Quy định về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1, cấp độ 2 phải tuân thủ những gì?

Một số yêu cầu cần đáp ứng đối với hệ thống thông tin cấp độ là gì? Liên quan đến bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1, cấp độ 2 phải tuân thủ những yêu cầu thế nào? Anh Thuần đến từ Ninh Thuận đặt câu hỏi.

Một số yêu cầu cần đáp ứng đối với hệ thống thông tin cấp độ là gì?

Tại Mục 4 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định các yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ:

Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ
Các yêu cầu của từng cấp độ được chia làm hai nhóm: yêu cầu quản lý và yêu cầu kỹ thuật.
Yêu cầu quản lý đưa ra các yêu cầu về mặt quản lý nhằm quản lý việc xây dựng, quản lý vận hành và gỡ bỏ hệ thống thông tin bảo đảm an toàn. Các yêu cầu quản lý được chia thành các nhóm yêu cầu: thiết lập chính sách an toàn thông tin; tổ chức bảo đảm an toàn thông tin; bảo đảm nguồn nhân lực; quản lý thiết kế, xây dựng hệ thống; quản lý vận hành hệ thống.
Yêu cầu kỹ thuật đưa ra các yêu cầu về mặt kỹ thuật để bảo đảm việc thiết kế, xây dựng và thiết lập hệ thống thông tin bảo đảm an toàn. Các yêu cầu kỹ thuật được chia thành các nhóm yêu cầu: bảo đảm an toàn mạng; bảo đảm an toàn máy chủ; bảo đảm an toàn ứng dụng; bảo đảm an toàn dữ liệu.

Theo đó, các yêu cầu của từng cấp độ được chia làm hai nhóm: yêu cầu quản lý và yêu cầu kỹ thuật.

Quy định về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1, cấp độ 2 phải tuân thủ những gì?

Quy định về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1, cấp độ 2 phải tuân thủ những gì? (Hình từ Internet)

Bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1 được quy định thế nào?

Về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 1 căn cứ theo Mục 5.2.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định như sau:

Yêu cầu kỹ thuật
...
5.2.2 Bảo đảm an toàn máy chủ
5.2.2.1 Xác thực
a) Thiết lập chính sách xác thực trên máy chủ để xác thực người dùng khi truy cập, quản lý và sử dụng máy chủ;
b) Thay đổi các tài khoản mặc định trên hệ thống hoặc vô hiệu hóa (nếu không sử dụng);
c) Thiết lập cấu hình máy chủ để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:
- Yêu cầu thay đổi mật khẩu mặc định;
- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.
5.2.2.2 Kiểm soát truy cập
Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa.
5.2.2.3 Nhật ký hệ thống
a) Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:
- Thông tin kết nối mạng tới máy chủ (Firewall log);
- Thông tin đăng nhập vào máy chủ;
b) Đồng bộ thời gian giữa máy chủ với máy chủ thời gian.
5.2.2.4 Phòng chống xâm nhập
a) Loại bỏ các tài khoản không sử dụng, các tài khoản không còn hợp lệ trên máy chủ;
b) Sử dụng tường lửa của hệ điều hành và hệ thống để cấm các truy cập trái phép tới máy chủ.
5.2.2.5 Phòng chống phần mềm độc hại
Cài đặt phần mềm phòng chống mã độc (hoặc có phương án khác tương đương) và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm.

Quy định về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 2 phải tuân thủ những gì?

Về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 2 căn cứ theo Mục 6.2.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định như sau:

