, máy chủ nội bộ, máy chủ cơ sở
dữ liệu và vùng mạng nội bộ; có khả năng tự động cập nhật thời gian thực cơ sở
dữ liệu, dấu hiệu phát hiện tấn công. Vô hiệu hóa tất cả các dịch vụ không cần
thiết tại từng vùng mạng.
d) Cấu hình chức năng xác thực trên
các thiết bị kết nối mạng để xác thực người sử dụng quản trị thiết bị trực tiếp
hoặc từ xa.
đ) Mạng không dây phải có cơ chế bảo
toàn tính toàn vẹn và bí mật của thông tin được truyền đưa trên môi trường mạng,
có hướng dẫn bảo đảm an toàn thông tin dành cho các thiết bị đầu cuối khi kết nối
vào mạng; được thiết lập các tham số: tên, nhận dạng dịch vụ (SSID), mật khẩu,
cấp phép truy nhập đối với địa chỉ vật lý (MAC address), mã hóa dữ liệu. Thường
xuyên thay đổi mật khẩu. Các điểm truy nhập không dây phải được bảo vệ, tránh bị
tiếp cận trái phép.
e) Hệ thống máy chủ phải có chức năng
tự động cập nhật bản ghi nhật ký hệ thống trong khoảng thời gian nhất định (tối
thiểu là 03 tháng), lưu trữ thông tin kết nối mạng, quá trình đăng nhập vào máy
chủ, các thao tác cấu hình hệ thống, lỗi phát sinh trong quá trình hoạt động và
các thông tin liên quan về an toàn thông tin để phục vụ công tác khắc phục sự cố
và điều tra về an toàn thông tin khi xảy ra. Xóa sạch
thông tin, dữ liệu trên máy chủ khi chuyển giao hoặc thay đổi mục đích sử dụng.
2. Cơ quan, đơn vị tham gia kết nối,
sử dụng hệ thống mạng diện rộng (WAN) của tỉnh, mạng Truyền số liệu chuyên dùng có trách nhiệm:
a) Bảo đảm an toàn thông tin đối với
hệ thống mạng nội bộ và các thiết bị của mình khi thực hiện kết nối vào hệ thống
mạng diện rộng, mạng Truyền số liệu chuyên dùng; thông báo sự cố hoặc các hành
vi phá hoại, xâm nhập về Sở Thông tin và Truyền thông để xử lý.
b) Phối hợp với Sở Thông tin và Truyền
thông rà soát đánh giá tính hợp lệ cấu hình địa chỉ IP kết nối mạng diện rộng,
mạng Truyền số liệu chuyên dùng trong quá trình vận hành và sử dụng các hệ thống
thông tin, máy chủ, thiết bị công nghệ thông tin của mình có kết nối với hệ thống
mạng diện rộng.
c) Định kỳ sao lưu thông tin, dữ liệu
dùng chung lưu trữ trên mạng diện rộng.
d) Không tiết lộ phương thức (tên
đăng ký, mật khẩu, tiện ích, tệp hỗ trợ và các cách thức khác) để truy nhập vào
hệ thống mạng diện rộng, mạng Truyền số liệu chuyên dùng
cho tổ chức, cá nhân khác; không được tìm cách truy nhập dưới bất cứ hình thức
nào vào các khu vực không được phép truy nhập.
3. Cơ quan, đơn vị phải áp dụng các
biện pháp kỹ thuật cần thiết bảo đảm an toàn thông tin trong hoạt động kết nối
Internet, tối thiểu đáp ứng các yêu cầu sau:
a) Có hệ thống tường lửa và hệ thống
bảo vệ kiểm soát truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ
các công nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng
tốc độ mã hóa dữ liệu, cung cấp đầy đủ các cơ chế bảo mật cơ bản như NAT, PAT,
quản lý luồng dữ liệu ra, vào và có khả năng bảo vệ hệ thống trước các loại tấn
công từ chối dịch vụ (DDoS).
b) Lọc bỏ, không cho phép truy nhập
các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp.
c) Không mở trang tin hoặc ứng dụng
Internet trên máy tính chứa dữ liệu quan trọng hoặc có khả năng tiếp cận các dữ
liệu, ứng dụng quan trọng; chỉ thiết lập kết nối Internet cho các máy chủ và
thiết bị công nghệ thông tin cần phải có giao tiếp với Internet (các máy chủ,
thiết bị cung cấp giao diện ra Internet của trang tin điện tử, dịch vụ công,
thư điện tử; thiết bị cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu
tấn công).
Điều 9. Bảo đảm
an toàn thông tin mức ứng dụng
1. Cơ quan, đơn vị xây dựng, vận hành
và sử dụng phần mềm, ứng dụng phải đáp ứng các yêu cầu sau:
a) Yêu cầu về bảo đảm an toàn thông
tin phải được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai, thử
nghiệm, nghiệm thu và vận hành, sử dụng phần mềm, ứng dụng và các phần mềm thuê
khoán.
b) Cấu hình phần mềm, ứng dụng để xác
thực người sử dụng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian
chờ để đóng phiên kết nối; mã hóa thông tin xác thực trên hệ thống; không khuyến
khích việc đăng nhập tự động.
c) Thiết lập phân quyền truy nhập, quản
trị, sử dụng tài nguyên khác nhau của phần mềm, ứng dụng với người sử dụng/nhóm
người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp
quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng các cổng
giao tiếp không sử dụng.
d) Chỉ cho phép sử dụng các giao thức
mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL/TLS, VPN hoặc tương
đương khi truy nhập, quản trị phần mềm, ứng dụng từ xa trên môi trường mạng; hạn
chế truy nhập tới mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong
môi trường an toàn do bộ phận chuyên trách công nghệ thông tin quản lý.
