Tiêu chuẩn Quốc gia TCVN 11930:2017: Công nghệ thông tin-Các kỹ thuật an toàn-Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ
Tham vấn bởi luật sư Nguyễn Thụy Hân
Chuyên viên pháp lý Ánh Hồng
16:56 16/09/23
Áp dụng Tiêu chuẩn Quốc gia nào về các kỹ thuật an toàn hệ thống thông tin theo cấp độ? Các yêu cầu cơ bản cho hệ thống thông tin theo từng cấp độ là gì? – Lê Duy (Hà Nội).
>> Tiêu chuẩn Quốc gia TCVN 4055:2012: Tổ chức thi công
>> Tiêu chuẩn Quốc gia TCVN 9394:2012: Đóng và ép cọc - Thi công và nghiệm thu
Hiện nay, Tiêu chuẩn Quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ đang được áp dụng. Theo đó, cần lưu ý những nội dung này khi áp dụng Tiêu chuẩn này:
1. Phạm vi áp dụng
Tiêu chuẩn Quốc gia TCVN 11930:2017 quy định các yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.
Yêu cầu an toàn cơ bản quy định trong tiêu chuẩn này tập trung vào các yêu cầu bảo đảm an toàn hệ thống thông tin. Các yêu cầu khác về an toàn thông tin, không liên quan trực tiếp đến bảo đảm an toàn hệ thống thông tin (ví dụ: bảo vệ thông tin cá nhân, bảo vệ trẻ em trên mạng...) không thuộc phạm vi của Tiêu chuẩn Quốc gia TCVN 11930:2017.
2. Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ
Các yêu cầu của từng cấp độ được chia làm hai nhóm: yêu cầu quản lý và yêu cầu kỹ thuật.
Yêu cầu quản lý đưa ra các yêu cầu về mặt quản lý nhằm quản lý việc xây dựng, quản lý vận hành và gỡ bỏ hệ thống thông tin bảo đảm an toàn. Các yêu cầu quản lý được chia thành các nhóm yêu cầu: thiết lập chính sách an toàn thông tin; tổ chức bảo đảm an toàn thông tin; bảo đảm nguồn nhân lực; quản lý thiết kế, xây dựng hệ thống; quản lý vận hành hệ thống.
Yêu cầu kỹ thuật đưa ra các yêu cầu về mặt kỹ thuật để bảo đảm việc thiết kế, xây dựng và thiết lập hệ thống thông tin bảo đảm an toàn. Các yêu cầu kỹ thuật được chia thành các nhóm yêu cầu: bảo đảm an toàn mạng; bảo đảm an toàn máy chủ; bảo đảm an toàn ứng dụng; bảo đảm an toàn dữ liệu.
 |
Toàn văn File Word Luật Tiêu chuẩn và Quy chuẩn kỹ thuật cùng các văn bản hướng dẫn (đang có hiệu lực thi hành) |
Ảnh chụp một phần Lược đồ Luật Tiêu chuẩn và Quy chuẩn kỹ thuật 2006
3. Yêu cầu cơ bản cho hệ thống thông tin cấp độ 1
3.1. Yêu cầu quản lý
(i) Thiết lập chính sách an toàn thông tin
Chính sách an toàn thông tin:
Xây dựng chính sách, quy trình quản lý, vận hành hoạt động bình thường của hệ thống nhằm bảo đảm tính sẵn sàng của hệ thống trong quá trình vận hành, khai thác.
Xây dựng và công bố:
Chính sách được tổ chức/bộ phận được ủy quyền thông qua trước khi công bố áp dụng.
Rà soát, sửa đổi:
Định kỳ 03 năm hoặc khi có thay đổi chính sách an toàn thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung.
(ii) Tổ chức bảo đảm an toàn thông tin
Đơn vị chuyên trách về an toàn thông tin:
Có cán bộ có trách nhiệm bảo đảm an toàn thông tin cho hệ thống thông tin.
Phối hợp với cơ quan/tổ chức có thẩm quyền:
- Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin;
- Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin.
