|
ỦY BAN NHÂN DÂN
TỈNH TUYÊN QUANG
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 1099/QĐ-UBND
|
Tuyên Quang, ngày
09 tháng 8 năm 2022
|
QUYẾT ĐỊNH
PHÊ DUYỆT PHƯƠNG ÁN BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRUYỀN SỐ
LIỆU CHUYÊN DÙNG CẤP II DO VIỄN THÔNG TUYÊN QUANG TRIỂN KHAI TRÊN ĐỊA BÀN TỈNH
CHỦ TỊCH ỦY BAN NHÂN DÂN TỈNH TUYÊN QUANG
Căn cứ Luật Tổ chức chính
quyền địa phương ngày 19/6/2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ
chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22/11/2019;
Căn cứ Luật an toàn thông
tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số
85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về việc bảo đảm an toàn hệ
thống thông tin theo cấp độ;
Căn cứ Thông tư số
03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ Thông tin và Truyền thông quy
định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01
tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số
27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 của Bộ Thông tin và Truyền thông quy
định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng
truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước; Thông tư số
12/2019/TT-BTTTT ngày 05 tháng 11 năm 2019 của Bộ Thông tin và Truyền thông về
việc sửa đổi, bổ sung một số điều của Thông tư số 27/2017/TT-BTTTT ngày 20
tháng 10 năm 2017 của Bộ Thông tin và Truyền thông;
Theo đề nghị của Giám đốc sở
Thông tin và Truyền thông tại Tờ trình số 83/TTr-STTTT ngày 04 tháng 8 năm
2022, Báo cáo thẩm định số 200/BC-STTTT ngày 04 tháng 8 năm 2022 thẩm định an
toàn hệ thống thông tin cấp độ 3 mạng truyền số liệu chuyên dùng cấp II do VNPT
Tuyên Quang triển khai trên địa bàn tỉnh.
QUYẾT ĐỊNH:
Điều 1. Phê
duyệt phương án bảo đảm an toàn hệ thống thông tin mạng truyền số liệu chuyên
dùng cấp II do Viễn thông Tuyên Quang triển khai trên địa bàn tỉnh, cụ thể như
sau:
1. Thông tin chung
a) Tên hệ thống thông tin: Mạng
truyền số liệu chuyên dùng cấp II do Viễn thông Tuyên Quang triển khai trên địa
bàn tỉnh.
b) Đơn vị vận hành hệ thống
thông tin: Viễn thông Tuyên Quang.
c) Địa chỉ: Số 2, đường 17/8,
phường Minh Xuân, thành phố Tuyên Quang, tỉnh Tuyên Quang.
2. Phương án bảo đảm an toàn
thông tin
a) Phương án bảo đảm an toàn
thông tin trong thiết kế hệ thống thông tin tương ứng với cấp độ 3 là phù hợp với
tiêu chuẩn quốc gia (TCVN11930:2017), quy chuẩn kỹ thuật quốc gia
(TCVN11930:2017) về bảo đảm an toàn hệ thống thông tin theo cấp độ.
b) Phương án bảo đảm an toàn
thông tin trong quá trình vận hành hệ thống tương ứng với cấp độ 3 là phù hợp với
tiêu chuẩn quốc gia (TCVN11930:2017), quy chuẩn kỹ thuật quốc gia
(TCVN11930:2017) về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Điều 2. Tổ
chức thực hiện
1. Viễn thông Tuyên Quang chịu
trách nhiệm bảo đảm an toàn hệ thống thông tin mình quản lý theo các quy định tại
Điều 22 Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm
an toàn hệ thống thông tin theo cấp độ.
2. Sở Thông tin và Truyền thông
có trách nhiệm kiểm tra, giám sát, theo dõi, đôn đốc Viễn thông Tuyên Quang
thực hiện theo các quy định nêu trên, báo cáo Ủy ban nhân dân tỉnh theo quy định.
Điều 3.
Quyết định này có hiệu lực thi hành kể từ ngày ký.