đ) Ghi và lưu giữ bản ghi nhật ký hệ
thống của phần mềm, ứng dụng trong khoảng thời gian tối thiểu là 03 tháng với
những thông tin cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy
nhập và sử dụng phần mềm, ứng dụng; các lỗi phát sinh trong quá trình hoạt động;
thông tin đăng nhập khi quản trị.
e) Thực hiện quy trình kiểm soát việc
cài đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy tính
cá nhân, thiết bị kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.
g) Kiểm tra phát hiện và khắc phục điểm
yếu về an toàn thông tin của ứng dụng trước khi đưa vào sử dụng và trong quá
trình sử dụng (khi có thông tin xuất hiện điểm yếu mới trên môi trường hoạt động
của ứng dụng; tối thiểu mỗi năm một lần).
2. Sở Thông tin và Truyền thông có
trách nhiệm phối hợp với các cơ quan, đơn vị chủ quản hệ thống thông tin, cơ sở
dữ liệu dùng chung của tỉnh thực hiện:
a) Xây dựng kế hoạch thực hiện các
phương án bảo đảm an toàn thông tin cho các hệ thống thông tin, cơ sở dữ liệu dùng
chung.
b) Thường xuyên theo dõi, giám sát an
toàn thông tin và kiểm tra, rà soát hoạt động của các hệ thống thông tin, cơ sở
dữ liệu dùng chung.
c) Xây dựng phương án ứng cứu, khắc
phục sự cố.
Điều 10. Bảo đảm
an toàn thông tin mức dữ liệu
1. Cơ quan, đơn vị thực hiện bảo vệ
thông tin, dữ liệu liên quan đến hoạt động công vụ, thông tin có nội dung quan
trọng, nhạy cảm hoặc không phải là thông tin công khai như sau:
a) Thiết lập phương án bảo đảm tính
bí mật, nguyên vẹn và khả dụng của thông tin, dữ liệu; giám sát, cảnh báo khi
có thay đổi hoặc phát hiện, ngăn chặn các tác động truy nhập, gửi, nhận dữ liệu
trái phép; khuyến khích áp dụng chữ ký số để xác thực và bảo mật thông tin, dữ
liệu, đặc biệt trong trường hợp cần bảo đảm chống từ chối nguồn gốc dữ liệu.
b) Mã hóa thông tin, dữ liệu khi lưu
trữ trên hệ thống lưu trữ/thiết bị lưu trữ dữ liệu di động bằng giải pháp do
Ban Cơ yếu Chính phủ cung cấp hoặc cơ quan, đơn vị có thẩm quyền chấp nhận sử dụng;
thiết lập phân vùng lưu trữ mã hóa, chỉ cho phép cá nhân
có quyền, trách nhiệm truy nhập, lưu trữ dữ liệu trên phân vùng mã hóa.
c) Triển khai hệ thống/phương tiện
lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự
phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm
thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ
liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều
hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.
d) Bố trí máy tính riêng không kết nối
mạng, đặt mật khẩu, mã hóa dữ liệu và các biện pháp bảo mật khác bảo đảm an
toàn thông tin để soạn thảo, lưu trữ dữ liệu, thông tin và tài liệu quan trọng ở
các mức độ mật, tối mật, tuyệt mật.
2. Cơ quan, đơn vị phải thường xuyên
kiểm tra, giám sát hoạt động chia sẻ, gửi, nhận thông tin, dữ liệu trong hoạt động
nội bộ của mình; khuyến cáo việc chia sẻ, gửi, nhận thông tin trên môi trường mạng
cần phải sử dụng mật khẩu để bảo vệ thông tin.
3. Đối với hoạt động trao đổi thông
tin, dữ liệu với bên ngoài, cơ quan, đơn vị và cá nhân thực hiện trao đổi thông
tin, dữ liệu ra bên ngoài phải cam kết và có biện pháp bảo mật thông tin, dữ liệu
được trao đổi; yêu cầu bên ngoài đáp ứng các thỏa thuận kết nối, bảo vệ thông
tin phù hợp với quy định về bảo đảm an toàn thông tin của tỉnh; thiết lập chức
năng phát hiện dữ liệu đính kèm có phần mềm độc hại, cơ chế bảo mật truyền
thông không dây, mã hóa thông tin, dữ liệu trước khi truyền đưa, trao đổi trên
môi trường mạng theo quy định của pháp luật.
4. Giao dịch trực tuyến phải được truyền đầy đủ, đúng địa chỉ, tránh bị sửa đổi, tiết lộ hoặc nhân bản một
cách trái phép; sử dụng các cơ chế xác thực mạnh, chữ ký số khi tham gia giao dịch,
sử dụng các giao thức truyền thông an toàn.
