Phụ lục yêu cầu an toàn cơ bản cho phần mềm nội bộ của dự án đầu tư ứng dụng CNTT sử dụng nguồn vốn NSNN như thế nào?

Phụ lục yêu cầu an toàn cơ bản cho phần mềm nội bộ của dự án đầu tư ứng dụng Công nghệ thông tin sử dụng nguồn vốn ngân sách Nhà nước. Tôi có nhu cầu tìm hiểu, xin được thông tin.

Căn cứ Phụ lục yêu cầu an toàn cơ bản cho với Phần mềm nội bộ ban hành kèm Quyết định 742/QĐ-BTTTT năm 2022 như sau:

PHỤ LỤC

YÊU CẦU AN TOÀN CƠ BẢN CHO PHẦN MỀM NỘI BỘ

TT

Yêu cầu kỹ thuật

Mô tả yêu cầu

Cấp độ của hệ thống thông tin

1

2

3

4

5

1.

Xác thực

1.1

Có chức năng xác thực người sử dụng khi truy cập, quản trị, cấu hình Phần mềm.

a) Có giao diện quản lý tài khoản người sử dụng.

x

x

x

x

x

b) Yêu cầu xác thực người sử dụng khi truy cập quản trị, cấu hình Phần mềm.

x

x

x

x

x

c) Yêu cầu xác thực người sử dụng khi truy truy cập sử dụng Phần mềm.

x

x

x

x

x

1.2

Có chức năng cho phép lưu trữ có mã hóa thông tin xác thực hệ thống.

Thông tin xác thực được lưu trữ có mã hóa trên Phần mềm sử dụng thuật toán hash từ SHA-256, SHA-512, SHA-3 và các thuật toán tương đương

x

x

x

x

x

1.3

Có chức năng cho phép thiết lập chính sách mật khẩu người sử dụng.

a) Có chức năng yêu cầu người dùng đặt mật khẩu mới khi đăng nhập lần đầu sử dụng mật khẩu mặc định.

x

x

x

x

x

b) Có chức năng cho phép thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.

x

x

x

x

x

c) Có chức năng cho phép thiết lập thời gian yêu cầu thay đổi mật khẩu.

 

x

x

x

x

d) Có chức năng cho phép thiết lập thời gian mật khẩu hợp lệ.

 

x

x

x

x

đ) Khóa tài khoản và yêu cầu nhập mật khẩu mới khi mật khẩu của tài khoản đó hết hạn thời gian hợp lệ.

 

x

x

x

x

e) Mở khóa tài khoản khi thay đổi mật khẩu thành công đối với trường hợp mật khẩu hết hạn thời gian hợp lệ.

 

x

x

x

x

1.4

Có chức năng cho phép hạn chế số lần đăng nhập sai trong khoảng thời gian nhất định với tài khoản nhất định.

a) Có giao diện cho phép thiết lập chính sách về giới hạn số lần đăng nhập sai trong khoảng thời gian nhất định.

 

x

x

x

x

b) Có chức năng cảnh báo tới người sử dụng khi vi phạm chính sách.

 

x

x

x

x

c) Có chức năng tự động ngăn cản việc đăng nhập tự động khi vi phạm chính sách trên.

 

x

x

x

x

đ) Có chức năng tự động vô hiệu hóa tài khoản nếu vi phạm chính sách trên.

 

 

x

x

x

1.5

Có chức năng cho phép mã hóa thông tin xác thực trước khi gửi qua môi trường mạng.

Chức năng bảo đảm mật khẩu được mã hóa trước khi gửi qua môi trường mạng.

 

 

x

x

x

1.6

Có chức năng cho phép sử dụng cơ chế xác thực đa nhân tố để xác thực người sử dụng.

a) Có giao diện cho phép quản trị viên quản lý chính sách về xác thực đa nhân tố.

 

 

 

x

x

b) Tích hợp các bước xác thực đa nhân tố khi chính sách đối với trường hợp này được kích hoạt.

 

 

 

x

x

2.

Kiểm soát truy cập

2.1

Có chức năng cho phép thiết lập giới hạn thời gian chờ (timeout).

a) Có chức năng cho phép thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi Phần mềm không nhận được yêu cầu từ người dùng.

x

x

x

x

x

b) Hiển thị thông báo, đóng phiên kết nối đã hết hạn thời gian timeout và yêu cầu đăng nhập lại.

 

x

x

x

x

2.2

Có chức năng cho phép giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị Phần mềm từ xa.

a) Có giao diện cho phép quản trị viên quản lý chính sách về giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị Phần mềm từ xa.

 

x

x

x

x

b) Có chức năng thực thi chính sách về giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị Phần mềm từ xa ở trên.

 

x

x

x

x

2.3

Có chức năng cho phép phân quyền và cấp quyền tối thiểu truy cập, quản trị, sử dụng tài nguyên khác nhau của Phần mềm với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau.

a) Có giao diện cho phép quản trị viên quản lý chính sách về phân quyền tài khoản theo từng nhóm tài khoản.