(iii) Bảo đảm nguồn nhân lực
Tuyển dụng:
Cán bộ được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành phù hợp với vị trí tuyển dụng.
Trong quá trình làm việc:
- Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống;
- Có hình thức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng.
Chấm dứt hoặc thay đổi công việc:
Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức.
(iv) Quản lý thiết kế, xây dựng hệ thống
Thiết kế an toàn hệ thống thông tin:
- Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;
- Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin.
Thử nghiệm và nghiệm thu hệ thống:
Thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng.
(v) Quản lý vận hành hệ thống
Quản lý an toàn mạng:
Xây dựng và thực thi chính sách, quy trình quản lý vận hành hoạt động bình thường của hạ tầng mạng.
Quản lý an toàn máy chủ và ứng dụng:
Xây dựng và thực thi chính sách, quy trình quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ.
Quản lý an toàn dữ liệu:
Có phương án sao lưu dự phòng thông tin, dữ liệu, cấu hình hệ thống.
3.2. Yêu cầu kỹ thuật
(i) Bảo đảm an toàn mạng
Thiết kế hệ thống:
- Thiết kế các vùng mạng trong hệ thống theo chức năng, bao gồm tối thiểu các vùng mạng:
+ Vùng mạng nội bộ;
+ Vùng mạng biên;
+ Vùng DMZ.
- Phương án thiết kế bảo đảm các yêu cầu sau:
+ Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn;
+ Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập.
Kiểm soát truy cập từ bên ngoài mạng:
- Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập thông tin nội bộ hoặc quản trị hệ thống từ các mạng bên ngoài và mạng Internet;
- Kiểm soát truy cập từ bên ngoài vào hệ thống theo từng dịch vụ, ứng dụng cụ thể; chặn tất cả truy cập tới các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép truy cập từ bên ngoài.
Nhật ký hệ thống:
Thiết lập chức năng ghi, lưu trữ nhật ký hệ thống trên các thiết bị mạng chính.
Phòng chống xâm nhập:
- Có phương án phòng chống xâm nhập để bảo vệ vùng DMZ;
- Định kỳ cập nhật cơ sở dữ liệu dấu hiệu phát hiện tấn công mạng (Signatures).
Bảo vệ thiết bị hệ thống:
- Cấu hình chức năng xác thực trên các thiết bị hệ thống (nếu hỗ trợ) để xác thực người dùng khi quản trị thiết bị trực tiếp hoặc từ xa;
- Thiết lập cấu hình chỉ cho phép sử dụng các kết nối mạng an toàn (nếu hỗ trợ) khi truy cập, quản trị thiết bị từ xa.
(ii) Bảo đảm an toàn máy chủ
Xác thực:
- Thiết lập chính sách xác thực trên máy chủ để xác thực người dùng khi truy cập, quản lý và sử dụng máy chủ;
- Thay đổi các tài khoản mặc định trên hệ thống hoặc vô hiệu hóa (nếu không sử dụng);
- Thiết lập cấu hình máy chủ để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:
+ Yêu cầu thay đổi mật khẩu mặc định;
+ Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.
Kiểm soát truy cập:
Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa.
Nhật ký hệ thống:
- Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:
+ Thông tin kết nối mạng tới máy chủ (Firewall log);
+ Thông tin đăng nhập vào máy chủ;
- Đồng bộ thời gian giữa máy chủ với máy chủ thời gian.
Phòng chống xâm nhập:
- Loại bỏ các tài khoản không sử dụng, các tài khoản không còn hợp lệ trên máy chủ;
- Sử dụng tường lửa của hệ điều hành và hệ thống để cấm các truy cập trái phép tới máy chủ.
Phòng chống phần mềm độc hại:
Cài đặt phần mềm phòng chống mã độc (hoặc có phương án khác tương đương) và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm.
(iii) Bảo đảm an toàn ứng dụng
Xác thực:
- Thiết lập cấu hình ứng dụng để xác thực người sử dụng khi truy cập, quản trị, cấu hình ứng dụng;
- Lưu trữ có mã hóa thông tin xác thực hệ thống;
- Thiết lập cấu hình ứng dụng để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:
+ Yêu cầu thay đổi mật khẩu mặc định;
+ Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.
