Quyết định 1728/QĐ-TCHQ 2019 Kiến trúc hệ thống công nghệ thông tin ngành Hải quan

QUYẾT ĐỊNH

VỀ VIỆC BAN HÀNH “KIẾN TRÚC VÀ KHUNG TIÊU CHUẨN AN TOÀN BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN NGÀNH HẢI QUAN”

TỔNG CỤC TRƯỞNG TỔNG CỤC HẢI QUAN

Căn cứ Luật An toàn thông tin mạng năm 2015;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Quyết định số 65/2015/QĐ-TTg ngày 17/12/2015 của Thủ tướng Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Tổng cục Hải quan trực thuộc Bộ Tài chính;

Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Quyết định số 2582/QĐ-BKHCN ngày 25/9/2017 của Bộ trưởng Bộ Khoa học và Công nghệ về việc công bố Tiêu chuẩn quốc gia TCVN 11930:2017 yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ;

Căn cứ Quyết định 201/QĐ-BTC ngày 12/02/2018 của Bộ trưởng Bộ Tài chính ban hành Quy chế An toàn thông tin mạng Bộ Tài chính;

Căn cứ Quyết định 2445/QĐ-BTC ngày 28/12/2018 của Bộ trưởng Bộ Tài chính ban hành Kiến trúc Chính phủ điện tử ngành Tài chính;

Căn cứ Công văn 1178/BTTTT-THH ngày 21/4/2015 của Bộ Thông tin và Truyền thông ban hành Khung Kiến trúc chính phủ điện tử Việt Nam phiên bản 1.0;

Xét đề nghị của Cục trưởng Cục Công nghệ thông tin & Thống kê Hải quan,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này “Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan”.

Điều 2. Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan làm căn cứ để xây dựng, triển khai, tổ chức thực hiện các giải pháp nhằm đảm bảo an toàn thông tin cho hệ thống thông tin ngành Hải quan.

Điều 3. Quyết định này có hiệu lực kể từ ngày ký. Cục trưởng Cục CNTT&Thống kê Hải quan, Thủ trưởng các đơn vị thuộc, trực thuộc Tổng cục Hải quan chịu trách nhiệm thi hành Quyết định này./.

QUY ĐỊNH

KIẾN TRÚC VÀ KHUNG TIÊU CHUẨN AN TOÀN BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN NGÀNH HẢI QUAN
(Ban hành kèm Quyết định số 1728/QĐ-TCHQ ngày 18 tháng 6 năm 2019 của Tổng cục trưởng Tổng cục Hải quan)

1. Mục đích

Nâng cao mức độ an ninh an toàn thông tin cho hệ thống công nghệ thông tin ngành Hải quan;

Làm cơ sở để xây dựng, triển khai, quản lý các giải pháp đảm bảo an toàn thông tin cho các hệ thống Công nghệ thông tin (CNTT) trong ngành Hải quan theo một kiến trúc, tiêu chuẩn thống nhất.

2. Kiến trúc an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan

2.1. Mô hình kiến trúc:

Khung Kiến trúc an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan thực hiện: Xác định các đối tượng cần được bảo vệ và các giải pháp, hoạt động về an toàn thông tin (ATTT) phải thực hiện để bảo vệ đối tượng đó. Cụ thể:

- Chiều dọc: Xác định các đối tượng cần bảo vệ gồm: Thiết bị người dùng cuối (PC, Laptop), Thiết bị Phòng máy chủ, Trung tâm dữ liệu (Server, Appliance, Cloud), Hạ tầng mạng (Mạng nội bộ, WAN, Internet), Hệ thống ứng dụng & dịch vụ (Email, Database, Ứng dụng nội bộ, Ứng dụng cung cấp ra ngoài, Trang tin portal).

- Chiều ngang: Xác định các giải pháp, hoạt động để thực thi hiệu quả chiến lược ATTT nhằm bảo vệ các đối tượng trong hệ thống công nghệ thông tin ngành Hải quan; gồm 3 nhóm hành động chính:

o Phòng ngừa, bảo vệ;

o Giám sát, phát hiện, ứng cứu và xử lý sự cố;

o Quản lý nhân lực, mô hình tổ chức bộ phận ATTT.