Điều 11. Bảo đảm
an toàn thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống thông
tin
1. Khi tiếp nhận, phát triển, nâng cấp,
bảo trì hệ thống thông tin, cơ quan, đơn vị phải tiến hành phân tích, xác định
các rủi ro có thể xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện
pháp hạn chế, loại trừ các rủi ro này và yêu cầu các bên cung cấp, thi công,
các cá nhân liên quan thực hiện các yêu cầu như sau:
a) Có phương án bảo đảm an toàn thông
tin mạng được cơ quan, đơn vị có thẩm quyền của tỉnh thẩm định khi phát triển,
mở rộng hoặc nâng cấp hệ thống thông tin.
b) Chỉ tiếp nhận và đưa vào vận hành
hệ thống thông tin sau khi đã thực hiện nghiệm thu và kiểm thử hệ thống (được
thẩm định, xác nhận của bộ phận chuyên trách và phê duyệt của cơ quan, đơn vị
có thẩm quyền của tỉnh hoặc chủ quản hệ thống thông tin).
c) Hệ thống thông tin được tiếp nhận
phải đi kèm:
- Tài liệu mô tả quy mô, phạm vi và đối
tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;
- Tài liệu mô tả các thành phần của hệ
thống thông tin, gồm: các vùng mạng chức năng, hệ thống thiết bị mạng, thiết bị
bảo mật; hệ thống máy chủ hệ thống; hệ thống máy chủ ứng dụng; dịch vụ và các
thành phần khác trong hệ thống thông tin.
d) Xem xét tính tương thích với các
phần mềm, ứng dụng hiện có, bảo đảm hoạt động ổn định, an toàn trước khi quyết
định thay đổi hoặc nâng cấp hệ điều hành lên phiên bản mới hơn; kiểm soát chặt
chẽ việc nâng cấp, mở rộng phần mềm, ứng dụng trong hệ thống.
Việc bổ sung các thiết bị vào hệ thống thông tin cần có kế hoạch, quy trình bảo
đảm việc tiếp nhận không làm gián đoạn hoạt động của hệ thống đang vận hành.
đ) Bảo trì hệ thống thông tin phải có
kế hoạch từ trước và được thực hiện thường xuyên.
2. Trong quá trình vận hành hệ thống
thông tin, cơ quan, đơn vị chủ quản hệ thống cần thực hiện:
a) Đánh giá, phân loại hệ thống thông
tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống thông tin đáp ứng
yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống
thông tin theo cấp độ.
b) Thường xuyên kiểm tra, giám sát việc tuân thủ các quy định về an toàn thông tin, cập nhật đầy
đủ, lấp vá các chỗ trống bảo mật, áp dụng cơ chế sao lưu dự
phòng, bảo đảm an toàn truy nhập, đăng nhập hệ thống.
c) Giám sát an toàn hệ thống thông
tin, cảnh báo hành vi xâm phạm an toàn thông tin hoặc hành vi có khả năng gây
ra sự cố an toàn thông tin đối với hệ thống thông tin; tiến hành phân tích yếu
tố quan trọng nhất ảnh hưởng tới trạng thái an toàn thông tin; đề xuất thay đổi
biện pháp kỹ thuật.
d) Giám sát hiệu năng hệ thống và thực
hiện các biện pháp bảo trì cần thiết (dọn dẹp hệ thống, điều chỉnh thông số kỹ
thuật và bổ sung mua sắm) để bảo đảm khả năng xử lý và tính sẵn sàng của hệ thống
thông tin theo yêu cầu.
đ) Tuân thủ quy trình vận hành, quy
trình xử lý sự cố đã xây dựng; ghi đầy đủ thông tin trong các bản ghi nhật ký hệ
thống và lưu trữ nhật ký trong khoảng thời gian nhất định, để phục vụ việc quản
lý, kiểm soát thông tin.
3. Đối tác phát triển phần mềm, ứng dụng
cho cơ quan, đơn vị có trách nhiệm bảo đảm an toàn thông tin cho công tác phát
triển, vận hành, bảo hành, bảo trì phần mềm, ứng dụng, tránh lộ lọt mã nguồn và
dữ liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác đang xử lý ra bên
ngoài.
4. Các biện pháp kỹ thuật bảo đảm an
toàn thông tin cho trang/cổng thông tin điện tử:
a) Xác định cấu trúc thiết kế trang/cổng
thông tin điện tử: quản lý toàn bộ các phiên bản của mã nguồn của phần mềm, ứng
dụng trang/cổng thông tin điện tử; yêu cầu đơn vị cung cấp dịch vụ hosting phải
cài đặt các hệ thống phòng vệ như tường lửa, thiết bị phát hiện/phòng, chống
xâm nhập (IDS/IPS) ở mức ứng dụng web (WAF - Web Application Firewall).
b) Vận hành phần mềm, ứng dụng
trang/cổng thông tin điện tử: các trang/ cổng thông tin điện tử khi đưa vào sử
dụng hoặc khi bổ sung thêm các chức năng mới cần đánh giá kiểm định nhằm tránh
các lỗi bảo mật thường xảy ra trên ứng dụng web (như SQL Injection, Cross-Site
Scripting, Broken Authentication and Session Management, Insecure Direct Object
References, Cross Site Request Forgery, Security Misconfiguration, Failure to
Restrict URL Access, Insecure Cryptoeraphic Storage, Insufficient Transport
Layer Protection, Unvalidated Redirects and Forwards và các lỗi bảo mật khác).
c) Thiết lập và cấu hình cơ sở dữ liệu
của trang/cổng thông tin điện tử:
- Luôn cập nhật bản vá lỗi mới nhất
cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng
trên máy chủ cơ sở dữ liệu;
- Gỡ bỏ các cơ sở dữ liệu không còn sử
dụng;
- Có cơ chế sao lưu dữ liệu, tài liệu
hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký cơ sở dữ liệu với
các nội dung như: Nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi.
