Yêu cầu về chức năng Kiểm soát truy cập trong Phần mềm nội bộ của dự án đầu tư ứng dụng CNTT sử dụng nguồn vốn NSNN ?
Yêu cầu về chức năng Kiểm soát truy cập trong Phần mềm nội bộ của dự án đầu tư ứng dụng CNTT sử dụng nguồn vốn NSNN
Căn cứ Tiểu mục 4 Mục II Yêu cầu an toàn cơ bản đối với Phần mềm nội bộ ban hành kèm Quyết định 742/QĐ-BTTTT năm 2022 quy định về yêu cầu về chức năng Kiểm soát truy cập như sau:
4.1. Chức năng Kiểm soát truy cập đối với Phần mềm nội bộ bao gồm:
a) Có chức năng cho phép thiết lập giới hạn thời gian chờ (timeout);
b) Có chức năng cho phép giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị Phần mềm từ xa;
c) Có chức năng cho phép phân quyền và cấp quyền tối thiểu về truy cập, quản trị, sử dụng tài nguyên khác nhau của Phần mềm với người sử dụng/nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau;
d) Có chức năng cho phép thiết lập quyền tối thiểu (quyền truy cập, quản trị) cho tài khoản quản trị ứng dụng theo quyền hạn;
đ) Có chức năng cho phép thay đổi, tách biệt cổng quản trị ứng dụng với cổng cung cấp dịch vụ ứng dụng;
e) Có chức năng cho phép khóa tạm thời quản trị ứng dụng trong khoảng thời gian ngoài giờ làm việc.
4.2. Yêu cầu cụ thể đối với từng chức năng Kiểm soát truy cập ở trên, khi Phần mềm được triển khai trên hệ thống thông tin theo từng cấp độ được tham chiếu chi tiết tại Mục 2, Phụ lục kèm theo.
Yêu cầu về chức năng Nhật ký hệ thống đối với Phần mềm nội bộ trong dự án đầu tư ứng dụng Công nghệ thông tin sử dụng nguồn vốn ngân sách Nhà nước
Theo Tiểu mục 5 Mục II Yêu cầu an toàn cơ bản đối với Phần mềm nội bộ ban hành kèm Quyết định 742/QĐ-BTTTT năm 2022 quy định về yêu cầu về chức năng Nhật ký hệ thống như sau:
5.1. Chức năng Nhật ký hệ thống đối với Phần mềm nội bộ bao gồm:
a) Có chức năng cho phép ghi nhật ký hệ thống gồm những thông tin:
i. Thời điểm sinh nhật ký;
ii. Phân nhóm nhật ký;
iii. Mô tả thao tác/lỗi;
iv. Đối tượng thực hiện thao tác/sinh lỗi;
v. Mức độ quan trọng.
b) Có chức năng cho phép quản lý và lưu trữ nhật ký hệ thống trên hệ thống quản lý tập trung;
c) Có chức năng cho phép phân quyền truy cập, quản lý dữ liệu nhật ký hệ thống đối với các tài khoản có chức năng quản trị hệ thống khác nhau.
5.2. Yêu cầu cụ thể đối với từng chức năng Nhật ký hệ thống ở trên khi Phần mềm được triển khai trên hệ thống thông tin theo từng cấp độ được tham chiếu chi tiết tại Mục 3, Phụ lục kèm theo.
Trân trọng!
Phan Hồng Công Minh