Thiết bị Camera giám sát sử dụng giao thức Internet - Các yêu cầu an toàn thông tin cơ bản theo QCVN 135:2024/BTTTT?

Nội dung chính

• Thiết bị Camera giám sát sử dụng giao thức Internet - Các yêu cầu an toàn thông tin cơ bản theo QCVN 135:2024/BTTTT?
• Quy định về kỹ thuật thiết bị Camera giám sát sử dụng giao thức Internet như thế nào?
• Quy định về quản lý lỗ hổng bảo mật cụ thể ra sao?

Thiết bị Camera giám sát sử dụng giao thức Internet - Các yêu cầu an toàn thông tin cơ bản theo QCVN 135:2024/BTTTT?

Quy chuẩn kỹ thuật quốc gia QCVN 135:2024/BTTTT quy định các yêu cầu kỹ thuật an toàn thông tin mạng cơ bản cho thiết bị camera giám sát sử dụng giao thức Internet.

Thiết bị camera giám sát sử dụng giao thức Internet là camera kỹ thuật số, có thể kết nối qua giao thức Internet, thực hiện một phần hoặc toàn bộ việc giám sát, ghi hình.

Mã số HS của thiết bị camera giám sát sử dụng giao thức Internet áp dụng theo Phụ lục C.

Quy chuẩn kỹ thuật quốc gia QCVN 135:2024/BTTTT được áp dụng cho các tổ chức, cá nhân Việt Nam và nước ngoài trên toàn lãnh thổ Việt Nam có hoạt động sản xuất, kinh doanh (bao gồm hoạt động nhập khẩu), khai thác các thiết bị thuộc phạm vi điều chỉnh.

Thiết bị Camera giám sát sử dụng giao thức Internet - Các yêu cầu an toàn thông tin cơ bản theo QCVN 135:2024/BTTTT? (Hình từ Internet)

Quy định về kỹ thuật thiết bị Camera giám sát sử dụng giao thức Internet như thế nào?

Căn cứ theo Mục 2 Quy chuẩn kỹ thuật quốc gia QCVN 135:2024/BTTTT quy định về kỹ thuật thiết bị Camera giám sát sử dụng giao thức Internet cụ thể như sau:

(1) Khởi tạo mật khẩu duy nhất

- Yêu cầu 2.1.1

Mật khẩu của thiết bị camera được sử dụng trong bất kỳ trạng thái nào (trừ trạng thái mặc định xuất xưởng) phải là duy nhất cho mỗi thiết bị hoặc do người sử dụng thiết lập.

- Yêu cầu 2.1.2

Mật khẩu của thiết bị camera được thiết lập sẵn bởi nhà sản xuất, phải được tạo ra bởi cơ chế có khả năng phòng, chống các cuộc tấn công tự động.

- Yêu cầu 2.1.3

Cơ chế xác thực được sử dụng bởi thiết bị camera để xác thực người sử dụng phải sử dụng các mật mã an toàn, phù hợp với mục đích sử dụng, đặc tính công nghệ và nguy cơ, rủi ro.

- Yêu cầu 2.1.4

Thiết bị camera có cơ chế cho phép người sử dụng hoặc quản trị viên thay đổi giá trị xác thực một cách đơn giản.

- Yêu cầu 2.1.5

Cơ chế xác thực được sử dụng bởi thiết bị camera có khả năng ngăn chặn tấn công vét cạn (brute-force) qua các giao diện mạng.

(2) Quản lý lỗ hổng bảo mật

Yêu cầu 2.2.1

Nhà sản xuất phải công bố chính sách công bố lỗ hổng bảo mật. Chính sách này phải bao gồm tối thiểu các thông tin sau:

- Thông tin liên hệ để tiếp nhận thông tin về lỗ hổng;

- Thông tin về thời gian đối với các việc:

+ Xác nhận ban đầu về việc nhận được báo cáo;

+ Cập nhật trạng thái xử lý lỗ hổng bảo mật cho đến khi xử lý được các lỗ hổng bảo mật theo báo cáo.

(3) Quản lý cập nhật

- Yêu cầu 2.3.1

Thiết bị camera có cơ chế cập nhật cho phép các phần mềm được cập nhật và cài đặt một cách an toàn.

Ví dụ: Thiết bị camera có các biện pháp phòng, chống để ngăn chặn kẻ tấn công lạm dụng cơ chế cập nhật.

- Yêu cầu 2.3.2

Thiết bị camera phải có cơ chế cho phép người sử dụng cập nhật phần mềm một cách đơn giản.

- Yêu cầu 2.3.3

Thiết bị camera phải sử dụng các mật mã an toàn để thực hiện đảm bảo an toàn cập nhật.

Ví dụ: Thiết bị camera có cơ chế tự động cập nhật hoặc hỗ trợ người sử dụng cập nhật qua trang thông tin điện tử hoặc ứng dụng di động.