Điều 12. Kiểm
tra, khắc phục sự cố an toàn thông tin
1. Cơ quan, đơn vị chủ quản hệ thống
thông tin có trách nhiệm phối hợp với các cơ quan, đơn vị chuyên trách về công
nghệ thông tin, an toàn thông tin của tỉnh:
a) Rà soát, đánh giá và xác định các
sự cố an toàn thông tin, các rủi ro an toàn thông tin có thể xảy ra với từng
thành phần hệ thống thông tin trong phạm vi quản lý của mình. Trên cơ sở đó,
xây dựng và phê duyệt các phương án ứng cứu, xử lý sự cố phù hợp với các rủi ro
an toàn thông tin có thể xảy ra.
b) Chuẩn bị sẵn sàng các biện pháp,
phương tiện kỹ thuật để phục vụ cho triển khai các phương án ứng cứu đã được
xây dựng.
c) Xây dựng và ban hành các hướng dẫn,
quy trình xử lý sự cố an toàn thông tin đối với từng đối tượng người sử dụng cụ
thể trong hệ thống thông tin theo hướng dẫn của Sở Thông tin và Truyền thông.
d) Thông báo công khai các phương án
liên lạc với bộ phận xử lý sự cố cho toàn bộ cá nhân liên quan hệ thống thông
tin đang quản lý.
đ) Thường xuyên kiểm tra, rà soát
tính sẵn sàng của các phương án ứng cứu sự cố; thực hiện đúng các hướng dẫn,
quy trình xử lý sự cố an toàn thông tin.
2. Khi có sự cố hoặc nguy cơ mất an
toàn thông tin, thủ trưởng cơ quan, đơn vị thực hiện:
a) Chỉ đạo xác định nguyên nhân sự cố,
có biện pháp khắc phục kịp thời, hạn chế thiệt hại.
b) Trường hợp gặp sự cố nghiêm trọng ở
mức độ cao, khẩn cấp (hệ thống bị gián đoạn dịch vụ; dữ liệu tuyệt mật hoặc bí
mật nhà nước có khả năng bị tiết lộ; dữ liệu quan trọng của hệ thống không bảo
đảm tính toàn vẹn và không có khả năng khôi phục được; hệ thống bị mất quyền điều
khiển) hoặc chủ quản hệ thống không đủ khả năng tự kiểm soát, xử lý được sự cố
thì phải phối hợp chặt chẽ với Đội ứng cứu sự cố an toàn thông tin mạng của tỉnh
và cung cấp đầy đủ thông tin sự cố để được hướng dẫn, hỗ trợ cụ thể.
c) Chuẩn bị tài liệu báo cáo sự cố, gồm
các nội dung sau:
- Tên, địa chỉ Đơn vị vận hành hệ thống
thông tin; chủ quản hệ thống thông tin; hệ thống thông tin bị sự cố; thời điểm
phát hiện sự cố;
- Đầu mối liên lạc về sự cố của đơn vị
vận hành hệ thống bị sự cố: Tên, chức vụ, điện thoại, thư điện tử;
- Mô tả về sự cố: Loại sự cố, hiện tượng,
đánh giá sơ bộ mức độ nguy hại, mức độ lây lan, tác động của sự cố đến hoạt động
bình thường của tổ chức;
- Đơn vị cung cấp dịch vụ hạ tầng kỹ
thuật;
- Liệt kê các biện pháp đã triển khai
hoặc dự kiến triển khai để xử lý khắc phục sự cố;
- Các tổ chức, doanh nghiệp đang hỗ
trợ ứng cứu, xử lý và kết quả xử lý sự cố tính đến thời điểm báo cáo;
- Kết quả ứng cứu sự cố ban đầu;
- Kiến nghị đề xuất hướng ứng cứu xử
lý sự cố (nếu có);
- Bản cập nhật mới nhất của tài liệu
mô tả các thành phần hệ thống thông tin, bao gồm: các vùng
mạng chức năng; hệ thống thiết bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ
thống; hệ thống máy chủ ứng dụng; dịch vụ và các thành phần khác trong hệ thống
thông tin (trong trường hợp sự cố có khả năng xảy ra trên diện rộng hoặc gây ra
các ảnh hưởng dây chuyền, làm tổn hại cho các hệ thống thông tin quan trọng
khác).
Điều 13. Quản lý
an toàn thông tin
1. Cơ quan, đơn vị phải thành lập hoặc
chỉ định nhân sự/bộ phận chuyên trách về công nghệ thông tin (hoặc lựa chọn đối
tác có đủ năng lực quản lý an toàn thông tin) đảm nhiệm:
a) Triển khai công tác giám sát, kiểm
tra việc bảo đảm an toàn thông tin tại cơ quan, đơn vị và đánh giá rủi ro an
toàn thông tin.
b) Làm đầu mối liên hệ với các cơ
quan, đơn vị chuyên trách về công nghệ thông tin, an toàn thông tin của tỉnh và
các tổ chức, cá nhân trong lĩnh vực an toàn thông tin.
c) Xây dựng hoặc chủ trì việc áp dụng
các chính sách, quy trình quản lý an toàn thông tin, bao gồm:
- Chính sách quản lý kiểm soát truy
nhập đi vào và từ hệ thống đi ra; sao lưu và dự phòng và khôi phục cấu hình hệ
thống; quản lý, vận hành hoạt động bình thường của thiết bị tính toán, lưu trữ,
thiết bị bảo vệ mạng, thiết bị lưu trữ di động, điện thoại thông minh và máy
tính bảng;
- Quy trình kết nối thiết bị đầu cuối
của người sử dụng vào hệ thống mạng; truy nhập và quản lý cấu hình hệ thống; cấu
hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật trong hệ thống và thực
hiện quy trình trước khi đưa hệ thống vào vận hành khai thác;
- Nguyên tắc chung về phân loại và quản
lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin; kiểm tra, đánh giá các tài nguyên của hệ thống thông tin trước khi đưa vào sử
dụng; sử dụng hệ thống thông tin an toàn và hiệu quả; xử lý an toàn các thiết bị,
hệ thống thông tin trước khi thanh lý, ngừng sử dụng, chuyển giao, bảo trì sửa
chữa.