Chánh Văn phòng Ủy ban nhân dân
tỉnh, Giám đốc Sở Thông tin và Truyền thông, Viễn thông Tuyên Quang và các cơ
quan liên quan chịu trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
- Bộ Thông tin và Truyền thông;
- Thường trực Tỉnh ủy;
- Thường trực HĐND tỉnh;
- Chủ tịch UBND tỉnh;
- Phó Chủ tịch UBND tỉnh;
- Phó CVP UBND tỉnh;
- Cổng thông tin điện tử tỉnh;
- Công báo Tuyên Quang;
- Như Điều 3;
- Lưu: VT, TG CNTT 02.
|
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Hoàng Việt Phương
|
PHƯƠNG ÁN BẢO ĐẢM AN TOÀN THÔNG
TIN
HỆ THỐNG MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG CẤP II DO VIỄN
THÔNG TUYÊN QUANG TRIỂN KHAI TRÊN ĐỊA BÀN TỈNH
(Kèm theo Quyết định số 1099/QĐ-UBND, ngày 09/8/2022 của Chủ tịch Ủy ban
nhân dân tỉnh)
I. Phương án
bảo đảm an toàn, an ninh mạng đối với Hệ thống mạng truyền số liệu chuyên dùng
cấp II do Viễn thông Tuyên Quang triển khai trên địa bàn tỉnh
1. Hồ sơ, tài liệu quản lý
a) Lập hồ sơ, tài liệu hệ thống
như tài liệu thiết kế, triển khai, quản trị, vận hành, bảo đảm an toàn thông
tin.
b) Lưu trữ, bảo quản hồ sơ,
tài liệu, xác định phạm vi phổ biến, sử dụng của tài liệu.
c) Thực hiện cập nhật tài liệu
thường xuyên khi có thay đổi, xem xét định kỳ hàng năm.
2. Kiểm tra, đánh giá an
toàn, an ninh mạng
a) Thực hiện kiểm tra, đánh
giá chức năng và an toàn, an ninh mạng các hệ thống thông tin trước khi đưa
vào sử dụng khi triển khai hệ thống mới hoặc nâng cấp hệ thống có thay đổi kiến
trúc của hệ thống.
b) Thực hiện kiểm tra, đánh
giá chức năng và an toàn, an ninh mạng trước khi đưa vào sử dụng đối với các
phần mềm thuê khoán khi xây dựng phần mềm mới hoặc khi thay đổi phần mềm, thay
đổi mã nguồn mà có ảnh hưởng đến kiến trúc của phần mềm.
c) Chuẩn bị hồ sơ, thực hiện
các bước, quy trình kiểm tra, đánh giá an toàn, an ninh mạng theo quy định,
quy trình, hướng dẫn của đơn vị chuyên trách an toàn, an ninh mạng của Bộ
Thông tin và Truyền thông.
3. Giám sát an toàn, an ninh
mạng
a) Triển khai giám sát 24/7 đối
với các hệ thống thông tin.
b) Các yêu cầu giám sát cơ bản
gồm: Trạng thái hoạt động up/down; lưu lượng mạng, dịch vụ. Ngoài ra, thực hiện
giám sát an toàn thông tin theo hướng dẫn tại Thông tư số 31/2017/TT-BTTTT
ngày 15/11/2017 của Bộ Thông tin và Truyền thông. Tùy vào điều kiện, nguồn
lực và mức độ quan trọng của các hệ thống thông tin, có thể triển khai thêm
các phương án giám sát khác để giám sát bất thường, nguy cơ, rủi ro hoặc dấu
hiệu an toàn, an ninh mạng của hệ thống thông tin.
c) Xây dựng các quy trình xử
lý đối với các sự cố an toàn, an ninh mạng được phát hiện qua công tác giám
sát. Đối với các sự cố chưa có trong quy trình, có khả năng ảnh hưởng nguy
hiểm tới các hệ thống thông tin quan trọng thì thực hiện cung cấp thông tin kịp
thời cho đơn vị chuyên trách an toàn, an ninh mạng của Bộ Thông tin và Truyền
thông để phối hợp điều tra, phân tích và xử lý.
d) Thực hiện báo cáo định kỳ,
báo cáo khi có sự cố xảy ra hoặc báo cáo đột xuất theo yêu cầu của các cấp
có thẩm quyền.
