Hệ thống thông tin quan trọng về an ninh quốc gia sẽ được đưa vào vận hành, sử dụng cần đáp ứng những điều kiện nào theo quy định của pháp luật hiện hành?

Nội dung chính

• Điều kiện cần đảm bảo của hệ thống thông tin quan trọng về an ninh quốc gia?
• Nội dung quy định, quy trình và phương án bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia gồm những gì?
• Yêu cầu kỹ thuật giám sát của hệ thống thông tin quan trọng về an ninh quốc gia?

Điều kiện cần đảm bảo của hệ thống thông tin quan trọng về an ninh quốc gia?

Điều kiện cần đảm bảo của hệ thống thông tin quan trọng về an ninh quốc gia? (Hình từ Internet)

Theo khoản 2 Điều 12 Luật An ninh mạng 2018 quy định một số điều kiện cần đáp ứng của hệ thống thông tin trước khi đưa vào vận hành, sử dụng

Đánh giá điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

1. Đánh giá điều kiện về an ninh mạng là hoạt động xem xét sự đáp ứng về an ninh mạng của hệ thống thông tin trước khi đưa vào vận hành, sử dụng.

2. Hệ thống thông tin quan trọng về an ninh quốc gia phải đáp ứng các điều kiện sau đây về:

a) Quy định, quy trình và phương án bảo đảm an ninh mạng; nhân sự vận hành, quản trị hệ thống;

b) Bảo đảm an ninh mạng đối với trang thiết bị, phần cứng, phần mềm là thành phần hệ thống;

c) Biện pháp kỹ thuật để giám sát, bảo vệ an ninh mạng; biện pháp bảo vệ hệ thống điều khiển và giám sát tự động, Internet vạn vật, hệ thống phức hợp thực - ảo, điện toán đám mây, hệ thống dữ liệu lớn, hệ thống dữ liệu nhanh, hệ thống trí tuệ nhân tạo;

d) Biện pháp bảo đảm an ninh vật lý bao gồm cách ly cô lập đặc biệt, chống rò rỉ dữ liệu, chống thu tin, kiểm soát ra vào.

…

Theo đó, hệ thống thông tin quan trọng về an ninh quốc gia sẽ được đưa vào vận hành, sử dụng sau khi được đảm bảo đủ điều kiện an ninh mạng như sau:

+ Quy định, quy trình và phương án bảo đảm an ninh mạng; nhân sự vận hành, quản trị hệ thống;

+ Bảo đảm an ninh mạng đối với trang thiết bị, phần cứng, phần mềm là thành phần hệ thống;

+ Biện pháp kỹ thuật để giám sát, bảo vệ an ninh mạng; biện pháp bảo vệ hệ thống điều khiển và giám sát tự động, Internet vạn vật, hệ thống phức hợp thực - ảo, điện toán đám mây, hệ thống dữ liệu lớn, hệ thống dữ liệu nhanh, hệ thống trí tuệ nhân tạo;

+ Biện pháp bảo đảm an ninh vật lý bao gồm cách ly cô lập đặc biệt, chống rò rỉ dữ liệu, chống thu tin, kiểm soát ra vào.

Nội dung quy định, quy trình và phương án bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia gồm những gì?

Theo Điều 8 Nghị định 53/2022/NĐ-CP quy định điều kiện về quy định, quy trình và phương án bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia như sau:

Điều kiện về quy định, quy trình, phương án bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

1. Căn cứ vào các quy định bảo vệ an ninh mạng, bảo vệ bí mật nhà nước, bí mật công tác, tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng và các tiêu chuẩn kỹ thuật chuyên ngành khác có liên quan, chủ quản hệ thống thông tin quan trọng về an ninh quốc gia xây dựng các quy định, quy trình, phương án bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia do mình quản lý.

2. Nội dung các quy định, quy trình, phương án về bảo vệ an ninh mạng phải quy định rõ hệ thống thông tin và thông tin quan trọng cần ưu tiên bảo vệ; quy trình quản lý, kỹ thuật, nghiệp vụ trong sử dụng, bảo vệ an ninh mạng đối với dữ liệu, hạ tầng kỹ thuật; điều kiện về nhân sự làm công tác quản trị mạng, vận hành hệ thống, bảo đảm an ninh, an toàn thông tin mạng và hoạt động soạn thảo, lưu trữ, truyền đưa bí mật nhà nước qua hệ thống thông tin; trách nhiệm của từng bộ phận, cá nhân trong quản lý, vận hành, sử dụng; chế tài xử lý những hành vi vi phạm.