2. Cơ quan, đơn vị thực hiện đánh giá
rủi ro an toàn thông tin mỗi khi có thay đổi về nhu cầu bảo đảm an toàn thông
tin, thay đổi về hạ tầng kỹ thuật và phần mềm, ứng dụng hoặc khi xuất hiện nguy
cơ mất an toàn thông tin như sau:
a) Lập danh mục các rủi ro (các mối
đe dọa, các điểm yếu, các hậu quả) có thể xảy ra đối với thông tin, dữ liệu và
hệ thống thông tin quan trọng của mình; xác định phạm vi và giới hạn cho quản
lý rủi ro an toàn thông tin; chỉ định bộ phận chuyên trách về công nghệ thông
tin quản lý và thực hiện đánh giá rủi ro.
b) Phân tích rủi ro an toàn thông
tin, đánh giá hậu quả, thực hiện xử lý rủi ro.
3. Cá nhân phải được bộ phận chuyên
trách về công nghệ thông tin hướng dẫn, hỗ trợ, cung cấp các tài liệu, công cụ
cần thiết để thực hiện trách nhiệm bảo đảm an toàn thông tin theo quy định.
Điều 14. Đầu mối
tiếp nhận thông tin, báo cáo sự cố an toàn thông tin mạng
Đầu mối tiếp nhận thông tin, báo cáo
sự cố an toàn thông tin mạng trên địa bàn tỉnh Đồng Tháp là Sở Thông tin và
Truyền thông (Cơ quan Thường trực Đội ứng cứu sự cố an toàn thông tin mạng của
tỉnh).
Thông tin liên hệ: Điện thoại: 0277
3873995, Fax: 0277 3873999, Email: cert@dongthap.gov.vn.
Điều 15. Quy trình
phối hợp ứng cứu sự cố mạng bảo đảm an toàn thông tin số trên địa bàn tỉnh
1. Quy trình xử lý khẩn cấp:
Khi phát hiện hệ thống có nguy cơ mất
an toàn thông tin như: hệ thống hoạt động chậm bất thường, không truy cập được hệ
thống ứng dụng, nội dung trang/cổng thông tin điện tử hoặc giao diện ứng dụng bị
thay đổi, các sự cố khác, ... chủ quản hệ thống thông tin
thực hiện các bước cơ bản:
a) Bước 1: Ngắt kết nối hệ thống máy
chủ ra khỏi hệ thống mạng, báo cáo sự cố đến Thủ trưởng cơ quan, đơn vị;
b) Bước 2: Sao chép bản ghi nhật ký hệ
thống truy cập của người dùng và toàn bộ dữ liệu của hệ thống
ra thiết bị lưu trữ (phục vụ cho công tác khôi phục và phân tích sự cố);
c) Bước 3: Khôi phục lại hệ thống, hoặc
sử dụng hệ thống dự phòng và chuyển dữ liệu sao lưu dự phòng mới nhất để hệ thống
hoạt động;
d) Bước 4: Tổng hợp, báo cáo sự cố và
nội dung khắc phục gửi về Đội ứng cứu sự cố an toàn thông tin mạng tỉnh Đồng
Tháp để tổng hợp.
2. Nguyên tắc phối hợp trong ứng cứu
sự cố:
a) Đơn vị vận hành hệ thống thông
tin:
- Thực hiện các bước khắc phục sự cố
theo Khoản 1 điều này.
- Các sự cố vượt quá khả năng xử lý,
đơn vị thông báo đến Đội ứng cứu để hỗ trợ khắc phục và thực hiện báo cáo sự cố
mạng (theo phụ lục 1).
b) Đội Ứng cứu sự cố an toàn thông
tin mạng tỉnh Đồng Tháp:
- Tiếp nhận thông tin, báo cáo sự cố
mất an toàn thông tin của các cơ quan, đơn vị.
- Phản hồi cho đơn vị, cá nhân gửi
thông báo, báo cáo ban đầu tối đa trong vòng 03 giờ sau khi nhận được để xác nhận
về việc đã nhận được thông báo, báo cáo sự cố.
- Thẩm tra, xác minh và phân loại sự
cố an toàn thông tin mạng để lựa chọn phương án ứng cứu phù hợp hoặc đề xuất với
Ban chỉ đạo CNTT hướng giải quyết trong trường hợp vượt thẩm quyền tối đa trong
vòng 12 giờ kể từ thời điểm phát sinh sự cố và nhận được thông báo của cơ quan,
đơn vị có sự cố.
- Chủ động hỗ trợ ngay cho cơ quan,
đơn vị cần ứng cứu, xử lý sự cố trong khả năng và trách nhiệm của mình, tối đa
trong vòng 24 giờ phải cử cán bộ kỹ thuật của Đội có mặt tại đơn vị báo sự cố để
phối hợp, hướng dẫn, ghi nhận giải quyết sự cố, trong trường hợp sự cố phức tạp,
nguy cơ cao về mất an toàn thông tin mà không thể hướng dẫn, trao đổi qua điện
thoại, email với cơ quan, đơn vị bị sự cố.
- Giám sát diễn biến tình hình ứng cứu
sự cố và báo cáo Ban chỉ đạo CNTT tỉnh; đề xuất, xin ý kiến chỉ đạo trong trường
hợp không thuộc thẩm quyền, phạm vi trách nhiệm hoặc vượt khả năng xử lý của mình.
