Thuộc tính
Nội dung
Tiếng Anh (English)
Văn bản gốc/PDF
Lược đồ
Liên quan hiệu lực
Liên quan nội dung
Thuộc tính
Tải về
Các bản dự thảo

Đang tải văn bản...

Quyết định 736/QĐ-BTTTT 2021 bảo đảm an toàn thông tin mạng cho thiết bị IoT tiêu dùng

Số hiệu:	736/QĐ-BTTTT	Loại văn bản:	Quyết định
Nơi ban hành:	Bộ Thông tin và Truyền thông	Người ký:	Nguyễn Huy Dũng
Ngày ban hành:	31/05/2021	Ngày hiệu lực:	Đã biết
Ngày công báo:	Đang cập nhật	Số công báo:	Đang cập nhật
		Tình trạng:	Đã biết

BỘ THÔNG TIN VÀ TRUYỀN THÔNG -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 736/QĐ-BTTTT	Hà Nội, ngày 31 tháng 5 năm 2021

QUYẾT ĐỊNH

BAN HÀNH DANH MỤC YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG CHO THIẾT BỊ IOT TIÊU DÙNG

BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;

Theo đề nghị của Cục trưởng Cục An toàn thông tin.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Danh mục yêu cầu cơ bản bảo đảm an toàn thông tin mạng cho thiết bị IoT tiêu dùng.

Điều 2. Khuyến nghị áp dụng Danh mục tại Điều 1 Quyết định này trong việc bảo đảm an toàn thông tin mạng cho thiết bị IoT tiêu dùng.

Điều 3. Cục An toàn thông tin chủ trì, phối hợp với các cơ quan, đơn vị liên quan hướng dẫn, kiểm tra, đánh giá việc áp dụng các yêu cầu theo Danh mục tại Điều 1 Quyết định này.

Điều 4. Quyết định này có hiệu lực thi hành kể từ ngày ký.

Điều 5. Chánh Văn phòng, Cục trưởng Cục An toàn thông tin, Thủ trưởng các đơn vị thuộc Bộ, các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

Nơi nhận:
- Như Điều 5;
- Bộ trưởng (để b/c);
- Các Thứ trưởng;
- Cổng Thông tin điện tử của Bộ;
- Lưu: VT, CATTT.

KT. BỘ TRƯỞNG
THỨ TRƯỞNG

Nguyễn Huy Dũng

DANH MỤC

YÊU CẦU BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG CHO THIẾT BỊ IOT TIÊU DÙNG
(Ban hành kèm theo Quyết định số 736/QĐ-BTTTT ngày 31 tháng 5 năm 2021 của Bộ trưởng Bộ Thông tin và Truyền thông)

STT	Tên yêu cầu	Quy định áp dụng
I	Yêu cầu về an toàn thông tin mạng cho thiết bị IoT tiêu dùng
1	Không sử dụng mật khẩu mặc định dùng chung	Chấp thuận nguyên vẹn yêu cầu tại mục 5.1, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements
2	Triển khai biện pháp quản lý báo cáo về các lỗ hổng bảo mật	Chấp thuận nguyên vẹn yêu cầu tại mục 5.2, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements
3	Bảo đảm phần mềm trên thiết bị luôn được cập nhật	Chấp thuận nguyên vẹn yêu cầu tại mục 5.3, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements.
4	Lưu trữ an toàn các tham số bảo mật nhạy cảm	Chấp thuận nguyên vẹn yêu cầu tại mục 5.4, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements
5	Sử dụng các giao tiếp kết nối an toàn	Chấp thuận nguyên vẹn yêu cầu tại mục 5.5, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements
6	Hạn chế tối thiểu các bề mặt cho phép tấn công, khai thác	Chấp thuận nguyên vẹn yêu cầu tại mục 5.6, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements
7	Bảo đảm tính nguyên vẹn của phần mềm	Chấp thuận nguyên vẹn yêu cầu tại mục 5.7, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements
8	Bảo đảm an toàn thông tin dữ liệu cá nhân	Chấp thuận nguyên vẹn yêu cầu tại mục 5.8, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements
9	Khả năng tự khôi phục lại hệ thống bình thường sau sự cố	Chấp thuận nguyên vẹn yêu cầu tại mục 5.9, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements
10	Cho phép kiểm tra, đánh giá dữ liệu hệ thống từ xa	Chấp thuận nguyên vẹn yêu cầu tại mục 5.10, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements
11	Cho phép người dùng dễ dàng xóa dữ liệu cá nhân	Chấp thuận yêu cầu tại mục 5.11, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements. Loại bỏ “including the GDPR” trong 5.11-2 do đây là Luật Bảo vệ dữ liệu chung áp dụng cho châu Âu.
12	Dễ dàng cài đặt và bảo trì thiết bị	Chấp thuận nguyên vẹn yêu cầu tại mục 5.12, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements
13	Khả năng kiểm tra tính hợp lệ của dữ liệu đầu vào	Chấp thuận nguyên vẹn yêu cầu tại mục 5.13, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements
II	Yêu cầu về bảo vệ dữ liệu cá nhân cho thiết bị IoT tiêu dùng	Chấp thuận nguyên vẹn yêu cầu tại mục 6, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements

PHỤ LỤC

CÁC THUẬT NGỮ, ĐỊNH NGHĨA
(Ban hành kèm theo Quyết định số 736/QĐ-BTTTT ngày 31 tháng 5 năm 2021 của Bộ trưởng Bộ Thông tin và Truyền thông)

1. Thiết bị IoT tiêu dùng

Thiết bị IoT tiêu dùng là thiết bị kết nối mạng (hoặc có thể kết nối mạng) có mối quan hệ với các dịch vụ liên kết và được người tiêu dùng sử dụng trong gia đình hoặc làm thiết bị đeo điện tử.