- Yêu cầu 2.3.4

Bản cập nhật an toàn phải được nhà sản xuất cung cấp kịp thời.

Ví dụ: Nhà sản xuất phải có chính sách, quy trình về phương án khắc phục lỗ hổng bảo mật được báo cáo, trong đó có đối tượng tham gia và thời gian thực hiện của từng bước.

- Yêu cầu 2.3.5

Thiết bị camera có cơ chế kiểm tra tính xác thực và tính toàn vẹn của từng bản cập nhật sử dụng kết nối tin cậy thông qua giao diện mạng.

- Yêu cầu 2.3.6

Nhà sản xuất phải công bố thời hạn hỗ trợ bảo hành đối với từng chủng loại thiết bị camera cho người sử dụng.

- Yêu cầu 2.3.7

Thiết bị camera cho phép người sử dụng tra cứu thông tin về mã, chủng loại sản phẩm thiết bị thông qua nhãn dán trên thiết bị hoặc qua giao diện vật lý.

(4) Lưu trữ các tham số an toàn nhạy cảm

- Yêu cầu 2.4.1

Các tham số an toàn nhạy cảm phải được lưu trữ an toàn trên bộ nhớ của thiết bị camera.

- Yêu cầu 2.4.2

Khi một định danh duy nhất được mã hóa cứng trên camera dùng trong mục đích an toàn, nó phải được bảo vệ để chống lại sự thay đổi bởi các yếu tố vật lý, điện tử hoặc phần mềm.

- Yêu cầu 2.4.3

Các tham số an toàn quan trọng mã hóa cứng trong mã nguồn của camera không được sử dụng.

- Yêu cầu 2.4.4

Các tham số an toàn quan trọng được sử dụng để kiểm tra tính toàn vẹn và tính xác thực của các bản cập nhật phần mềm và để bảo vệ kết nối giao tiếp với các dịch vụ liên kết, phải là duy nhất cho mỗi thiết bị và phải được tạo ra với một cơ chế có khả năng phòng, chống các cuộc tấn công tự động.

(5) Quản lý kênh giao tiếp an toàn

- Yêu cầu 2.5.1

Thiết bị camera sử phải sử dụng các mật mã an toàn để thiết lập kênh giao tiếp an toàn.

- Yêu cầu 2.5.2

Thiết bị camera có chức năng xác thực các đối tượng thực hiện thay đổi liên quan đến an toàn trước khi áp dụng các thay đổi đó. Yêu cầu này không áp dụng đối với các giao thức như: ARP; DHCP; DNS; ICMP; NTP.

Ví dụ: Những thay đổi liên quan đến an toàn bao gồm quản lý quyền, cấu hình khóa mạng và thay đổi mật khẩu.

- Yêu cầu 2.5.3

Thiết bị camera phải đảm bảo tính bảo mật của các tham số an toàn quan trọng khi truyền qua môi trường mạng.

- Yêu cầu 2.5.4

Nhà sản xuất phải tuân thủ các quy trình quản lý các tham số an toàn quan trọng liên quan đến thiết bị camera.

2.6. Phòng chống tấn công thông qua các giao diện của thiết bị

- Yêu cầu 2.6.1

Tất cả giao diện mạng và logic của thiết bị camera mà không được sử dụng phải được vô hiệu hóa.

- Yêu cầu 2.6.2

Khi ở trạng thái hoạt động ban đầu, giao diện mạng của thiết bị camera phải giảm thiểu việc tiết lộ các thông tin liên quan đến an toàn khi quá trình xác thực chưa cho kết quả thành công.

- Yêu cầu 2.6.3

Trường hợp Camera có giao diện gỡ lỗi có thể truy cập được ở mức vật lý, phải có chức năng vô hiệu hóa giao diện gỡ lỗi bằng phần mềm.

(7) Bảo vệ dữ liệu người sử dụng

- Yêu cầu 2.7.1

Dữ liệu cá nhân nhạy cảm được trao đổi giữa thiết bị camera và các dịch vụ liên kết phải được bảo vệ bằng cách ứng dụng các mật mã phù hợp với mục đích sử dụng và đặc tính công nghệ.

- Yêu cầu 2.7.2

Tất cả các chức năng cảm biến bên ngoài của thiết bị camera phải được mô tả đầy đủ và rõ ràng cho người sử dụng.

(8) Khả năng tự khôi phục lại hoạt động bình thường sau sự cố

- Yêu cầu 2.8.1

Thiết bị camera phải có cơ chế khôi phục khi bị mất kết nối mạng hoặc bị mất điện.

- Yêu cầu 2.8.2

Thiết bị camera phải hoạt động được bình thường đối với các chức năng nội bộ khi bị mất kết nối mạng và khôi phục được hoàn toàn trạng thái hoạt động sau khi có điện trở lại.

- Yêu cầu 2.8.3

Thiết bị camera khôi phục lại kết nối mạng theo một cách trình tự và ổn định.

