Trong hệ thống thông tin cấp độ 5 việc xây dựng chính sách an toàn thông tin bao gồm những nội dung gì?

Nội dung chính

• Trong hệ thống thông tin cấp độ 5 việc xây dựng chính sách an toàn thông tin bao gồm những nội dung gì?
• Các nội dung nào có trong bảo đảm an toàn mạng đối với hệ thống thông tin cấp độ 5?
• Bảo đảm dữ liệu trong hệ thống thông tin cấp độ 5 tuân thủ theo những yêu cầu gì?

Trong hệ thống thông tin cấp độ 5 việc xây dựng chính sách an toàn thông tin bao gồm những nội dung gì?

Theo Mục 9.1.1.1 Tiêu chuẩn quốc gia TCVN-11930-2017 quy định về việc xây dựng chính sách an toàn thông tin bao gồm như sau:

Chính sách an toàn thông tin

Xây dựng chính sách an toàn thông tin, bao gồm:

a) Xác định các mục tiêu, nguyên tắc bảo đảm an toàn thông tin;

b) Xác định trách nhiệm của đơn vị chuyên trách về an toàn thông tin, các cán bộ làm về an toàn thông tin và các đối tượng thuộc phạm vi điều chỉnh của chính sách an toàn thông tin;

c) Xác định phạm vi chính sách an toàn thông tin bao gồm:

- Phạm vi quản lý về vật lý và logic của tổ chức;

- Các ứng dụng, dịch vụ hệ thống cung cấp;

- Nguồn nhân lực bảo đảm an toàn thông tin.

d) Xây dựng chính sách an toàn thông tin bao gồm:

- Quản lý an toàn mạng;

- Quản lý an toàn máy chủ và ứng dụng;

- Quản lý an toàn dữ liệu;

- Quản lý an toàn thiết bị đầu cuối;

- Quản lý phòng chống phần mềm độc hại;

- Quản lý điểm yếu an toàn thông tin;

- Quản lý giám sát an toàn hệ thống thông tin;

- Quản lý sự cố an toàn thông tin;

- Quản lý an toàn người sử dụng đầu cuối.

Theo đó, về xây dựng chính sách an toàn thông tin đối với hệ thống thông tin cấp độ 5 bao gồm:

- Xác định các mục tiêu, nguyên tắc bảo đảm an toàn thông tin

- Xác định trách nhiệm của đơn vị chuyên trách về an toàn thông tin, các cán bộ làm về an toàn thông tin và các đối tượng thuộc phạm vi điều chỉnh của chính sách an toàn thông tin

- Xác định phạm vi chính sách an toàn thông tin

- Xây dựng chính sách an toàn thông tin.

Hệ thống thông tin cấp độ 5 (Hình từ Internet)

Các nội dung nào có trong bảo đảm an toàn mạng đối với hệ thống thông tin cấp độ 5?

Theo Mục 9.2.1 Tiêu chuẩn quốc gia TCVN-11930-2017 quy định về các nội dung có trong bảo đảm an toàn mạng đối với hệ thống thông tin cấp độ 5 như sau:

- Thiết kế hệ thống

- Kiểm soát truy cập từ bên ngoài mạng

- Kiểm soát truy cập từ bên trong mạng

- Nhật ký hệ thống

- Phòng chống xâm nhập

- Phòng chống phần mềm độc hại trên môi trường mạng

- Bảo vệ thiết bị hệ thống.

Bảo đảm dữ liệu trong hệ thống thông tin cấp độ 5 tuân thủ theo những yêu cầu gì?

Theo Mục 9.2.4 Tiêu chuẩn quốc gia TCVN-11930-2017 quy định về bảo đảm an toàn dữ liệu như sau:

Bảo đảm an toàn dữ liệu

9.2.4.1 Nguyên vẹn dữ liệu

a) Có phương án chuyên dụng để quản lý, lưu trữ dữ liệu trong hệ thống bảo đảm tính nguyên vẹn;

b) Có phương án giám sát, cảnh báo khi có thay đổi thông tin, dữ liệu lưu trên hệ thống lưu trữ/phương tiện lưu trữ;

c) Có phương án khôi phục tính nguyên vẹn của thông tin dữ liệu.

9.2.4.2 Bảo mật dữ liệu

a) Lưu trữ có mã hóa các thông tin, dữ liệu (không phải là thông tin, dữ liệu công khai) trên hệ thống lưu trữ/phương tiện lưu trữ;

b) Sử dụng các phương pháp mã hóa mạnh (chưa được các tổ chức quốc tế công bố điểm yếu an toàn thông tin) để mã hóa dữ liệu;

c) Có phương án chuyên dụng để quản lý và bảo vệ dữ liệu mã hóa và khóa giải mã;

đ) Thiết lập phân vùng lưu trữ mã hóa, phân quyền truy cập chỉ cho phép người có quyền được truy cập, quản lý dữ liệu mã hóa.

9.2.4.3 Sao lưu dự phòng

a) Thực hiện sao lưu dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ;

b) Phân loại và quản lý các dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau;

c) Có hệ thống/phương tiện lưu trữ độc lập để sao lưu dự phòng;

d) Phương án sao lưu dự phòng có tính sẵn sàng cao, cho phép khôi phục dữ liệu nóng khi một thành phần trong hệ thống xảy ra sự cố;

đ) Lưu trữ dự phòng các dữ liệu quan trọng trên hệ thống/phương tiện lưu trữ dự phòng ở vị trí địa lý khác nhau; bảo đảm môi trường bảo quản và phương pháp quản lý giống như với hệ thống chính;

e) Duy trì ít nhất 02 kết nối mạng từ hệ thống sao lưu dự phòng chính với hệ thống sao lưu dự phòng phụ.

Theo đó, trong bảo đảm an toàn dữ liệu bao gồm các nội dung sau đây:

- Lưu trữ có mã hóa các thông tin, dữ liệu (không phải là thông tin, dữ liệu công khai) trên hệ thống lưu trữ/phương tiện lưu trữ;

- Sử dụng các phương pháp mã hóa mạnh (chưa được các tổ chức quốc tế công bố điểm yếu an toàn thông tin) để mã hóa dữ liệu;

- Có phương án chuyên dụng để quản lý và bảo vệ dữ liệu mã hóa và khóa giải mã;

- Thiết lập phân vùng lưu trữ mã hóa, phân quyền truy cập chỉ cho phép người có quyền được truy cập, quản lý dữ liệu mã hóa.