Kiểm soát truy cập:
- Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị ứng dụng từ xa;
- Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng.
Nhật ký hệ thống:
Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:
- Thông tin truy cập ứng dụng;
- Thông tin đăng nhập khi quản trị ứng dụng.
(iv) Bảo đảm an toàn dữ liệu
Sao lưu dự phòng:
Thực hiện sao lưu dự phòng các thông tin, dữ liệu quan trọng trên hệ thống.
Yêu cầu cơ bản cho hệ thống thông tin cấp độ 2, 3, 4 và 5 xem chi tiết tại Tiêu chuẩn Quốc gia TCVN 11930:2017.
- Nội dung nêu trên là phần giải đáp, tư vấn của chúng tôi dành cho khách hàng của
Pháp luật doanh nghiệp.
Nếu quý khách còn vướng mắc, vui lòng gửi về Email khoinghiep@thuvienphapluat.vn.
- Nội dung bài viết mang tính chất tham khảo;
- Điều khoản được áp dụng có thể đã hết hiệu lực tại thời điểm bạn đang đọc.
2,840
Tìm kiếm văn bản
Công việc liên quan
- Kinh doanh dịch vụ xây dựng hạ tầng kỹ thuật công nghệ thông tin, xây dựng phần mềm của hệ thống thông tin đất đai trong Ngành, nghề đầu tư kinh doanh có điều kiện
- Kinh doanh dịch vụ kiểm tra, đánh giá an toàn thông tin mạng trong Ngành, nghề đầu tư kinh doanh có điều kiện
- Kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng trong Ngành, nghề đầu tư kinh doanh có điều kiện
Bài viết xem nhiều
-
![Toàn văn Án lệ Việt Nam [Cập nhật mới nhất năm 2024]](https://cdn.thuvienphapluat.vn/uploads/khoinghiep/uploads/NewsThumbnail/2023/02/10/toan-van-an-le.png)
- Toàn văn Án lệ Việt Nam [Cập nhật mới nhất năm 2024]
- 15:32 22/05/2024
-
- Quy định mới về tiền điện tử có hiệu lực từ ngày 01/7/2024
- 18:23 22/05/2024
-
- Lịch nghỉ lễ Quốc Khánh ngày 2/9/2024 với người lao động
- 09:55 05/08/2024
![Toàn văn điểm mới Luật Đất đai 2024 [Phần 64 – Trình tự, thủ tục bồi thường, hỗ trợ, tái định cư, thu hồi đất vì mục đích quốc phòng, an ninh; phát triển KT-XH vì lợi ích quốc gia, công cộng]](https://cdn.thuvienphapluat.vn/uploads/khoinghiep/uploads/NewsThumbnail/2024/07/18/diem-moi-LDD-P641.png)
-
- Bảng lãi suất vay vốn và gửi tiết kiệm tại ngân hàng tháng 6/2024
- 12:20 28/05/2024
-
- Tra cứu hàng hóa xuất khẩu, nhập khẩu
- 17:00 13/06/2024
-
- Hướng dẫn cài đặt VssID và cách lấy lại mật khẩu nhanh nhất 2024
- 11:56 23/05/2024
-
- Tổng hợp biểu mẫu về quy trình giải quyết hưởng chế độ BHXH mới nhất
- 13:27 26/06/2024
Cùng chuyên mục
-
- Tính năng bắt buộc của ứng dụng Online Banking17:22 21/11/2024
-
- Tài liệu phục vụ tính toán khung giá bán điện từ 30/12/202416:50 21/11/2024
-
- Yêu cầu đối với hệ thống máy chủ và phần mềm hệ thống15:30 21/11/2024
-
- Phương pháp lập giá bán buôn điện từ cuối tháng 12 năm 202414:15 21/11/2024
-
- 07 trường hợp thuộc diện kiểm tra thuế trước, hoàn thuế sau17:19 21/11/2024