Theo đó, khoản 2 Điều 8 Nghị định 53/2022/NĐ-CP, quy định, quy trình và phương án bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia cần đảm bảo các nội dung sau:

+ Hệ thống thông tin và thông tin quan trọng cần ưu tiên bảo vệ;

+ Quy trình quản lý, kỹ thuật, nghiệp vụ trong sử dụng, bảo vệ an ninh mạng đối với dữ liệu, hạ tầng kỹ thuật;

+ Điều kiện về nhân sự làm công tác quản trị mạng, vận hành hệ thống, bảo đảm an ninh, an toàn thông tin mạng và hoạt động soạn thảo, lưu trữ, truyền đưa bí mật nhà nước qua hệ thống thông tin;

+ Trách nhiệm của từng bộ phận, cá nhân trong quản lý, vận hành, sử dụng;

+ Chế tài xử lý những hành vi vi phạm.

Yêu cầu kỹ thuật giám sát của hệ thống thông tin quan trọng về an ninh quốc gia?

Theo Điều 11 Nghị định 53/2022/NĐ-CP quy định điều kiện về quy định, quy trình và phương án bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia như sau:

Điều kiện về biện pháp kỹ thuật để giám sát, bảo vệ an ninh mạng

1. Môi trường vận hành của hệ thống thông tin quan trọng về an ninh quốc gia phải đáp ứng yêu cầu:

a) Tách biệt với các môi trường phát triển, kiểm tra và thử nghiệm;

b) Áp dụng các giải pháp bảo đảm an toàn thông tin;

c) Không cài đặt các công cụ, phương tiện phát triển ứng dụng;

d) Loại bỏ hoặc tắt các tính năng, phần mềm tiện ích không sử dụng, không cần thiết trên hệ thống thông tin.

2. Dữ liệu của hệ thống thông tin quan trọng về an ninh quốc gia phải có phương án tự động sao lưu dự phòng phù hợp ra phương tiện lưu trữ ngoài với tần suất thay đổi của dữ liệu và bảo đảm nguyên tắc dữ liệu phát sinh phải được sao lưu trong vòng 24 giờ. Dữ liệu sao lưu dự phòng phải được kiểm tra, bảo đảm khả năng khôi phục định kỳ 6 tháng một lần.

3. Hệ thống mạng phải đáp ứng yêu cầu sau:

a) Chia tách thành các vùng mạng khác nhau theo đối tượng sử dụng, mục đích sử dụng, tối thiểu: có phân vùng mạng riêng cho máy chủ của hệ thống thông tin; có phân vùng mạng trung gian (DMZ) để cung cấp dịch vụ trên mạng Internet; có phân vùng mạng riêng để cung cấp dịch vụ mạng không dây; có phân vùng mạng riêng đối với máy chủ cơ sở dữ liệu;

b) Có thiết bị, phần mềm thực hiện chức năng kiểm soát các kết nối, truy cập vào ra các vùng mạng quan trọng;

c) Có giải pháp kiểm soát, phát hiện và ngăn chặn kịp thời các kết nối, truy cập không tin cậy, xâm nhập trái phép;

d) Có phương án ứng phó tấn công từ chối dịch vụ và các hình thức tấn công khác phù hợp với quy mô, tính chất của hệ thống thông tin quan trọng về an ninh quốc gia.

4. Có biện pháp, giải pháp để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng về mặt kỹ thuật của hệ thống mạng và những kết nối, thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.

5. Ghi và lưu trữ nhật ký về hoạt động của hệ thống thông tin và người sử dụng, các lỗi phát sinh, các sự cố an toàn thông tin tối thiểu 3 tháng theo hình thức tập trung và sao lưu tối thiểu một năm một lần.

6. Kiểm soát truy cập đối với người sử dụng, nhóm người sử dụng thiết bị công cụ sử dụng:

a) Đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập của thiết bị, người sử dụng;

b) Mỗi tài khoản truy cập hệ thống phải được gán cho một người sử dụng duy nhất; trường hợp chia sẻ tài khoản dùng chung để truy cập hệ thống thông tin quan trọng về an ninh quốc gia thì phải được phê duyệt bởi cấp có thẩm quyền và xác định được trách nhiệm cá nhân tại mỗi thời điểm sử dụng;

c) Giới hạn và kiểm soát các truy cập sử dụng tài khoản có quyền quản trị: (i) Thiết lập cơ chế kiểm soát việc tạo tài khoản có quyền quản trị để bảo đảm không một tài khoản nào sử dụng được khi chưa được cấp có thẩm quyền phê duyệt; (ii) Phải có biện pháp giám sát việc sử dụng tài khoản có quyền quản trị; (iii) Việc sử dụng tài khoản có quyền quản trị phải được giới hạn đảm bảo chỉ có 1 truy cập quyền quản trị duy nhất, tự động thoát khỏi phiên đăng nhập khi không có hoạt động trong khoảng thời gian nhất định;

d) Quản lý, cấp phát mã khóa bí mật truy cập hệ thống thông tin;

đ) Rà soát, kiểm tra, xét duyệt lại quyền truy cập của người sử dụng;

e) Yêu cầu, điều kiện an toàn thông tin đối với các thiết bị, công cụ sử dụng để truy cập.

Theo đó, yêu kỹ thuật giám sát của hệ thống thông tin quan trọng về an ninh quốc gia cần đáp ứng được những điều kiện quy định nêu trên.