Quy định về bảo đảm an toàn thông tin đối với hệ thống mạng máy tính ra sao?

Nội dung chính

• Bảo đảm an toàn thông tin đối với hệ thống mạng máy tính được quy định như thế nào?
• Quản lý tài khoản truy cập trong việc bảo đảm an toàn thông tin được thực hiện ra sao?
• Bảo đảm an toàn thông tin mức ứng dụng được quy định như thế nào?

Bảo đảm an toàn thông tin đối với hệ thống mạng máy tính được quy định như thế nào?

Tại khoản 3 Điều 7 Quy chế đảm bảo an toàn thông tin mạng và an ninh mạng ban hành kèm theo Quyết định 1760/QĐ-BKHCN năm 2022 quy định về bảo đảm an toàn thông tin đối với hệ thống mạng máy tính như sau:

+) Hệ thống mạng nội bộ (LAN) phải được thiết kế phân vùng theo chức năng cơ bản (theo các chính sách an toàn thông tin riêng), bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống ra bên ngoài Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ; vùng mạng máy chủ quản trị.

Dữ liệu trao đổi giữa các vùng mạng phải được quản lý, giám sát bởi hệ thống các thiết bị mạng, thiết bị bảo mật;

+) Đơn vị trực thuộc Bộ tham gia kết nối, sử dụng hệ thống mạng diện rộng (WAN) của Bộ Khoa học và Công nghệ có trách nhiệm bảo đảm an toàn thông tin đối với hệ thống mạng nội bộ và các thiết bị của mình khi thực hiện kết nối vào mạng diện rộng;

Thông báo sự cố hoặc các hành vi phá hoại, xâm nhập về Trung tâm Công nghệ thông tin để xử lý;

Định kỳ sao lưu thông tin, dữ liệu dùng chung lưu trữ trên mạng diện rộng;

Không được tiết lộ phương thức (tên đăng ký, mật khẩu, tiện ích, tệp hỗ trợ và các cách thức khác) để truy nhập vào hệ thống mạng diện rộng cho tổ chức, cá nhân khác;

Không được tìm cách truy nhập dưới bất cứ hình thức nào vào các khu vực không được phép truy nhập;

+) Các đơn vị trực thuộc Bộ phải áp dụng các biện pháp kỹ thuật cần thiết bảo đảm an toàn thông tin trong hoạt động kết nối Internet, tối thiểu đáp ứng các yêu cầu sau:

Có hệ thống tường lửa và hệ thống bảo vệ truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ các công nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng tốc độ mã hóa dữ liệu và có khả năng bảo vệ hệ thống trước các loại tấn công từ chối dịch vụ (DDoS); Lọc bỏ, không cho phép truy nhập các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp;

+) Các đường truyền dữ liệu, đường truyền Internet và các hệ thống dây dẫn các mạng LAN, WAN phải được lắp đặt trong ống, máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối cổng Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các cơ quan, đơn vị.

Quy định về bảo đảm an toàn thông tin đối với hệ thống mạng máy tính (Hình từ Internet)

Quản lý tài khoản truy cập trong việc bảo đảm an toàn thông tin được thực hiện ra sao?

Tại khoản 4 Điều 7 Quy chế đảm bảo an toàn thông tin mạng và an ninh mạng ban hành kèm theo Quyết định 1760/QĐ-BKHCN năm 2022 quy định về quản lý tài khoản truy cập trong việc bảo đảm an toàn thông tin như sau:

+) Cá nhân sử dụng hệ thống thông tin được cấp và sử dụng tài khoản truy nhập với định danh duy nhất gắn với cá nhân đó;

+) Trường hợp cá nhân thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, trong vòng không quá 05 ngày làm việc sau khi có quyết định của cấp có thẩm quyền thì cơ quan, đơn vị quản lý cá nhân đó phải thông báo cho cơ quan, đơn vị vận hành hệ thống thông tin bằng văn bản có xác nhận của thủ trưởng đơn vị để điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng đối với hệ thống thông tin;

+) Tài khoản quản trị hệ thống (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung tài khoản quản trị;

+) Khi có yêu cầu khóa quyền truy cập hệ thống thông tin của tài khoản đang hoạt động, lãnh đạo đơn vị phải yêu cầu bằng văn bản gửi đơn vị chủ quản hệ thống thông tin hoặc đơn vị được giao vận hành trực tiếp hệ thống thông tin để xem xét, thực hiện.

Đơn vị vận hành hệ thống thông tin có quyền khóa quyền truy cập của tài khoản trong trường hợp tài khoản đó thực hiện các hành vi tấn công hoặc để xảy ra vấn đề mất an toàn, an ninh thông tin;

+) Việc quản lý tài khoản thư điện tử của Bộ Khoa học và Công nghệ theo quy định của Bộ Khoa học và Công nghệ về công tác quản lý và sử dụng hệ thống công nghệ thông tin. Công tác phòng chống thư rác theo quy định tại Nghị định 91/2020/NĐ-CP và hướng dẫn tại Thông tư 22/2021/TT-BTTTT.

Bảo đảm an toàn thông tin mức ứng dụng được quy định như thế nào?

Tại khoản 5 Điều 7 Quy chế đảm bảo an toàn thông tin mạng và an ninh mạng ban hành kèm theo Quyết định 1760/QĐ-BKHCN năm 2022 quy định về bảo đảm an toàn thông tin mức ứng dụng như sau:

+) Yêu cầu về bảo đảm an toàn thông tin phải được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai và vận hành, sử dụng phần mềm, ứng dụng;

+) Phần mềm, ứng dụng phải đáp ứng các yêu cầu sau: cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian để chờ đóng phiên kết nối; mã hóa thông tin xác thực trên hệ thống; không khuyến khích việc đăng nhập tự động;

+) Thiết lập, phân quyền truy nhập, quản trị, sử dụng tài nguyên khác nhau của phần mềm, ứng dụng với người sử dụng/nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng các cổng giao tiếp không sử dụng;

+) Chỉ cho phép sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL, VPN hoặc tương đương khi truy nhập, quản trị phần mềm, ứng dụng từ xa trên môi trường mạng; hạn chế truy cập đến mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong môi trường an toàn do bộ phận chuyên trách công nghệ thông tin quản lý;

+) Ghi và lưu giữ bản ghi nhật ký hệ thống của phần mềm, ứng dụng trong khoảng thời gian tối thiểu 03 tháng với những thông tin cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy nhập và sử dụng phần mềm, ứng dụng; các lỗi phát sinh trong quá trình hoạt động; thông tin đăng nhập khi quản trị;

+) Phần mềm, ứng dụng cần được kiểm tra phát hiện và khắc phục các điểm yếu về an toàn, an ninh thông tin trước khi đưa vào sử dụng và trong quá trình sử dụng;

+) Thực hiện quy trình kiểm soát cài đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy tính cá nhân, thiết bị kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.

Trân trọng!