- Tổng hợp, báo cáo Cơ quan điều phối
quốc gia theo quy định và báo cáo đột xuất khi có yêu cầu.
c) Sở Thông tin và Truyền thông báo
cáo về Ủy ban nhân dân tỉnh đồng thời thông báo đến Bộ Thông tin và Truyền
thông thông qua Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), để được
hỗ trợ khắc phục các sự cố vượt quá khả năng xử lý của địa phương.
Chương III
TỔ CHỨC THỰC HIỆN
Điều 16. Trách
nhiệm của thủ trưởng các cơ quan, đơn vị
1. Chỉ đạo, bảo đảm việc tuân thủ các
quy định tại Quy chế này trong phạm vi tổ chức, quyền hạn của mình.
2. Tuyên truyền, phổ biến nội dung
Quy chế này và nâng cao nhận thức về an toàn thông tin cho cán bộ, công chức,
viên chức và người lao động thuộc cơ quan, đơn vị.
3. Căn cứ Quy chế này và nhu cầu thực
tế của cơ quan, đơn vị, xây dựng hoặc rà soát, sửa đổi phương án quản lý an
toàn thông tin đang áp dụng cho phù hợp.
4. Tổ chức kiểm tra, đánh giá định kỳ
hàng năm về an toàn thông tin đối với các hệ thống thông tin đang vận hành, gửi
kết quả về Sở Thông tin và Truyền thông để tổng hợp.
5. Tạo điều kiện để bồi dưỡng, đào tạo,
tăng cường năng lực cho bộ phận hoặc cá nhân chuyên trách về công nghệ thông
tin, an toàn thông tin.
6. Phối hợp, cung cấp thông tin và tạo
điều kiện cho Sở Thông tin và Truyền thông, Đội Ứng cứu sự cố an toàn thông tin
mạng của tỉnh triển khai công tác kiểm tra, khắc phục sự cố xảy ra một cách kịp
thời, nhanh chóng và đạt hiệu quả.
7. Chỉ đạo thực hiện báo cáo định kỳ
6 tháng, hàng năm hoặc đột xuất theo yêu cầu, gửi về Sở Thông tin và Truyền
thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh và Bộ Thông tin và Truyền thông
(theo phụ lục 2) và các báo cáo khác theo yêu
cầu của công tác bảo đảm an toàn thông tin.
Điều 17. Trách
nhiệm của cá nhân
1. Cá nhân phụ trách an toàn thông
tin có trách nhiệm:
a) Tham mưu cho thủ trưởng cơ quan,
đơn vị ban hành các quy định, quy trình nội bộ và chịu trách nhiệm triển khai
các giải pháp kỹ thuật bảo đảm an toàn thông tin tại cơ quan, đơn vị theo Quy
chế này.
b) Thực hiện việc giám sát, đánh giá,
báo cáo thủ trưởng cơ quan, đơn vị các rủi ro mất an toàn thông tin và mức độ
nghiêm trọng của các rủi ro đó.
c) Phối hợp với các cá nhân, đơn vị
có liên quan trong việc kiểm tra, phát hiện và khắc phục các sự cố mất an toàn
thông tin.
2. Cá nhân là người sử dụng có trách
nhiệm:
a) Chấp hành nghiêm túc các quy định
về an toàn thông tin của cơ quan, đơn vị, các quy định tại Quy chế này và các
quy định khác của pháp luật về an toàn thông tin; nâng cao ý thức cảnh giác và
trách nhiệm bảo đảm an toàn thông tin trong phạm vi trách
nhiệm và quyền hạn được giao.
b) Tự quản lý, bảo quản thiết bị mà mình được giao sử dụng. Khi phát hiện sự cố phải báo ngay với cấp trên và
bộ phận chuyên trách về công nghệ thông tin để kịp thời ngăn chặn, xử lý.
c) Tích cực tham gia các chương trình
đào tạo, hội nghị về an toàn thông tin do tỉnh hoặc các đơn vị chuyên môn tổ chức.
Điều 18. Trách
nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu Ủy ban nhân dân tỉnh về
công tác đảm bảo an toàn thông tin trên địa bàn tỉnh và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong việc đảm bảo an toàn cho các
hệ thống thông tin cấp tỉnh.
2. Xây dựng và triển khai các Kế hoạch,
chương trình, dự án đầu tư, đào tạo về an toàn thông tin trong ứng dụng CNTT
trên địa bàn tỉnh.
3. Tuyên truyền, định hướng tuyên
truyền về công tác bảo đảm an toàn thông tin trên địa bàn tỉnh.
4. Tùy theo mức độ sự cố, phối hợp
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam và các đơn vị có liên quan hướng dẫn
xử lý, ứng cứu các sự cố an toàn thông tin trên địa bàn tỉnh; Cảnh báo các vấn
đề về an toàn thông tin trong các cơ quan nhà nước trên địa bàn tỉnh.
5. Quản lý vận hành, hướng dẫn kết nối
mạng WAN tỉnh, chủ trì xử lý các vấn đề liên quan sự cố mạng WAN tỉnh; đảm bảo
an toàn thông tin cho các hệ thống thông tin dùng chung của tỉnh tại Trung tâm
tích hợp dữ liệu.
6. Hướng dẫn các cơ quan, đơn vị xây
dựng quy chế và thực hiện việc đảm bảo an toàn cho hệ thống thông tin theo quy
định; Hướng dẫn các cơ quan về khung báo cáo; định kỳ tổng hợp báo cáo Ủy ban
nhân dân tỉnh và Bộ Thông tin và Truyền thông về công tác an toàn thông tin
trên địa bàn tỉnh.
