Bảo đảm an toàn thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống thông tin của Bộ Thông tin và Truyền thông
Bảo đảm an toàn thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống thông tin của Bộ Thông tin và Truyền thông được quy định tại Điều 11 Quy chế bảo đảm an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của Bộ Thông tin và Truyền thông ban hành kèm theo Quyết định 856/QĐ-BTTTT năm 2017, cụ thể:
1. Khi tiếp nhận, phát triển, nâng cấp, bảo trì hệ thống thông tin, cơ quan, đơn vị phải tiến hành phân tích, xác định các rủi ro có thể xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện pháp hạn chế, loại trừ các rủi ro này và yêu cầu các bên cung cấp, thi công, các cá nhân liên quan thực hiện.
Một số yêu cầu như sau:
a) Có phương án bảo đảm an toàn thông tin mạng được cơ quan, đơn vị có thẩm quyền của Bộ Thông tin và Truyền thông thẩm định khi phát triển, mở rộng hoặc nâng cấp hệ thống thông tin.
b) Chỉ tiếp nhận và đưa vào vận hành hệ thống thông tin sau khi đã thực hiện nghiệm thu và kiểm thử hệ thống (được thẩm định, xác nhận của bộ phận chuyên trách và phê duyệt của cơ quan, đơn vị có thẩm quyền của Bộ Thông tin và Truyền thông hoặc chủ quản hệ thống thông tin).
c) Hệ thống thông tin được tiếp nhận phải đi kèm:
- Tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;
- Tài liệu mô tả các thành phần của hệ thống thông tin, gồm: các vùng mạng chức năng, hệ thống thiết bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ thống; hệ thống máy chủ ứng dụng; dịch vụ và các thành phần khác trong hệ thống thông tin.
d) Xem xét tính tương thích với các phần mềm, ứng dụng hiện có, bảo đảm hoạt động ổn định, an toàn trước khi quyết định thay đổi hoặc nâng cấp hệ điều hành lên phiên bản mới hơn; kiểm soát chặt chẽ việc nâng cấp, mở rộng phần mềm, ứng dụng trong hệ thống. Việc bổ sung các thiết bị vào hệ thống thông tin cần có kế hoạch, quy trình bảo đảm việc tiếp nhận không làm gián đoạn hoạt động của hệ thống đang vận hành.
đ) Bảo trì hệ thống thông tin phải có kế hoạch từ trước và được thực hiện thường xuyên.
2. Trong quá trình vận hành hệ thống thông tin, cơ quan, đơn vị chủ quản hệ thống cần thực hiện:
a) Đánh giá, phân loại hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ.
b) Thường xuyên kiểm tra, giám sát việc tuân thủ các quy định về an toàn thông tin, cập nhật đầy đủ các lỗ hổng bảo mật, áp dụng cơ chế sao lưu dự phòng, bảo đảm an toàn truy nhập, đăng nhập hệ thống.
c) Giám sát an toàn hệ thống thông tin, cảnh báo hành vi xâm phạm an toàn thông tin hoặc hành vi có khả năng gây ra sự cố an toàn thông tin đối với hệ thống thông tin; tiến hành phân tích yếu tố then chốt ảnh hưởng tới trạng thái an toàn thông tin; đề xuất thay đổi biện pháp kỹ thuật.
d) Giám sát hiệu năng hệ thống và thực hiện các biện pháp bảo trì cần thiết (dọn dẹp hệ thống, điều chỉnh thông số kỹ thuật và bổ sung mua sắm) để bảo đảm khả năng xử lý và tính sẵn sàng của hệ thống thông tin theo yêu cầu.
đ) Tuân thủ quy trình vận hành, quy trình xử lý sự cố đã xây dựng; ghi đầy đủ thông tin trong các bản ghi nhật ký hệ thống và lưu trữ nhật ký trong khoảng thời gian nhất định, để phục vụ việc quản lý, kiểm soát thông tin.
3. Đối tác phát triển phần mềm, ứng dụng cho cơ quan, đơn vị có trách nhiệm bảo đảm an toàn thông tin cho công tác phát triển, vận hành, bảo hành, bảo trì phần mềm, ứng dụng, tránh lộ lọt mã nguồn và dữ liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác đang xử lý ra bên ngoài.
4. Các biện pháp kỹ thuật bảo đảm an toàn thông tin cho trang/cổng thông tin điện tử:
a) Xác định cấu trúc thiết kế trang/cổng thông tin điện tử: quản lý toàn bộ các phiên bản của mã nguồn của phần mềm, ứng dụng trang/cổng thông tin điện tử; phối hợp với đơn vị thực hiện dịch vụ thuê máy chủ tổ chức mô hình trang/cổng thông tin điện tử hợp lý tránh khả năng tấn công leo thang đặc quyền; yêu cầu đơn vị cung cấp dịch vụ hosting phải cài đặt các hệ thống phòng vệ như tường lửa, thiết bị phát hiện/phòng, chống xâm nhập (IDS/IPS) ở mức ứng dụng web (WAF - Web Application Firewall).
b) Vận hành phần mềm, ứng dụng trang/cổng thông tin điện tử: các trang/ cổng thông tin điện tử khi đưa vào sử dụng hoặc khi bổ sung thêm các chức năng thực hiện dịch vụ công trực tuyến mới cần đánh giá kiểm định nhằm tránh được các lỗi bảo mật thường xảy ra trên ứng dụng web (như SQL Injection, Cross-Site Scripting, Broken Authentication and Session Management, Insecure Direct Object References, Cross Site Request Forgery, Security Misconfiguration, Failure to Restrict URL Access, Insecure Cryptoeraphic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects and Forwards và các lỗi bảo mật khác).
c) Thiết lập và cấu hình cơ sở dữ liệu của trang/cổng thông tin điện tử:
- Luôn cập nhật bản vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ liệu;
- Gỡ bỏ các cơ sở dữ liệu không còn sử dụng;
- Có cơ chế sao lưu dữ liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký cơ sở dữ liệu với các nội dung như: Nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi.
d) Phối hợp với các nhà cung cấp dịch vụ thuê máy chủ xây dựng phương án phục hồi trang/cổng thông tin điện tử, trong đó chú ý ít nhất mỗi tháng thực hiện việc sao lưu toàn bộ nội dung trang/cổng thông tin điện tử 01 lần bao gồm mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc để bảo đảm khi có sự cố có thể khắc phục trong thời gian ngắn nhất.
Trên đây là tư vấn về bảo đảm an toàn thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống thông tin của Bộ Thông tin và Truyền thông. Để biết thêm thông tin chi tiết bạn hãy tham khảo tại Quyết định 856/QĐ-BTTTT năm 2017. Mong rằng những tư vấn của chúng tôi sẽ giúp giải đáp được những vướng mắc của bạn.
Chúc sức khỏe và thành công!
Thư Viện Pháp Luật