2.2. Các thành phần thuộc kiến trúc:

a. Công tác phòng ngừa, bảo vệ:

- Triển khai các giải pháp bảo vệ:

o Thiết bị người dùng cuối (PC, Laptop): Phần mềm Antivirus, Hệ thống quản lý người dùng tập trung, Giải pháp chống tấn công APT máy tính người dùng, Hệ thống quản lý bản vá lỗ hổng, Giải pháp bảo mật dữ liệu trên máy tính người dùng.

o Phòng máy chủ, Trung tâm dữ liệu (Server, Appliance, Cloud, ...): Phần mềm diệt virus cho máy chủ, Phần mềm chống tấn công lớp máy chủ (Host IPS), Giải pháp chống tấn công APT máy chủ, Hệ thống quản lý bản vá, Hệ thống quản lý đặc quyền.

o Hạ tầng mạng (LAN, WAN, Internet): Thiết bị tường lửa, Thiết bị phát hiện tấn công lớp mạng, Giải pháp chống tấn công APT lớp mạng, Hệ thống giám sát, quản lý lớp mạng, Mạng riêng ảo VPN, Cổng kết nối Internet Proxy, Giải pháp chống tấn công DDOS tràn băng thông.

o Ứng dụng, dịch vụ (Email, Cơ sở dữ liệu, Ứng dụng nội bộ, Ứng dụng dịch vụ cung cấp bên ngoài, trang tin Portal): Antispam, Diệt virus cho mail, Chống tấn công APT cho email, Tường lửa CSDL, Giải pháp bảo mật dữ liệu, Tường lửa ứng dụng web, chống tấn công DDOS lớp ứng dụng;

- Xây dựng hệ thống quy định, chính sách về an toàn thông tin: Là cơ sở duy trì hoạt động, vận hành đảm bảo tính an toàn an ninh thông tin cho hệ thống CNTT diễn ra liên tục. Hệ thống chính sách ATTT được xây dựng dựa trên các chuẩn quốc tế như ISO 27000, NIST và các quy định của nhà nước.

- Thiết kế, quy hoạch, triển khai hệ thống đảm bảo an toàn thông tin: quy hoạch chuẩn hóa hệ thống mạng, cấu hình đảm bảo an toàn thông tin cho các hệ thống, ứng dụng, dịch vụ.

- Sao lưu và phục hồi: hoạt động phòng ngừa chuẩn bị khả năng phục hồi lại hệ thống khi có sự cố, bao gồm 2 hành động chính cần thực hiện:

o Tiến hành sao lưu tự động hoặc định kỳ tất cả các thông tin hỗ trợ khôi phục lại hệ thống như cấu hình, cơ sở dữ liệu, mã nguồn, ...

o Diễn tập khôi phục sự cố từ bản sao lưu: Đảm bảo hoạt động sao lưu diễn ra bình thường, dữ liệu sao lưu cập nhật, đủ khả năng khôi phục lại hệ thống thực sự, tránh bị động khi xảy ra sự cố.

- Đánh giá, phát hiện, khắc phục các lỗ hổng, nguy cơ của hệ thống: chủ động rà soát, đánh giá các hệ thống phát hiện các lỗ hổng, nguy cơ về an toàn thông tin để thực hiện khắc phục, đảm bảo ATTT cho hệ thống. Hoạt động đánh giá được áp dụng cho tất cả các đối tượng trong hệ thống CNTT. Thực hiện qua 2 hình thức: Tấn công khai thác thử nghiệm và Đánh giá rà soát toàn diện. Việc thực hiện đánh giá phải đảm bảo tính độc lập giữa hoạt động đánh giá và hoạt động vận hành khai thác, phát triển hệ thống để đảm bảo tính khách quan cũng như cung cấp nhiều góc nhìn về hệ thống.

