Các biện pháp kỹ thuật bảo đảm an toàn thông tin cho trang/cổng thông tin điện tử của Bộ Thông tin và Truyền thông
Các biện pháp kỹ thuật bảo đảm an toàn thông tin cho trang/cổng thông tin điện tử của Bộ Thông tin và Truyền thông được quy định tại Khoản 4 Điều 11 Quy chế bảo đảm an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của Bộ Thông tin và Truyền thông ban hành kèm theo Quyết định 856/QĐ-BTTTT năm 2017, cụ thể:
Các biện pháp kỹ thuật bảo đảm an toàn thông tin cho trang/cổng thông tin điện tử:
a) Xác định cấu trúc thiết kế trang/cổng thông tin điện tử: quản lý toàn bộ các phiên bản của mã nguồn của phần mềm, ứng dụng trang/cổng thông tin điện tử; phối hợp với đơn vị thực hiện dịch vụ thuê máy chủ tổ chức mô hình trang/cổng thông tin điện tử hợp lý tránh khả năng tấn công leo thang đặc quyền; yêu cầu đơn vị cung cấp dịch vụ hosting phải cài đặt các hệ thống phòng vệ như tường lửa, thiết bị phát hiện/phòng, chống xâm nhập (IDS/IPS) ở mức ứng dụng web (WAF - Web Application Firewall).
b) Vận hành phần mềm, ứng dụng trang/cổng thông tin điện tử: các trang/ cổng thông tin điện tử khi đưa vào sử dụng hoặc khi bổ sung thêm các chức năng thực hiện dịch vụ công trực tuyến mới cần đánh giá kiểm định nhằm tránh được các lỗi bảo mật thường xảy ra trên ứng dụng web (như SQL Injection, Cross-Site Scripting, Broken Authentication and Session Management, Insecure Direct Object References, Cross Site Request Forgery, Security Misconfiguration, Failure to Restrict URL Access, Insecure Cryptoeraphic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects and Forwards và các lỗi bảo mật khác).
c) Thiết lập và cấu hình cơ sở dữ liệu của trang/cổng thông tin điện tử:
- Luôn cập nhật bản vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ liệu;
- Gỡ bỏ các cơ sở dữ liệu không còn sử dụng;
- Có cơ chế sao lưu dữ liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký cơ sở dữ liệu với các nội dung như: Nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi.
d) Phối hợp với các nhà cung cấp dịch vụ thuê máy chủ xây dựng phương án phục hồi trang/cổng thông tin điện tử, trong đó chú ý ít nhất mỗi tháng thực hiện việc sao lưu toàn bộ nội dung trang/cổng thông tin điện tử 01 lần bao gồm mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc để bảo đảm khi có sự cố có thể khắc phục trong thời gian ngắn nhất.
Trên đây là tư vấn về các biện pháp kỹ thuật bảo đảm an toàn thông tin cho trang/cổng thông tin điện tử của Bộ Thông tin và Truyền thông. Để biết thêm thông tin chi tiết bạn hãy tham khảo tại Quyết định 856/QĐ-BTTTT năm 2017. Mong rằng những tư vấn của chúng tôi sẽ giúp giải đáp được những vướng mắc của bạn.
Chúc sức khỏe và thành công!
Thư Viện Pháp Luật