CHÚ THÍCH 1: Các thiết bị IoT tiêu dùng cũng thường được sử dụng trong kinh doanh. Các thiết bị này vẫn được phân loại là thiết bị IoT tiêu dùng.

CHÚ THÍCH 2: Các thiết bị IoT tiêu dùng thường được bày bán trong cửa hàng bán lẻ. Các thiết bị IoT tiêu dùng cũng có thể được vận hành và/hoặc cài đặt bằng dịch vụ chuyên nghiệp.

Một danh sách không đầy đủ về thiết bị IoT tiêu dùng bao gồm:

- Đồ chơi trẻ em và màn hình theo dõi, giám sát trẻ em được kết nối mạng;

- Đầu báo khói, khóa cửa và cảm biến cửa sổ được kết nối mạng;

- Cổng kết nối IoT, trạm gốc và trung tâm (hub) kết nối thiết bị;

- Máy ảnh, TV và loa thông minh;

- Thiết bị theo dõi sức khỏe dạng đeo;

- Hệ thống tự động hóa và báo động trong nhà được kết nối mạng, đặc biệt là các cổng và trung tâm kết nối;

- Thiết bị gia dụng được kết nối mạng, như máy giặt và tủ lạnh;

- Hệ thống hỗ trợ quản lý nhà thông minh.

2. Thiết bị hạn chế

Thiết bị hạn chế là thiết bị có giới hạn vật lý về khả năng xử lý dữ liệu, giao tiếp dữ liệu, lưu trữ dữ liệu hoặc tương tác với người dùng, do các hạn chế phát sinh từ mục đích sử dụng.

CHÚ THÍCH 1: Các giới hạn vật lý có thể do nguồn điện, tuổi thọ pin, năng lực xử lý, truy cập vật lý, chức năng giới hạn, bộ nhớ giới hạn hoặc băng thông mạng giới hạn. Những giới hạn này có thể yêu cầu thiết bị hạn chế phải được hỗ trợ bởi một thiết bị khác, chẳng hạn như trạm gốc hoặc thiết bị đi kèm.

VÍ DỤ 1: Người dùng không thể sạc hoặc thay pin của cảm biến cửa sổ; đây là một thiết bị hạn chế.

VÍ DỤ 2: Thiết bị không thể cập nhật phần mềm do giới hạn lưu trữ, dẫn đến thay thế phần cứng hoặc ngắt ra khỏi mạng là những lựa chọn duy nhất để quản lý lỗ hổng bảo mật.

VÍ DỤ 3: Một thiết bị năng lượng thấp sử dụng pin để có thể được triển khai ở nhiều vị trí. Thực hiện các hoạt động mật mã năng lượng cao sẽ nhanh chóng làm giảm tuổi thọ pin, vì vậy nó dựa vào trạm gốc hoặc thiết bị trung tâm (hub) để thực hiện xác nhận các bản cập nhật.

VÍ DỤ 4: Thiết bị không có màn hình hiển thị để xác thực mã ràng buộc cho ghép nối Bluetooth.

VI DỤ 5: Thiết bị không có khả năng nhập liệu, chẳng hạn như thông qua bàn phím, thông tin xác thực.

CHÚ THÍCH 2: Một thiết bị có nguồn điện dây, hỗ trợ các giao thức dựa trên IP và các mật mã nguyên thủy được sử dụng bởi các giao thức đó không phải là thiết bị hạn chế.

VI DỤ 6: Một thiết bị được cấp nguồn chính và giao tiếp chủ yếu bằng TLS (Bảo mật tầng giao vận).

3. Dịch vụ liên kết

Dịch vụ liên kết là dịch vụ kỹ thuật số, cùng với thiết bị, tạo nên một giải pháp IoT tổng thể và thường được yêu cầu để cung cấp chức năng dự kiến của sản phẩm.

VI DỤ 1: Các dịch vụ liên kết có thể bao gồm các ứng dụng di động, điện toán đám mây/lưu trữ và Giao diện lập trình ứng dụng (API) của bên thứ ba.

VÍ DỤ 2: Một thiết bị truyền dữ liệu kiểm tra, đánh giá từ xa đến dịch vụ của bên thứ ba do nhà sản xuất thiết bị chọn cũng là một dịch vụ liên kết.