- Đào tạo: Đảm bảo nhận thức đúng về nguy cơ, cách làm an toàn thông tin. Đồng thời, thường xuyên đào tạo lực lượng chuyên môn cập nhật các công nghệ, tiêu chuẩn ATTT.

b. Giám sát, phát hiện, ứng cứu, xử lý sự cố:

- Triển khai các công cụ hỗ trợ quản lý, giám sát phát hiện vi phạm, nguy cơ ATTT: triển khai các công cụ, giải pháp nhằm xác định các thông tin chuẩn hóa ở trạng thái bình thường của các hệ thống, đối tương, ứng dụng; là thông tin cơ sở để xác định bất thường. Việc thực hiện quản lý được thực hiện thông qua các công cụ như: Các giải pháp quản lý thông tin, trạng thái các thành phần trong hệ thống CNTT; Hệ thống quản lý các sự kiện - SIEM, Giải pháp giám sát tiêu chuẩn ATTT lớp người dùng, máy chủ, lớp mạng; Giải pháp quản lý thông tin ứng dụng, dịch vụ, cấu hình, cài đặt các hệ thống ứng dụng; Giải pháp phát hiện bất thường trên máy người dùng, máy chủ, lớp mạng; Giải pháp giám sát thư mục ứng dụng; Giải pháp quản lý điều khiển truy cập mạng NAC.

- Dự đoán, phát hiện sớm các mối đe dọa về an toàn thông tin: Dựa trên phân tích các thông tin về tình trạng tấn công mạng trên thế giới, ở Việt Nam nhằm phân tích các dấu hiệu, các nguồn dữ liệu, nhận dạng các chuỗi sự kiện bất thường phát hiện các dạng tấn công dai dẳng, ẩn náu trong hệ thống.

- Giám sát ATTT 24/7: Giám sát, phát hiện các dấu hiệu sự cố, tấn công, vi phạm các tiêu chuẩn cấu hình ATTT của hệ thống. Bao gồm các hành động chính sau:

o Triển khai các hệ thống công cụ, thiết bị hạ tầng, văn phòng, cơ sở vật chất hỗ trợ việc trực giám sát 24/7 như: máy tính, màn hình giám sát, điện thoại, văn phòng, chỗ làm việc đảm bảo hỗ trợ cho nhân viên trực 24/7.

o Triển khai giải pháp hỗ trợ quản lý cảnh báo, theo vết, xử lý toàn diện các cảnh báo ATTT: Hệ thống quản lý các cảnh báo ATTT tập trung, cho phép xử lý, tạo ticket, gán, chuyển công việc xử lý đến các bộ phận vận hành, phát triển các hệ thống Công nghệ thông tin.

o Xây dựng hệ thống quy trình, hướng dẫn giám sát, KPI xử lý cảnh báo ATTT.

o Tổ chức nhân sự trực giám sát ATTT 24/7 theo ca, kíp trực đảm bảo trực 24/7 tất cả các ngày trong năm.

- Xử lý sự cố (Tier 2): Để xử lý kịp thời, khép kín các sự cố ATTT, cần thực hiện các hành động chính sau:

o Triển khai hệ thống quản lý ticket sự cố ATTT: Hệ thống cho phép quản lý, luân chuyển, chia tách công việc thành các công việc chi tiết, đảm bảo sự cố được xử lý triệt để, với đầy đủ luồng, lưu vết lịch sử xử lý.

o Xây dựng hệ thống quy trình, hướng dẫn xử lý sự cố ATTT triệt để.

o Xử lý chấm dứt sự cố, khắc phục các nguyên nhân gốc gây ra sự cố.

- Điều tra, xử lý sự cố mức chuyên gia (Tier 3): bao gồm 2 hoạt động chính:

o Điều tra (Investigation): Điều tra, xác định nguyên nhân sự cố, phương thức, hành động tấn công, và cả thủ phạm tấn công vào hệ thống.

o Xử lý sự cố bởi chuyên gia: Với các sự cố ATTT phức tạp, xử lý mức chuyên gia là yêu cầu bắt buộc, bởi hành động, phương thức tấn công, kỹ thuật tấn công là yếu tố không xác định trước, rất khó xác định nếu thiếu kiến thức chuyên môn sâu.

- Diễn tập xử lý sự cố: Nhằm sẵn sàng cho mọi tình huống xảy ra khi sự cố với đầy đủ các kịch bản tấn công.

c. Quản lý nhân sự, mô hình tổ chức bộ phận ATTT:

- Định hình vị trí, vai trò chức danh CIO, CSO

- Các định hướng, chiến lược, tổ chức về nhân lực ATTT trong tổ chức.

3. Khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan

3.1. Mô hình khung tiêu chuẩn:

3.2. Nội dung khung tiêu chuẩn:

a. Hệ thống CNTT phân theo cấp độ:

Tiêu chí xác định cấp độ, thẩm quyền, trình tự, thủ tục xác định cấp độ thực hiện theo Nghị định 85/2016/NĐ-CP ngày 01/7/2016, Thông tư 03/2017/TT-BTTTT ngày 24/4/2017 và Quyết định số 201/QĐ-BTC ngày 12/02/2018;

b. Tiêu chuẩn An toàn vật lý cho hệ thống CNTT Hải quan:

Tiêu chuẩn An toàn vật lý cho hệ thống CNTT Hải quan thực hiện theo hướng dẫn tại Tiêu chuẩn quốc gia TCVN 11930:2017 - yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ và Tiêu chuẩn hạ tầng kỹ thuật phòng máy chủ ngành Hải quan đã được ban hành;

c. Tiêu chuẩn An toàn cho hệ thống thông tin:

Tiêu chuẩn An toàn vật lý cho hệ thống CNTT Hải quan thực hiện theo hướng dẫn tại Tiêu chuẩn quốc gia TCVN 11930:2017 - yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ;

4. Tổ chức thực hiện

4.1. Cục Công nghệ thông tin và Thống kê Hải quan:

- Chịu trách nhiệm chính trong việc cập nhật, duy trì và tổ chức triển khai “Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan” trong ngành Hải quan;

- Hướng dẫn, kiểm tra tính tuân thủ của các đơn vị trong việc triển khai “Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan”.

4.2. Các đơn vị thuộc, trực thuộc Tổng cục Hải quan:

- Xây dựng kế hoạch ứng dụng công nghệ thông tin hàng năm theo phân cấp đảm bảo tuân thủ “Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan”;

- Phối hợp với Cục Công nghệ thông tin và Thống kê Hải quan xây dựng, triển khai các hệ thống công nghệ thông tin phù hợp với “Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan”.

5. Lộ trình thực hiện

5.1. Giai đoạn tới năm 2020

- Từng bước hoàn thiện các giải pháp phòng ngừa bảo vệ bảo đảm an ninh an toàn cho hệ thống CNTT Hải quan: Bổ sung, hoàn thiện các giải pháp kỹ thuật bảo đảm an ninh an toàn cho các đối tượng cần bảo vệ tại Trung tâm dữ liệu Tổng cục Hải quan, phòng máy chủ các Cục Hải quan; Ban hành quy chế an toàn thông tin mạng Tổng cục Hải quan nhằm thay thế Quy chế đảm bảo an ninh, an toàn hệ thống công nghệ thông tin Hải quan ban hành tại Quyết định 2926/QĐ-TCHQ ngày 06/10/2014; Xác định cấp độ cho hệ thống thông tin đủ điều kiện; Rà soát, đánh giá bảo mật cho hệ thống công nghệ thông tin; Tiếp tục đào tạo nâng cao trình độ cho đội ngũ làm công tác quản trị, an ninh an toàn.

- Thuê dịch vụ triển khai trung tâm giám sát an toàn thông tin mạng (SOC) nhằm giám sát phát hiện, ứng cứu và xử lý các sự cố an toàn thông tin cho hệ thống thông tin Hải quan.

- Định kỳ tổ chức diễn tập xử lý sự cố An toàn thông tin.

5.2. Giai đoạn 2021 - 2025

- Tiếp tục hoàn thiện các giải pháp phòng ngừa bảo vệ bảo đảm an ninh an toàn cho hệ thống CNTT Hải quan: Hoàn thiện các giải pháp kỹ thuật bảo đảm an ninh an toàn; Hoàn thiện các quy chế, quy trình, tiêu chuẩn ATTT trong ngành Hải quan phù hợp với các quy định của pháp luật, của ngành; Xác định cấp độ cho hệ thống thông tin; Đào tạo xây dựng đội ngũ chuyên gia về ATTT, đào tạo nâng cao nhận thức về ATTT cho người sử dụng.

- Kết nối trung tâm giám sát an toàn thông tin mạng (SOC) ngành Hải quan với SOC ngành Tài chính.

- Định kỳ rà soát, đánh giá bảo mật cho hệ thống công nghệ thông tin; diễn tập xử lý sự cố An toàn thông tin.

- Kiện toàn bộ máy, nhân sự ATTT theo vị trí, chức danh công việc./.