11 yêu cầu an toàn thông tin cơ bản của Camera giám sát IP từ năm 2026

11 yêu cầu an toàn thông tin cơ bản của Camera giám sát IP từ năm 2026 (Hình từ Internet)

Ngày 31/12/2024, Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư 21/2024/TT-BTTTT về Quy chuẩn kỹ thuật quốc gia thiết bị camera giám sát sử dụng giao thức Internet - Các yêu cầu an toàn thông tin cơ bản.

11 yêu cầu an toàn thông tin cơ bản của Camera giám sát IP từ năm 2026

Theo đó, từ ngày 01/01/2026, các thiết bị camera giám sát sử dụng giao thức Internet (hay còn gọi là Camera giám sát IP) ập khẩu và sản xuất trong nước phải đáp ứng các yêu cầu an toàn thông tin cơ bản được quy định tại QCVN 135:2024/BTTTT ban hành kèm theo Thông tư 21/2024/TT-BTTTT; cụ thể như sau:

(1) Khởi tạo mật khẩu duy nhất

- Mật khẩu của thiết bị camera được sử dụng trong bất kỳ trạng thái nào (trừ trạng thái mặc định xuất xưởng) phải là duy nhất cho mỗi thiết bị hoặc do người sử dụng thiết lập.

- Mật khẩu của thiết bị camera được thiết lập sẵn bởi nhà sản xuất, phải được tạo ra bởi cơ chế có khả năng phòng, chống các cuộc tấn công tự động.

- Cơ chế xác thực được sử dụng bởi thiết bị camera để xác thực người sử dụng phải sử dụng các mật mã an toàn, phù hợp với mục đích sử dụng, đặc tính công nghệ và nguy cơ, rủi ro.

- Thiết bị camera có cơ chế cho phép người sử dụng hoặc quản trị viên thay đổi giá trị xác thực một cách đơn giản.

- Cơ chế xác thực được sử dụng bởi thiết bị camera có khả năng ngăn chặn tấn công vét cạn (brute-force) qua các giao diện mạng.

(2) Quản lý lỗ hổng bảo mật

Nhà sản xuất phải công bố chính sách công bố lỗ hổng bảo mật. Chính sách này phải bao gồm tối thiểu các thông tin sau:

- Thông tin liên hệ để tiếp nhận thông tin về lỗ hổng;

- Thông tin về thời gian đối với các việc:

+ Xác nhận ban đầu về việc nhận được báo cáo;

+ Cập nhật trạng thái xử lý lỗ hổng bảo mật cho đến khi xử lý được các lỗ hổng bảo mật theo báo cáo.

(3) Quản lý cập nhật

- Thiết bị camera có cơ chế cập nhật cho phép các phần mềm được cập nhật và cài đặt một cách an toàn.

Ví dụ: Thiết bị camera có các biện pháp phòng, chống để ngăn chặn kẻ tấn công lạm dụng cơ chế cập nhật.

- Thiết bị camera phải có cơ chế cho phép người sử dụng cập nhật phần mềm một cách đơn giản.

- Thiết bị camera phải sử dụng các mật mã an toàn để thực hiện đảm bảo an toàn cập nhật.

Ví dụ: Thiết bị camera có cơ chế tự động cập nhật hoặc hỗ trợ người sử dụng cập nhật qua trang thông tin điện tử hoặc ứng dụng di động.

- Bản cập nhật an toàn phải được nhà sản xuất cung cấp kịp thời.

Ví dụ: Nhà sản xuất phải có chính sách, quy trình về phương án khắc phục lỗ hổng bảo mật được báo cáo, trong đó có đối tượng tham gia và thời gian thực hiện của từng bước.

- Thiết bị camera có cơ chế kiểm tra tính xác thực và tính toàn vẹn của từng bản cập nhật sử dụng kết nối tin cậy thông qua giao diện mạng.

- Nhà sản xuất phải công bố thời hạn hỗ trợ bảo hành đối với từng chủng loại thiết bị camera cho người sử dụng.

- Thiết bị camera cho phép người sử dụng tra cứu thông tin về mã, chủng loại sản phẩm thiết bị thông qua nhãn dán trên thiết bị hoặc qua giao diện vật lý.

(4) Lưu trữ các tham số an toàn nhạy cảm

- Các tham số an toàn nhạy cảm phải được lưu trữ an toàn trên bộ nhớ của thiết bị camera.

- Khi một định danh duy nhất được mã hóa cứng trên camera dùng trong mục đích an toàn, nó phải được bảo vệ để chống lại sự thay đổi bởi các yếu tố vật lý, điện tử hoặc phần mềm.