7. Hướng dẫn, hỗ trợ các cơ quan, đơn
vị về mô hình triển khai, các yếu tố kỹ thuật nhằm đảm bảo an toàn thông tin
cho hạ tầng kỹ thuật công nghệ thông tin, các hệ thống thông tin tại các cơ
quan, đơn vị.
8. Hàng năm, tổ chức đào tạo, bồi dưỡng
chuyên sâu về an toàn thông tin mạng cho cán bộ, công chức chuyên trách CNTT đảm
bảo an toàn thông tin mạng của các cơ quan, đơn vị và tập huấn, bồi dưỡng nâng
cao nhận thức, kỹ năng về an toàn thông tin cho cán bộ, công chức, viên chức và
người lao động trong hệ thống các đơn vị, cơ quan nhà nước trên địa bàn tỉnh.
9. Hàng năm tham mưu xây dựng kế hoạch,
phối hợp với Công an tỉnh và các đơn vị có liên quan tổ chức kiểm tra định kỳ
công tác đảm bảo an toàn thông tin mạng của các cơ quan, đơn vị trên địa bàn tỉnh.
Điều 19. Trách
nhiệm Đội ứng cứu sự cố an toàn thông tin mạng tỉnh Đồng Tháp
Đội Ứng cứu thực hiện trách nhiệm
theo khoản 2 Điều 15 của Quy chế này, Quyết định số 95/QĐ-BCĐƯDCNTT ngày 25
tháng 9 năm 2017 của Ban Chỉ đạo ứng dụng CNTT tỉnh về việc thành lập Đội ứng cứu
sự cố an toàn thông tin mạng tỉnh Đồng Tháp và Quy chế làm việc của Đội.
Điều 20. Khen
thưởng và xử lý vi phạm
1. Hàng năm, Sở Thông tin và Truyền
thông căn cứ kết quả kiểm tra, đánh giá, báo cáo công tác bảo đảm an toàn thông
tin mạng của các cơ quan, đề xuất Ủy ban nhân dân tỉnh xem xét khen thưởng cho
các cá nhân, đơn vị có nhiều thành tích trong công tác bảo đảm an toàn thông
tin theo quy định hiện hành.
2. Các tổ chức, cá nhân có hành vi vi
phạm quy chế này thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử
phạt hành chính hoặc bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại thì phải
bồi thường theo quy định của pháp luật.
Điều 21. Trách
nhiệm thi hành
1. Sở Thông tin và Truyền thông chủ
trì, phối hợp với các Sở, ban, ngành tỉnh, Ủy ban nhân dân các huyện, thị xã,
thành phố và các đơn vị có liên quan triển khai thực hiện Quy chế này.
2. Trong quá trình thực hiện nếu có
phát sinh khó khăn, vướng mắc cần sửa đổi, bổ sung các cơ quan, đơn vị kịp thời
thông báo về Sở Thông tin và Truyền thông tổng hợp, trình Ủy ban nhân dân tỉnh
xem xét, quyết định./.
PHỤ LỤC 1
MẪU BÁO CÁO BAN ĐẦU SỰ CỐ MẠNG
(kèm theo Quyết định số /QĐ-UBND-HC ngày tháng 8 năm 2018 của Ủy ban nhân dân tỉnh)
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
BÁO
CÁO BAN ĐẦU SỰ CỐ MẠNG
Kính gửi:
Sở Thông tin và Truyền thông
THÔNG TIN VỀ TỔ CHỨC/CÁ NHÂN BÁO
CÁO SỰ CỐ
▪ Tên tổ chức/cá nhân báo cáo sự cố
(*) .........................................................................
▪ Địa chỉ: (*) ......................................................................................................................
▪ Điện thoại (*) ……………………………………….
Email (*)............................................
NGƯỜI LIÊN HỆ
▪ Họ và tên (*) ……………………………………….
Chức vụ:............................................
▪ Điện thoại (*) ……………………………………….
Email (*)............................................
THÔNG TIN CHI TIẾT VỀ HỆ THỐNG BỊ
SỰ CỐ
Tên đơn vị vận hành hệ thống thông
tin (*):
|
Điền tên đơn vị vận hành hoặc được
thuê vận hành hệ thống thông tin
|
Cơ quan chủ quản:
|
Điền tên cơ quan chủ quản
|
Tên hệ thống bị
sự cố:
|
Điền tên hệ thống bị sự cố
và tên miền, địa chỉ ip liên quan
|
Phân loại cấp độ của hệ thống thông
tin, (nếu có)
|
□ Cấp
độ 1
|
□ Cấp
độ 2
|
□ Cấp
độ 3
|
□ Cấp
độ 4
|
□ Cấp
độ 5
|
Tổ chức cung cấp dịch vụ an toàn
thông tin (nếu có):
|
Điền tên nhà cung cấp ở đây
|
Tên nhà cung cấp dịch vụ kết nối
bên ngoài (nếu có)
|
Điền tên nhà cung cấp ở đây
|
Dải địa chỉ Public IP kết nối với hệ
thống bên ngoài:
|
Điền thông tin ở đây
|
Mô tả sơ bộ về sự cố (*)
|
Đề nghị cung cấp một bản tóm tắt
ngắn gọn về sự cố, bao gồm đánh giá sơ bộ cuộc tấn công đã xảy ra chưa và bất kỳ các nguy cơ dẫn đến khả năng phá
hoại hoặc gián đoạn dịch vụ. Cũng vui lòng xác định mức
độ nhạy cảm của thông tin liên quan hoặc những đối tượng bị ảnh hưởng bởi sự
cố: ......................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
|
Ngày
phát hiện sự cố (*) (dd/mm/yy)
|
/ /
|
Thời gian phát hiện (*):
|
…….giờ.... phút
|
HIỆN TRẠNG SỰ CỐ (*)
□ Đã được xử lý
□ Chưa được xử lý
CÁCH THỨC PHÁT HIỆN * (Đánh dấu những cách thức được sử dụng để phát hiện sự cố)
□ Qua hệ thống phát hiện xâm nhập
□ Kiểm tra dữ liệu lưu lại (Log File)
□ Nhận được thông báo từ: ...............................................................................................