4. Quản lý rủi ro
a) Thực hiện đánh giá rủi ro
đối với các hệ thống thông tin.
b) Nội dung đánh giá rủi ro tập
trung xác định các điểm yếu, mối đe dọa đối với tài sản của các hệ thống
thông tin, từ đó xác định hậu quả và mức độ ảnh hưởng. Đồng thời đưa ra biện
pháp để xử lý rủi ro bảo đảm cân đối giữa nguồn lực và giá trị mang lại.
5. Kết thúc vận hành, khai
thác, sửa chữa, thanh lý, hủy bỏ
a) Thực hiện hủy bỏ toàn bộ
thông tin, dữ liệu trên hệ thống với sự xác nhận của đơn vị chủ quản hệ thống
thông tin khi kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông
tin. Trong trường hợp thông tin, dữ liệu của hệ thống thông tin lưu trữ trên
tài sản vật lý, đơn vị chủ quản hệ thống thông tin thực hiện các biện pháp
tiêu hủy hoặc xóa thông tin bảo đảm không có khả năng phục hồi. Với trường hợp
đặc biệt không thể tiêu hủy thông tin, dữ liệu thì sử dụng biện pháp tiêu hủy
cấu trúc phần lưu trữ dữ liệu trên tài sản đó.
b) Đối với các hệ thống thông
tin có dữ liệu được lưu trữ trên tài sản vật lý cần phải mang đi bảo hành, bảo
dưỡng, sửa chữa bên ngoài thì phải được sự phê duyệt của cấp có thẩm quyền
và thực hiện các biện pháp bảo vệ dữ liệu; có cam kết bảo mật thông tin giữa
bên có dữ liệu và bên cung cấp dịch vụ sửa chữa thiết bị lưu trữ dữ liệu.
II. Phương
án ứng phó, khắc phục sự cố an toàn, an ninh mạng đối với Hệ thống mạng truyền
số liệu chuyên dùng cấp II do Viễn thông Tuyên Quang triển khai trên địa bàn tỉnh
1. Nguyên
tắc thực hiện
Phương án ứng phó, khắc phục
sự cố an toàn, an ninh mạng được thực hiện theo nguyên tắc: Phát hiện hoặc
tiếp nhận sự cố; xác minh, phân tích, đánh giá và phân loại sự cố; quyết định
lựa chọn phương án và phối hợp các đơn vị liên quan; ứng cứu sự cố, khôi phục
hệ thống; điều phối, ứng cứu sự cố; kết thúc sự cố; khắc phục, phòng ngừa sự
cố tái diễn; hỗ trợ sau sự cố.
2. Đánh
giá các nguy cơ, sự cố an toàn, an ninh mạng
a) Thực hiện đánh giá, xác định
nguy cơ, sự cố an toàn, an ninh mạng trong hoạt động quản trị, vận hành các
hệ thống thông tin.
b) Xác định phạm vi sự cố: (1)
Sự cố do lỗi phần cứng, phần mềm hoặc do công tác quản trị, vận hành làm
gián đoạn hệ thống thông tin. (2) Sự cố do bị tấn công mạng: Tấn công từ chối
dịch vụ; tấn công giả mạo; tấn công sử dụng mã độc; truy cập trái phép, chiếm
quyền điều khiển; tấn công thay đổi giao diện; tấn công mã hóa phần mềm, dữ liệu,
thiết bị; phá hoại thông tin, dữ liệu, phần mềm; nghe trộm, gián điệp, lấy cắp
thông tin, dữ liệu; các hình thức tấn công mạng khác.
3. Phương
án ứng phó, khắc phục đối với một số tình huống cụ thể
1. Bảo đảm
an toàn mạng
1.1.