- Các tham số an toàn quan trọng mã hóa cứng trong mã nguồn của camera không được sử dụng.

- Các tham số an toàn quan trọng được sử dụng để kiểm tra tính toàn vẹn và tính xác thực của các bản cập nhật phần mềm và để bảo vệ kết nối giao tiếp với các dịch vụ liên kết, phải là duy nhất cho mỗi thiết bị và phải được tạo ra với một cơ chế có khả năng phòng, chống các cuộc tấn công tự động.

(5) Quản lý kênh giao tiếp an toàn

- Thiết bị camera sử phải sử dụng các mật mã an toàn để thiết lập kênh giao tiếp an toàn.

- Thiết bị camera có chức năng xác thực các đối tượng thực hiện thay đổi liên quan đến an toàn trước khi áp dụng các thay đổi đó. Yêu cầu này không áp dụng đối với các giao thức như: ARP; DHCP; DNS; ICMP; NTP.

Ví dụ: Những thay đổi liên quan đến an toàn bao gồm quản lý quyền, cấu hình khóa mạng và thay đổi mật khẩu.

- Thiết bị camera phải đảm bảo tính bảo mật của các tham số an toàn quan trọng khi truyền qua môi trường mạng.

- Nhà sản xuất phải tuân thủ các quy trình quản lý các tham số an toàn quan trọng liên quan đến thiết bị camera.

(6) Phòng chống tấn công thông qua các giao diện của thiết bị

- Tất cả giao diện mạng và logic của thiết bị camera mà không được sử dụng phải được vô hiệu hóa.

- Khi ở trạng thái hoạt động ban đầu, giao diện mạng của thiết bị camera phải giảm thiểu việc tiết lộ các thông tin liên quan đến an toàn khi quá trình xác thực chưa cho kết quả thành công.

- Trường hợp Camera có giao diện gỡ lỗi có thể truy cập được ở mức vật lý, phải có chức năng vô hiệu hóa giao diện gỡ lỗi bằng phần mềm.

(7) Bảo vệ dữ liệu người sử dụng

- Dữ liệu cá nhân nhạy cảm được trao đổi giữa thiết bị camera và các dịch vụ liên kết phải được bảo vệ bằng cách ứng dụng các mật mã phù hợp với mục đích sử dụng và đặc tính công nghệ.

- Tất cả các chức năng cảm biến bên ngoài của thiết bị camera phải được mô tả đầy đủ và rõ ràng cho người sử dụng.

(8) Khả năng tự khôi phục lại hoạt động bình thường sau sự cố

- Thiết bị camera phải có cơ chế khôi phục khi bị mất kết nối mạng hoặc bị mất điện.

- Thiết bị camera phải hoạt động được bình thường đối với các chức năng nội bộ khi bị mất kết nối mạng và khôi phục được hoàn toàn trạng thái hoạt động sau khi có điện trở lại.

- Thiết bị camera khôi phục lại kết nối mạng theo một cách trình tự và ổn định.

(9) Xóa dữ liệu trên thiết bị camera: Thiết bị camera có chức năng cho phép xóa dữ liệu người sử dụng trên thiết bị camera.

(10) Xác thực dữ liệu đầu vào: Phần mềm của thiết bị camera phải xác thực dữ liệu đầu vào từ các giao diện người sử dụng hoặc được truyền qua các giao diện lập trình ứng dụng (API) hoặc giữa các dịch vụ và thiết bị.

(11) Bảo vệ dữ liệu trên thiết bị camera

- Nhà sản xuất phải cung cấp đầy đủ thông tin về mục đích, cách thức thu thập, xử lý và lưu trữ dữ liệu cá nhân được thu thập và xử lý bởi thiết bị camera, dịch vụ liên kết hoặc bên thứ ba (nếu có).

- Thiết bị camera phải có chức năng xác nhận sự đồng ý của người sử dụng đối với việc cho phép thiết bị camera thu thập và xử lý dữ liệu cá nhân.

- Thiết bị camera phải có chức năng cho phép người sử dụng thu hồi sự đồng ý đối với việc cho phép thiết bị camera thu thập và xử lý dữ liệu cá nhân.

- Dữ liệu đo đạc từ xa được thu thập từ thiết bị camera phải được mô tả đầy đủ về mục đích, đối tượng thu thập và nơi lưu trữ.

- Thiết bị camera có chức năng cho phép thiết lập cấu hình để lưu trữ dữ liệu tại Việt Nam.

Lưu ý: Các yêu cầu kỹ thuật nêu trên sẽ được áp dụng trong thử nghiệm, chứng nhận hợp quy, công bố hợp quy từ ngày 15/02/2025.