□ Khác, đó là ....................................................................................................................
ĐÃ GỬI THÔNG BÁO SỰ CỐ CHO *
□ Thành viên mạng lưới chịu trách nhiệm
ứng cứu sự cố cho tổ chức, cá nhân
□ ISP đang trực tiếp cung cấp dịch vụ
□ Cơ quan điều phối
THÔNG TIN BỔ SUNG VỀ HỆ THỐNG XẢY
RA SỰ CỐ
▪ Hệ điều hành……………………………….. Version ........................................................
▪ Các dịch vụ có trên hệ thống (Đánh dấu những dịch vụ được sử dụng trên hệ thống)
□ Web server □ Mail server □ Database server
□ Dịch vụ khác, đó là ........................................................................................................
▪ Các biện pháp an toàn thông tin đã
triển khai (Đánh dấu những biện pháp đã triển khai)
□ Antivirus
□ Firewall □ Hệ thống phát hiện xâm nhập
□ Khác: .............................................................................................................................
▪ Các địa chỉ IP của hệ thống (Liệt
kê địa chỉ IP sử dụng trên Internet, không liệt kê địa chỉ IP nội bộ)
.........................................................................................................................................
▪ Các tên miền của hệ thống
.........................................................................................................................................
▪ Mục đích chính sử dụng hệ thống.................................................................................
.........................................................................................................................................
▪ Thông tin gửi kèm
□ Nhật ký hệ thống
□ Mẫu virus / mã độc □ Khác: ………………………
▪ Các thông tin cung cấp trong thông
báo sự cố này đều phải được giữ bí mật: □ Có □ Không
KIẾN NGHỊ, ĐỀ XUẤT HỖ TRỢ
Mô tả về đề xuất, kiến nghị
|
Đề nghị cung cấp tóm lược
về các kiến nghị và đề xuất hỗ trợ ứng cứu (nếu có): .....................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
|
THỜI GIAN THỰC HIỆN BÁO CÁO SỰ CỐ *:
…/…./ …..../.../…
(ngày/tháng/năm/giờ/phút)
|
CÁ
NHÂN/NGƯỜI ĐẠI DIỆN THEO PHÁT LUẬT
(Ký tên, đóng dấu)
|
Chú thích:
1. Phần (*) là những thông tin bắt
buộc. Các phần còn lại có thể loại bỏ nếu không có thông
tin.
2. Sử dụng tiêu đề (subject) bắt đầu bằng “[TBSC]” khi gửi thông báo qua email
PHỤ LỤC 2
MẪU BÁO CÁO TỔNG HỢP [06THÁNG/ 01 NĂM] VỀ
HOẠT ĐỘNG TIẾP NHẬN VÀ XỬ LÝ SỰ CỐ
(kèm theo Quyết định số /QĐ-UBND-HC ngày tháng 8 năm 2018 của Ủy ban nhân dân tỉnh)
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
BÁO
CÁO TỔNG HỢP [06 THÁNG/ 01 NĂM] VỀ HOẠT ĐỘNG TIẾP NHẬN VÀ XỬ LÝ SỰ CỐ
Kính gửi:
Sở Thông tin và Truyền thông
□ Từ tháng ……./201
... đến tháng ... ./201...
Tên cơ quan/tổ chức: ........................................................................................................
Địa chỉ: .............................................................................................................................
1. Số lượng sự cố và cách thức xử lý
Loại
sự cố/tấn công mạng
|
Số
lượng
|
Số sự
cố tự xử lý
|
Số sự
cố có sự hỗ trợ xử lý từ các tổ chức khác
|
Số sự
cố có hỗ trợ xử lý từ tổ chức nước ngoài
|
Số sự
cố đề nghị VNCERT hỗ trợ xử lý
|
Thiệt
hại ước tính
|
Từ chối dịch vụ
|
|
|
|
|
|
|
Tấn công giả mạo
|
|
|
|
|
|
|
Tấn công sử dụng mã độc
|
|
|
|
|
|
|
Truy cập trái
phép, chiếm quyền điều khiển
|
|
|
|
|
|
|
Thay đổi giao diện
|
|
|
|
|
|
|
Mã hóa phần mềm, dữ liệu, thiết bị
|
|
|
|
|
|
|
Phá hoại thông tin, dữ liệu, phần mềm
|
|
|
|
|
|
|
Nghe trộm, gián điệp, lấy cắp thông
tin, dữ liệu
|
|
|
|
|
|
|
Tấn công tổng hợp sử dụng kết hợp
nhiều hình thức
|
|
|
|
|
|
|
Các hình thức tấn công khác
|
|
|
|
|
|
|
Tổng số
|
|
|
|
|
|
|
2. Danh sách các tổ chức hỗ trợ xử lý
sự cố
.........................................................................................................................................
3. Danh sách các tổ chức nước ngoài hỗ
trợ xử lý sự cố
.........................................................................................................................................
4. Đề xuất kiến nghị:...........................................................................................................
.........................................................................................................................................
|
…… , ngày….. tháng….. năm……
NGƯỜI ĐẠI DIỆN THEO PHÁP LUẬT
(Đóng dấu hoặc sử dụng chữ ký số)
|