 

 

x

x

x

b) Phân loại nhóm tài khoản theo ít nhất 03 nhóm:

i. Tài khoản người sử dụng thông thường;

ii. Tài khoản quản trị mức sử dụng;

iii. Tài khoản quản trị mức phát triển, vận hành.

 

 

x

x

x

c) Có chức năng thực thi chính sách phân quyền và cấp quyền tối thiểu truy cập, quản trị, sử dụng tài nguyên khác nhau ở trên.

 

 

x

x

x

2.4

Có chức năng cho phép thiết lập quyền tối thiểu (quyền truy cập, quản trị) cho tài khoản quản trị ứng dụng theo quyền hạn.

a) Có giao diện cho phép quản trị viên thiết lập quyền cho các tài khoản.

 

 

x

x

x

b) Có chức năng thực thi chính sách phân quyền cho các tài khoản ở trên.

 

 

x

x

x

2.5

Có chức năng cho phép thay đổi, tách biệt cổng quản trị ứng dụng với cổng cung cấp dịch vụ ứng dụng.

c) Có giao diện cho phép quản trị viên quản lý chính sách về cổng quản trị ứng dụng và cổng cung cấp dịch vụ ứng dụng.

 

 

 

 

x

b) Có chức năng thực thi chính sách tách biệt cổng quản trị ứng dụng với cổng cung cấp dịch vụ ứng dụng ở trên.

 

 

 

 

x

2.6

Có chức năng cho phép khóa tạm thời quản trị ứng dụng trong khoảng thời gian ngoài giờ làm việc.

a) Có giao diện cho phép quản trị viên quản lý chính sách về khoảng thời gian được phép thực hiện thao tác quản trị.

 

 

 

 

x

b) Có chức năng thực thi chính sách về khoảng thời gian được phép thực hiện thao tác quản trị hệ thống ở trên.

 

 

 

 

x

3.

Nhật ký hệ thống

3.1

Có chức năng cho phép ghi nhật ký hệ thống gồm những thông tin.

a) Phần mềm cung cấp chức năng ghi nhật ký hệ thống.

x

x

x

x

x

b) Nhật ký hệ thống được phân loại theo ít nhất 05 nhóm:

i. Nhật ký truy cập Phần mềm;

ii. Nhật ký đăng nhập khi quản trị Phần mềm;

iii. Nhật ký các lỗi phát sinh trong quá trình hoạt động;

iv. Nhật ký quản lý tài khoản;

v. Nhật ký thay đổi cấu hình Phần mềm

 

 

x

x

x

3.2

Có chức năng cho phép quản lý và lưu trữ nhật ký hệ thống trên hệ thống quản lý tập trung.

a) Có giao diện cho phép quản trị viên quản lý chính sách về nhật ký hệ thống.

 

 

x

x

x

b) Cho phép quản trị viên cấu hình khoảng thời gian lưu trữ nhật ký qua giao diện trên.

 

 

x

x

x

c) Lưu trữ nhật ký với ít nhất 05 thông tin:

i. Thời điểm sinh nhật ký;

ii. Phân nhóm nhật ký;

iii. Mô tả thao tác/lỗi;

iv. Đối tượng thực hiện thao tác/sinh lỗi;

v. Mức độ quan trọng.

 

 

x

x

x

3.3

Có chức năng cho phép phân quyền truy cập, quản lý dữ liệu nhật ký hệ thống đối với các tài khoản có chức năng quản trị hệ thống khác nhau.

a) Có giao diện cho phép quản trị viên quản lý chính sách về phân quyền tài khoản theo từng nhóm tài khoản quản trị.

 

 

 

 

x

b) Có chức năng thực thi chính sách phân quyền ở trên.

 

 

 

 

x

4.

An toàn ứng dụng và mã nguồn

4.1

Có chức năng cho phép kiểm tra tính hợp lệ của thông tin, dữ liệu đầu vào trước khi xử lý.

Có chức năng thực thi việc kiểm tra tính hợp lệ của thông tin, dữ liệu đầu vào trước khi xử lý

x

x

x

x

x

4.2

Có chức năng cho phép bảo vệ ứng dụng chống lại những dạng tấn công phổ biến: SQL Injection, OS command injection, RFI, LFI, Xpath injection, XSS, CSRF

Phần mềm được kiểm tra, đánh giá, kiểm thử xâm nhập theo tiêu chuẩn OWASP và không tồn tại điểm yếu cho phép kẻ tấn công khai thác thông qua các dạng tấn công: SQL Injection, OS command injection, RFI, LFI, Xpath Injection, XSS, CSRF.

 

 

x

x

x

4.3

Có chức năng cho phép kiểm soát lỗi, thông báo lỗi từ ứng dụng.

a) Có chức năng kiểm soát lỗi, chỉ hiển thị các thông báo lỗi được kiểm soát đến người dùng và không hiển thị các lỗi bên trong hệ thống.

 

 

x

x

x

b) Có chức năng hiển thị thông báo lỗi đến người sử dụng.