Thiết kế hệ thống
a) Các vùng mạng trong hệ thống
- Hệ thống được phân tách thành
các vùng mạng riêng theo quy hoạch Vlan và Ip đấu nối của Cục Bưu điện Trung
ương. Các điểm kết nối từ một sở, ban, ngành hoặc huyện, thành phố, xã, phường,
thị trấn đều phải kết nối qua thiết bị của mạng TSLCD cấp I của Cục Bưu điện
Trung ương trước khi kết nối đến các điểm khác theo văn bản số 169/CBĐTW-BĐCP16
ngày 11/02/2022 “Về việc chuẩn hóa kết nối mạng TSLCD tại các tỉnh, thành phố
theo quy định mới”.
b) Phương án bảo đảm an toàn
thông tin
|
STT
|
Yêu cầu
|
P/A
|
Ghi chú/Mô tả
|
|
1
|
Phương án quản lý truy cập,
quản trị hệ thống từ xa an toàn
|
Có
|
Các thiết bị Modem đều được
thiết lập cấu hình quản lý truy cập, quản trị hệ thống từ xa qua access list
và giao thức truy cập SSH, HTTPS.
|
|
2
|
Phương án quản lý truy cập giữa
các vùng mạng và phòng chống xâm nhập
|
Có
|
Hệ thống được phân tách
thành các vùng mạng riêng theo quy hoạch Vlan và Ip đấu nối của Cục Bưu điện
Trung ương. Các điểm kết nối từ một sở, ban, ngành hoặc huyện, thành phố,
xã, phường, thị trấn đều phải kết nối qua thiết bị của mạng TSLCD cấp I của
Cục Bưu điện Trung ương trước khi kết nối đến các điểm khác.
|
|
3
|
Phương án cân bằng tải và
dự phòng nóng cho các thiết bị mạng chính
|
Có
|
Các thiết bị mạng hỗ trợ các
giao thức cân bằng tải động qua các giao thức định tuyến: route static.
|
|
4
|
Phương án bảo đảm an toàn
cho máy chủ cơ sở dữ liệu
|
N/A
|
Không có máy chủ cơ sở dữ
liệu.
|
|
5
|
Phương án chặn lọc phần mềm độc
hại trên môi trường mạng
|
N/A
|
Hệ thống chỉ cung cấp truyền
tải lưu lượng layer 2, layer 3 nên không phải thực hiện chặn lọc các phần mềm
độc hại.
|
|
6
|
Phương án phòng chống tấn
công từ chối dịch vụ
|
Có
|
Thiết bị có cấu hình
firewall policy cho phép chống các cuộc tấn công từ chối dịch vụ cơ bản.
|
|
7
|
Phương án giám sát hệ thống
thông tin tập trung
|
Có
|
Cục Bưu điện Trung ương đang
triển khai giải pháp giám sát hệ thống thông tin tập trung để thực hiện giám
sát toàn bộ mạng TSLCD cấp II của 63 tỉnh/Tp.
Ngoài ra VNPT có sử dụng giải
pháp HP OpenView/Solarwinds/Cacti/Nagios/MRTG để thực hiện giám sát hoạt động
của hệ thống mạng, bảo đảm tính khả dụng của hệ thống.
|
|
8
|
Phương án giám sát an toàn hệ
thống thông tin tập trung
|
Có
|
VNPT đang sử dụng hệ thống
SIEM Qradar để giám sát an toàn thông tin tập trung.
|
|
9
|
Phương án quản lý sao lưu dự
phòng tập trung
|
Có
|
VNPT có thực hiện sao lưu định
kỳ cấu hình, OS của các thiết bị.
|
|
10
|
Có phương án quản lý phần mềm
phòng chống mã độc trên các máy chủ/máy tính người dùng tập trung
|
N/A
|
Hệ thống không bao gồm các
máy chủ/máy tính người dùng. Các máy tính người dùng quản trị của VNPT được
cài đặt phần mềm SmartIR tập trung để phòng chống mã độc và quản lý phần mềm.
|
|
11
|
Có phương án phòng, chống thất
thoát dữ liệu
|
N/A
|
Hệ thống không lưu trữ và xử
lý dữ liệu.
|
|
12
|
Có phương án dự phòng kết nối
mạng Internet cho hệ thống
|
N/A
|
Hệ thống không cung cấp dịch
vụ truy cập kết nối.
|
1.2.