(9) Xóa dữ liệu trên thiết bị camera

- Yêu cầu 2.9.1

Thiết bị camera có chức năng cho phép xóa dữ liệu người sử dụng trên thiết bị camera.

(10) Xác thực dữ liệu đầu vào

- Yêu cầu 2.10.1

Phần mềm của thiết bị camera phải xác thực dữ liệu đầu vào từ các giao diện người sử dụng hoặc được truyền qua các giao diện lập trình ứng dụng (API) hoặc giữa các dịch vụ và thiết bị.

(11) Bảo vệ dữ liệu trên thiết bị camera

- Yêu cầu 2.11.1

Nhà sản xuất phải cung cấp đầy đủ thông tin về mục đích, cách thức thu thập, xử lý và lưu trữ dữ liệu cá nhân được thu thập và xử lý bởi thiết bị camera, dịch vụ liên kết hoặc bên thứ ba (nếu có).

- Yêu cầu 2.11.2

Thiết bị camera phải có chức năng xác nhận sự đồng ý của người sử dụng đối với việc cho phép thiết bị camera thu thập và xử lý dữ liệu cá nhân.

- Yêu cầu 2.11.3

Thiết bị camera phải có chức năng cho phép người sử dụng thu hồi sự đồng ý đối với việc cho phép thiết bị camera thu thập và xử lý dữ liệu cá nhân.

- Yêu cầu 2.11.4

Dữ liệu đo đạc từ xa được thu thập từ thiết bị camera phải được mô tả đầy đủ về mục đích, đối tượng thu thập và nơi lưu trữ.

- Yêu cầu 2.11.5

Thiết bị camera có chức năng cho phép thiết lập cấu hình để lưu trữ dữ liệu tại Việt Nam.

Quy định về quản lý lỗ hổng bảo mật cụ thể ra sao?

Căn cứ tại Tiểu mục 3.2 Mục 3 Quy chuẩn kỹ thuật quốc gia QCVN 135:2024/BTTTT quy định về quản lý lỗ hổng bảo mật theo nhóm kiểm thử yêu cầu 2.2.1 cụ thể như sau:

(1) Mục tiêu kiểm thử

Kiểm thử thiết bị camera được thiết kế và có các chức năng, tính năng kỹ thuật đáp ứng yêu cầu 2.2.1, điều 2.2.1 Quy chuẩn kỹ thuật quốc gia QCVN 135:2024/BTTTT.

(2) Đánh giá sự tuân thủ về thiết kế

- Mục đích kiểm thử

Đánh giá sự tuân thủ về thiết kế đối với chính sách công bố thông tin về lỗ hổng bảo mật.

- Phương pháp kiểm thử

Phòng đo kiểm đánh giá việc truy cập vào công bố như mô tả trong “Chính sách tiết lộ lỗ hổng” trong IXIT 2-UserInfo có thể thực hiện được mà không cần đáp ứng các tiêu chí như tài khoản người sử dụng, là liệu bất kỳ ai cũng truy cập vào tài liệu hay không.

CHÚ THÍCH: Một trang trang thông tin điện tử của nhà sản xuất được coi là đáp ứng.

- Kết luận

+ Đáp ứng: Sản phẩm được đánh giá đáp ứng các yêu cầu, bao gồm:

Chính sách công bố lỗ hổng bảo mật được công khai với bất kỳ ai.

+ Không đáp ứng: Nếu không đáp ứng yêu cầu trên.

(3) Đánh giá sự tuân thủ về triển khai

- Mục đích kiểm thử

Đánh giá sự tuân thủ về triển khai đối với chính sách công bố thông tin về lỗ hổng bảo mật.

- Phương pháp kiểm thử

+ Phòng đo kiểm đánh giá liệu chính sách công bố lỗ hổng bảo mật có thể truy cập công khai như được mô tả trong phần “Chính sách tiết lộ lỗ hổng” trong IXIT 2-UserInfo hay không.

+ Phòng đo kiểm đánh giá chính sách có cung cấp thông tin bao gồm:

Thông tin liên hệ;

Thông tin về thời gian liên quan đến việc tiếp nhận thông tin và cập nhật trạng thái.

CHÚ THÍCH: Thông tin về thời gian cung cấp sự linh hoạt để mô tả các giá trị thời gian (ví dụ: “7 ngày”, “lập tức”). Hơn nữa, nó cũng cho phép mô tả làm thế nào để tạo ra một dòng thời gian trong trường hợp có một lỗ hổng được báo cáo.

- Kết luận

+ Đáp ứng: Sản phẩm được đánh giá đáp ứng các yêu cầu, bao gồm:

Chính sách công bố lỗ hổng bảo mật được công khai;

Chính sách công bố lỗ hổng bảo mật bao gồm các thông tin liên hệ và dòng thời gian về thời gian tiếp nhận thông tin và cập nhật trạng thái.

+ Không đáp ứng: Nếu một trong các yêu cầu trên không đáp ứng.