Yêu cầu kỹ thuật
...
6.2.2 Bảo đảm an toàn máy chủ
6.2.2.1 Xác thực
a) Thiết lập chính sách xác thực trên máy chủ để xác thực người dùng khi truy cập, quản lý và sử dụng máy chủ;
b) Thay đổi các tài khoản mặc định trên hệ thống hoặc vô hiệu hóa (nếu không sử dụng);
c) Thiết lập cấu hình máy chủ để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:
- Yêu cầu thay đổi mật khẩu mặc định;
- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự;
- Thiết lập thời gian yêu cầu thay đổi mật khẩu;
- Thiết lập thời gian mật khẩu hợp lệ.
6.2.2.2 Kiểm soát truy cập
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa;
b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng.
6.2.2.3 Nhật ký hệ thống
a) Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau;
- Thông tin kết nối mạng tới máy chủ (Firewall log);
- Thông tin đăng nhập vào máy chủ;
- Lỗi phát sinh trong quá trình hoạt động;
- Thông tin thay đổi cấu hình máy chủ;
- Thông tin truy cập dữ liệu và dịch vụ quan trọng trên máy chủ (nếu có).
b) Đồng bộ thời gian giữa máy chủ với máy chủ thời gian;
c) Lưu nhật ký hệ thống trong khoảng thời gian tốt thiểu là 01 tháng.
6.2.2.4 Phòng chống xâm nhập
a) Loại bỏ các tài khoản không sử dụng, các tài khoản không còn hợp lệ trên máy chủ;
b) Sử dụng tường lửa của hệ điều hành và hệ thống để cấm các truy cập trái phép tới máy chủ;
c) Vô hiệu hóa các giao thức mạng không an toàn, các dịch vụ hệ thống không sử dụng;
d) Có phương án cập nhật bản vá, xử lý điểm yếu an toàn thông tin cho hệ điều hành và các dịch vụ hệ thống trên máy chủ.
6.2.2.5 Phòng chống phần mềm độc hại
a) Cài đặt phần mềm phòng chống mã độc (hoặc có phương án khác tương đương) và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm;
b) Có phương án kiểm tra, dò quét, xử lý phần mềm độc hại cho các phần mềm trước khi cài đặt.
6.2.2.6 Xử lý máy chủ khi chuyển giao
Có phương án xóa sạch thông tin, dữ liệu trên máy chủ khi chuyển giao hoặc thay đổi mục đích sử dụng.

Như vậy, về bảo đảm an toàn máy chủ đối với hệ thống thông tin cấp độ 2 phải đảm bảo về việc xác thực, kiểm soát truy cập, nhật ký hệ thống, phòng chống xâm nhập và phòng chống phần mềm độc hại.

Hệ thống thông tin
Căn cứ pháp lý
MỚI NHẤT
Thư viện nhà đất
Đã có Nghị định 111/2024/NĐ-CP quy định hệ thống thông tin, Cơ sở dữ liệu quốc gia về hoạt động xây dựng?
Pháp luật
Hệ thống thông tin xét duyệt cho thuê tài chính bằng phương tiện điện tử phải bảo đảm an toàn hệ thống thông tin cấp độ mấy?
Pháp luật
Các thông tin an toàn thông tin mạng tối thiểu cần thu thập và cung cấp đối với hệ thống thông tin cấp độ 3 trở lên bao gồm những gì?
Pháp luật
Giám sát an toàn hệ thống thông tin được thực hiện thông qua phương thức giám sát trực tiếp đúng không?
Pháp luật
Hệ thống thông tin quan trọng về an ninh quốc gia là gì? Việc kiểm tra, giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như thế nào?
Pháp luật
Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được lưu trực tuyến bao nhiêu tháng?
Pháp luật
Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7 trong hoạt động ngân hàng là hệ thống thông tin cấp mấy?
Pháp luật
4 nguyên nhân dẫn đến việc chưa tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ là gì?
Pháp luật
Chậm nhất tháng 9/2024 100% hệ thống thông tin đang vận hành phải được phê duyệt cấp độ an toàn hệ thống thông tin?
Pháp luật
Sổ tay hướng dẫn tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ do ai ban hành?
Pháp luật
Chủ quản hệ thống thông tin theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp là những cơ quan nào?
Đặt câu hỏi

Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.

Đi đến trang Tìm kiếm nội dung Tư vấn pháp luật - Hệ thống thông tin
5,878 lượt xem
TÌM KIẾM LIÊN QUAN
Hệ thống thông tin

TÌM KIẾM VĂN BẢN
Xem toàn bộ văn bản về Hệ thống thông tin

Chủ quản: Công ty THƯ VIỆN PHÁP LUẬT. Giấy phép số: 27/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 09/05/2019.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3930 3279
Địa chỉ: P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;
Địa điểm Kinh Doanh: Số 17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q3, TP. HCM;
Chứng nhận bản quyền tác giả số 416/2021/QTG ngày 18/01/2021, cấp bởi Bộ Văn hoá - Thể thao - Du lịch
Thông báo
Bạn không có thông báo nào