Kiểm soát truy cập từ bên ngoài mạng
|
STT
|
Yêu cầu
|
P/A
|
Ghi chú/Mô tả
|
|
1
|
Thiết lập hệ thống chỉ cho
phép sử dụng các kết nối mạng an toàn khi truy cập thông tin nội bộ hoặc quản
trị hệ thống từ các mạng bên ngoài và mạng Internet
|
Có
|
Các thiết bị trong hệ thống
được cấu hình access-list theo địa chỉ IP để giới hạn truy cập quản trị.
|
|
2
|
Kiểm soát truy cập từ bên
ngoài vào hệ thống theo từng dịch vụ, ứng dụng cụ thể; chặn tất cả truy cập
tới các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép
truy cập từ bên ngoài
|
N/A
|
Hệ thống chỉ truyền tải lưu
lượng layer 2, layer 3, không bao gồm các dịch vụ, ứng dụng cụ thể.
|
|
3
|
Thiết lập giới hạn thời gian chờ
(timeout) để đóng phiên kết nối khi hệ thống không nhận được yêu cầu từ người
dùng.
|
Có
|
Thiết bị được thiết lập giới
hạn thời gian chờ phiên kết nối quản trị tối đa trong 30 phút.
|
|
4
|
Phân quyền và cấp quyền truy
cập từ bên ngoài vào hệ thống theo từng người dùng hoặc nhóm người dùng
căn cứ theo yêu cầu nghiệp vụ, yêu cầu quản lý.
|
N/A
|
Hệ thống chỉ truyền tải lưu
lượng layer 2, layer 3, không bao gồm các dịch vụ, ứng dụng cụ thể.
|
|
5
|
Giới hạn số lượng kết nối đồng
thời từ một địa chỉ nguồn và tổng số lượng kết nối đồng thời cho từng ứng dụng,
dịch vụ được hệ thống cung cấp theo năng lực thực tế của hệ thống
|
N/A
|
Hệ thống chỉ truyền tải lưu
lượng layer 2, layer 3, không bao gồm các dịch vụ, ứng dụng cụ thể.
|
1.3 Kiểm
soát truy cập từ bên trong mạng
|
STT
|
Yêu cầu
|
P/A
|
Ghi chú/Mô tả
|
|
1
|
Chỉ cho phép truy cập các ứng
dụng, dịch vụ bên ngoài theo yêu cầu nghiệp vụ, chặn các dịch vụ khác không
phục vụ hoạt động nghiệp vụ theo chính sách của tổ chức
|
N/A
|
Hệ thống chỉ truyền tải lưu lượng
layer 2, layer 3, không bao gồm các dịch vụ, ứng dụng cụ thể.
|
|
2
|
Giới hạn truy cập các ứng dụng,
dịch vụ bên ngoài theo thời gian
|
N/A
|
Hệ thống chỉ truyền tải lưu
lượng layer 2, layer 3, không bao gồm các dịch vụ, ứng dụng cụ thể.
|
|
3
|
Có phương án kiểm soát truy
cập của người dùng vào các dịch vụ, các máy chủ nội bộ theo chức năng và
chính sách của tổ chức
|
N/A
|
Hệ thống chỉ truyền tải lưu
lượng layer 2, layer 3, không bao gồm các dịch vụ, ứng dụng cụ thể.
|
1.4.