MINISTRY OF INFORMATION AND COMMUNICATIONS -------	SOCIALIST REPUBLIC OF VIETNAM Independence - Freedom - Happiness ---------------
No. 736/QD-BTTTT	Hanoi, May 31, 2021

DECISION

ISSUING THE LIST OF BASELINE CYBERSECURITY REQUIREMENTS FOR CONSUMER INTERNET OF THINGS (CIoT) DEVICES

MINISTER OF INFORMATION AND COMMUNICATIONS

Pursuant to the Law on Cybersecurity dated November 19, 2015;

Pursuant to the Law on Information Technology dated June 29, 2006;

Pursuant to the Government's Decree No. 17/2017/ND-CP dated February 17, 2017, defining the functions, tasks, powers and organizational structure of the Ministry of Information and Communications;

Upon the request of the Director of the Authority of Information Security.

HEREIN DECIDES

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Article 2. The List specified in Article 1 herein shall be recommended for use to ensure cybersecurity for CIoT devices.

Article 3. The Authority of Information Security shall take charge of or cooperate with other affiliates in providing instructions for, inspecting and assessing the application of the requirements set out according to the List mentioned in Article 1 herein.

Article 4. This Decision is entering into force as of the signature date.

Article 5. The Chief of the Ministry's Office, the Director of the Authority of Information Security, Heads of subordinate units of the Ministry, other involved organizations and individuals shall be responsible for implementing this Decision./.

PP. MINISTER
DEPUTY MINISTER

Nguyen Huy Dung

LIST OF BASELINE CYBERSECURITY REQUIREMENTS FOR CONSUMER INTERNET OF THINGS (CIOT) DEVICES

...

No.

Description

Applicable regulations

Cybersecurity requirements for CIoT devices

No universal default passwords

Fully accepting the requirements specified in 5.1, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

...

Implement a means to manage reports of vulnerabilities

Fully accepting the requirements specified in 5.2, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

Keep software updated

Fully accepting the requirements specified in 5.3, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

Securely store sensitive security parameters

Fully accepting the requirements specified in 5.4, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

...

Fully accepting the requirements specified in 5.5, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

Minimize exposed attack surfaces

Fully accepting the requirements specified in 5.6, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

Ensure software integrity

Fully accepting the requirements specified in 5.7, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

Ensure that personal data is secure

...

Make systems resilient to outages

Fully accepting the requirements specified in 5.9, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

Examine system telemetry data

Fully accepting the requirements specified in 5.10, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

Make it easy for users to delete user data

Accepting the requirements specified in 5.11, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

...

Make installation and maintenance of devices easy

Fully accepting the requirements specified in 5.12, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

Validate input data

Fully accepting the requirements specified in 5.13, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

Personal data protection requirements for CIoT devices

Fully accepting the requirements specified in 6, ETSI EN 303 645 V2.1.1 CYBER standard; Cyber Security for Consumer Internet of Things: Baseline Requirements

...

APPENDIX

TERMS AND DEFINITIONS
(to the Decision No. 736/QD-BTTTT dated May 31, 2021 of the Minister of Information and Communications)

1. CIoT devices

CIoT device refers to network-connected (and network-connectable) device that has relationships to associated services and are used by the consumer typically in the home or as electronic wearables.

NOTE 1: Consumer IoT devices are commonly also used in business contexts. These devices remain classified as consumer IoT devices.

NOTE 2: Consumer IoT devices are often available for the consumer to purchase in retail environments. Consumer IoT devices can also be commissioned and/or installed professionally.

A non-exhaustive list of CIoT devices can comprise the followings:

- Connected children’s toys and baby monitor

- Connected smoke detectors, door locks and window sensors;

...

- Smart cameras, TVs and speakers;

- Wearable health trackers;

- Connected home automation and alarm systems, especially their gateways and hubs;

- Connected appliances, such as washing machines and fridges;

- Smart home assistants.

2. Constrained devices

Constrained device refers to device which has physical limitations in either the ability to process data, the ability to communicate data, the ability to store data or the ability to interact with the user, due to restrictions that arise from its intended use.

NOTE 1: Physical limitations can be due to power supply, battery life, processing power, physical access, limited functionality, limited memory or limited network bandwidth. These limitations can require a constrained device to be supported by another device, such as a base station or companion device.

EXAMPLE 1: A window sensor's battery cannot be charged or changed by the user; this is a constrained device.

...

EXAMPLE 3: A low-powered device uses a battery to enable it to be deployed in a range of locations. Performing high power cryptographic operations would quickly reduce the battery life, so it relies on a base station or hub to perform validations on updates.

EXAMPLE 4: The device has no display screen to validate binding codes for Bluetooth pairing.

EXAMPLE 5: The device has no ability to input, such as via a keyboard, authentication information.

NOTE 2: A device that has a wired power supply and can support IP-based protocols and the cryptographic primitives used by those protocols is not constrained.

EXAMPLE 6: A device is mains powered and communicates primarily using TLS (Transport Layer Security).

3. Associated services

Associated service refers to digital services that, together with the device, are part of the overall consumer IoT product and that are typically required to provide the product's intended functionality.

EXAMPLE 1: Associated services can include mobile applications, cloud computing/storage and third party Application Programming Interfaces (APIs).

EXAMPLE 2: A device transmits telemetry data to a third-party service chosen by the device manufacturer. This service is an associated service.