 

 

x

x

x

4.4

Có chức năng cho phép bảo đảm không lưu trữ thông tin xác thực, thông tin bí mật trên mã nguồn ứng dụng.

a) Thông tin xác thực, bí mật không được đưa trực tiếp vào mã nguồn ứng dụng mà phải được thiết lập thông qua giao diện cấu hình hệ thống.

 

x

x

x

x

5.

Bảo mật thông tin liên lạc

5.1

Có chức năng cho phép mã hóa thông tin, dữ liệu trước khi truyền đưa, trao đổi qua môi trường mạng (đối với các ứng dụng yêu cầu sử dụng chữ ký số).

Có chức năng cho phép mã hóa dữ liệu trước khi truyền đưa, trao đổi qua môi trường mạng sử dụng chữ ký số.

 

 

x

x

x

6.

Sao lưu dự phòng

6.1

Có chức năng cho phép tự động sao lưu dự phòng.

a) Có giao diện cho phép quản trị viên thiết lập chính sách về sao lưu dự phòng cơ sở dữ liệu và cấu hình hệ thống.

 

 

x

x

x

b) Có chức năng cho phép thực hiện việc sao lưu dự phòng theo chính sách ở trên.

 

 

x

x

x

6.2

Có chức năng cho phép phép gán nhãn loại dữ liệu được lưu trữ theo quy tắc được thiết lập.

a) Có giao diện cho phép quản trị viên quản lý chính sách về phân loại dữ liệu được lưu trữ theo từng nhóm dữ liệu.

 

 

 

x

x

b) Có chức năng cho phép lưu trữ dữ liệu theo tên định dạng đối với từng loại dữ liệu tại mục trên.

 

 

 

x

x

6.3

Có chức năng cho phép thiết lập cấu hình để gửi dữ liệu dự phòng về hệ thống lưu trữ tập trung.

a) Có giao diện cho phép quản trị viên thiết lập cấu hình để gửi dữ liệu dự phòng về hệ thống lưu trữ tập trung.

 

 

 

 

x

b) Có chức năng cho phép thực hiện sao lưu dự phòng thủ công cơ sở dữ liệu và cấu hình hệ thống lên hệ thống lưu trữ tập trung.

 

 

 

 

x

c) Có chức năng cho phép thực hiện sao lưu dự phòng tự động cơ sở dữ liệu và cấu hình hệ thống lên hệ thống lưu trữ tập trung.

 

 

 

 

x

d) Có chức năng cho phép khôi phục dữ liệu, cấu hình hệ thống từ dữ liệu được lưu trữ trên hệ thống lưu trữ tập trung.

 

 

 

 

x

 Trân trọng!

Dự án đầu tư
Hỏi đáp mới nhất về Dự án đầu tư
Hỏi đáp Pháp luật
Dự án đầu tư cơ sở nghiên cứu ứng dụng công nghệ cao tại khu nông nghiệp phải đáp ứng tiêu chí gì?
Hỏi đáp Pháp luật
Thu hồi các dự án BĐS đã có quyết định giao đất nhưng không triển khai?
Hỏi đáp Pháp luật
Trong quá trình vận hành thử nghiệm các công trình xử lý chất thải, chủ dự án đầu tư có trách nhiệm như thế nào?
Hỏi đáp Pháp luật
Mẫu báo cáo năm về tình hình thực hiện dự án đầu tư mới nhất năm 2024?
Hỏi đáp Pháp luật
Giảm tiền bảo đảm thực hiện dự án đầu tư trong các trường hợp nào? Mức giảm là bao nhiêu?
Hỏi đáp Pháp luật
Hợp đồng dự án đầu tư có sử dụng đất có các nội dung cơ bản nào?
Hỏi đáp Pháp luật
Dự án đầu tư cải tạo, xây dựng lại nhà chung cư độc lập là dự án có mục đích gì?
Hỏi đáp Pháp luật
Mẫu a.iii.1 báo cáo quý về tình hình thực hiện dự án đầu tư? Thời hạn nộp báo cáo quý thực hiện dự án đầu tư của tổ chức kinh tế là khi nào?
Hỏi đáp Pháp luật
Hợp đồng dự án đầu tư kinh doanh được sửa đổi trong các trường hợp nào?
Hỏi đáp Pháp luật
Hết thời hạn hoạt động dự án đầu tư mà không thông báo với cơ quan đăng ký đầu tư bị phạt bao nhiêu?
Đặt câu hỏi

Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.

Đi đến trang Tra cứu hỏi đáp về Dự án đầu tư
Phan Hồng Công Minh
446 lượt xem
Tra cứu hỏi đáp liên quan
Dự án đầu tư

TÌM KIẾM VĂN BẢN
Xem toàn bộ văn bản về Dự án đầu tư

Chủ quản: Công ty THƯ VIỆN PHÁP LUẬT. Giấy phép số: 27/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 09/05/2019.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3930 3279
Địa chỉ: P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;
Địa điểm Kinh Doanh: Số 17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q3, TP. HCM;
Chứng nhận bản quyền tác giả số 416/2021/QTG ngày 18/01/2021, cấp bởi Bộ Văn hoá - Thể thao - Du lịch
Thông báo
Bạn không có thông báo nào