Nhật ký hệ thống
|
Yêu cầu
|
Thiết lập chức năng ghi, lưu
trữ nhật ký hệ thống trên các thiết bị hệ thống
|
Sử dụng máy chủ thời gian
trong hệ thống để đồng bộ thời gian
|
Lưu trữ và quản lý tập trung
nhật ký hệ thống
|
Lưu trữ nhật ký hệ thống của
thiết bị tối thiểu 03 tháng
|
|
Loại thiết bị
|
|
Igate
|
+
|
+
|
+
|
+
|
|
Mikrotik
|
+
|
+
|
+
|
+
|
|
DrayTek
|
+
|
+
|
+
|
+
|
1.5.
Phòng chống xâm nhập
|
STT
|
Yêu cầu
|
P/A
|
Ghi chú/Mô tả
|
|
1
|
Có phương án phòng chống xâm
nhập để bảo vệ các vùng mạng trong hệ thống
|
N/A
|
Hệ thống được phân tách thành
các vùng mạng riêng theo quy hoạch Vlan và Ip đấu nối của Cục Bưu điện
Trung ương. Các điểm kết nối từ một sở, ban, ngành hoặc huyện, thành phố,
xã, phường, thị trấn đều phải kết nối qua thiết bị của mạng TSLCD cấp I của
Cục Bưu điện Trung ương trước khi kết nối đến các điểm khác.
|
|
2
|
Định kỳ cập nhật cơ sở dữ liệu
dấu hiệu phát hiện tấn công mạng
|
N/A
|
Hệ thống chỉ truyền tải lưu
lượng layer 2, layer 3, không bao gồm các dịch vụ, ứng dụng cụ thể.
|
|
3
|
Bảo đảm năng lực hệ thống đáp
ứng đủ theo yêu cầu, quy mô số lượng người dùng và dịch vụ, ứng dụng của hệ
thống cung cấp
|
N/A
|
Hệ thống chỉ truyền tải lưu
lượng layer 2, layer 3, không bao gồm các dịch vụ, ứng dụng cụ thể.
|
1.6.
Phòng chống phần mềm độc hại trên môi trường mạng
|
STT
|
Yêu cầu
|
P/A
|
Ghi chú/Mô tả
|
|
1
|
Có phương án phòng chống phần
mềm độc hại trên môi trường mạng
|
N/A
|
Hệ thống chỉ truyền tải lưu
lượng layer 2, layer 3.
|
|
2
|
Định kỳ cập nhật dữ liệu cho
hệ thống phòng chống phần mềm độc hại
|
N/A
|
Hệ thống chỉ truyền tải lưu lượng
layer 2, layer 3.
|
|
3
|
Bảo đảm năng lực hệ thống
đáp ứng đủ theo yêu cầu, quy mô số lượng người dùng và dịch vụ, ứng dụng
của hệ thống cung cấp
|
N/A
|
Hệ thống chỉ truyền tải lưu
lượng layer 2, layer 3.
|
1.7. Bảo
vệ thiết bị hệ thống
|
Yêu cầu
|
Cấu hình chức năng xác thực
trên các thiết bị
|
Chỉ cho phép sử dụng các kết
nối mạng an toàn khi truy cập, quản trị thiết bị từ xa
|
Hạn chế các địa chỉ mạng có
thể kết nối, quản trị thiết bị từ xa
|
Hạn chế được số lần đăng nhập
sai
|
Phân quyền truy cập, quản trị
thiết bị
|
Nâng cấp, xử lý điểm yếu an
toàn thông tin của thiết bị hệ thống trước khi đưa vào sử dụng
|
|
Loại thiết bị
|
|
Igate
|
+
|
+
|
+
|
+
|
+
|
+
|
|
Mikrotik
|
+
|
+
|
+
|
+
|
+
|
+
|
|
DrayTek
|
+
|
+
|
+
|
+
|
+
|
+
|
2. Bảo đảm
an toàn máy chủ
Hệ thống không bao gồm các máy
chủ
3. Bảo đảm
an toàn ứng dụng
Hệ thống truyền tải các lưu lượng
layer 2, layer 3, không cung cấp ứng dụng
4. Bảo đảm
an toàn dữ liệu
Hệ thống truyền tải các lưu lượng
layer 2, layer 3, không lưu trữ, xử lý dữ liệu