Trong hệ thống thông tin cấp độ 4, việc thiết kế an toàn và quản lý giám sát an toàn hệ thống thông tin cần đảm bảo những gì?

Trong hệ thống thông tin cấp độ 4, việc thiết kế an toàn và quản lý giám sát an toàn hệ thống thông tin cần đảm bảo những gì? Kiểm soát truy cập từ bên ngoài và bên trong mạng phải tuân thủ các yêu cầu nào? Thực hiện việc kiểm soát truy cập trong hệ thống thông tin cấp độ 4 ra sao? Anh Vũ Kha (Hà Nội) đặt câu hỏi.

Trong hệ thống thông tin cấp độ 4, việc thiết kế an toàn, quản lý giám sát an toàn hệ thống thông tin cần đảm bảo những gì?

Theo quy định tại Mục 8.1.4.1, Mục 8.1.5.6 Tiêu chuẩn quốc gia TCVN 11930:2017 có quy định về thiết kế an toàn, quản lý giám sát an toàn hệ thống thông tin đối với hệ thống tin cấp độ 4 như sau:

8.1.4.1 Thiết kế an toàn hệ thống thông tin
a) Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;
b) Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin;
c) Có tài liệu mô tả phương án bảo đảm an toàn thông tin theo cấp độ;
d) Có tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin;
đ) Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống;
e) Có phương án quản lý và bảo vệ hồ sơ thiết kế;
g) Có bộ phận chuyên môn, tổ chuyên gia đánh giá hồ sơ thiết kế hệ thống thông tin, các biện pháp bảo đảm an toàn thông tin trước khi triển khai thực hiện.
...
8.1.5.6 Quản lý giám sát an toàn hệ thống thông tin
Chính sách, quy trình quản lý giám sát an toàn hệ thống thông tin bao gồm:
a) Quản lý, vận hành hoạt động bình thường của hệ thống giám sát;
b) Đối tượng giám sát bao gồm: thiết bị hệ thống, máy chủ, ứng dụng, dịch vụ và các thành phần khác trong hệ thống (nếu có);
c) Kết nối và gửi nhật ký hệ thống từ đối tượng giám sát về hệ thống giám sát;
d) Truy cập và quản trị hệ thống giám sát;
đ) Loại thông tin cần được giám sát;
e) Lưu trữ và bảo vệ thông tin giám sát (nhật ký hệ thống);
g) Đồng bộ thời gian giữa hệ thống giám sát và thiết bị được giám sát;
h) Theo dõi, giám sát và cảnh báo sự cố phát hiện được trên hệ thống thông tin;
i) Bố trí nguồn lực và tổ chức giám sát an toàn hệ thống thông tin 24/7.

Theo đó đối với hệ thống thông tin cấp độ 4 cụ thể quy định về thiết kế an toàn hệ thống thông tin tại Mục 8.1.4.1 và về việc quản lý giám sát an toàn hệ thống thông tin tại Mục 8.1.5.6.

hệ thống thông tin cấp độ 4

Hệ thống thông tin cấp độ 4 (Hình từ Internet)

Kiểm soát truy cập từ bên ngoài và bên trong mạng đối với hệ thống thông tin cấp độ 4 phải tuân thủ các yêu cầu nào?

Về kiểm soát truy cập từ bên ngoài mạng cần nêu rõ tại Mục 8.2.1.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định về kiểm soát truy cập từ bên ngoài mạng, bên trong mạng đối với hệ thống thông tin cấp độ 4 như sau:

8.2.1.2 Kiểm soát truy cập từ bên ngoài mạng
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập thông tin nội bộ hoặc quản trị hệ thống từ các mạng bên ngoài và mạng Internet;
b) Kiểm soát truy cập từ bên ngoài vào hệ thống theo từng dịch vụ, ứng dụng cụ thể; chặn tất cả truy cập tới các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép truy cập từ bên ngoài;
c) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi hệ thống không nhận được yêu cầu từ người dùng;
d) Phân quyền và cấp quyền truy cập từ bên ngoài vào hệ thống theo từng người dùng hoặc nhóm người dùng căn cứ theo yêu cầu nghiệp vụ, yêu cầu quản lý;
đ) Giới hạn số lượng kết nối đồng thời từ một địa chỉ nguồn và tổng số lượng kết nối đồng thời cho từng ứng dụng, dịch vụ được hệ thống cung cấp theo năng lực thực tế của hệ thống.
8.2.1.3 Kiểm soát truy cập từ bên trong mạng
a) Chỉ cho phép truy cập các ứng dụng, dịch vụ bên ngoài theo yêu cầu nghiệp vụ, chặn các dịch vụ khác không phục vụ hoạt động nghiệp vụ theo chính sách của tổ chức;
b) Có phương án kiểm soát truy cập của người dùng vào các dịch vụ, các máy chủ nội bộ theo chức năng và chính sách của tổ chức;
c) Không cho phép hoặc giới hạn truy cập (theo chức năng của máy chủ) từ các máy chủ ra các mạng bên ngoài hệ thống;
d) Có phương án quản lý các thiết bị đầu cuối, máy tính người dùng kết nối vào hệ thống mạng (theo địa chỉ vật lý, địa chỉ logic), chỉ cho phép thiết bị đầu cuối, máy tính người sử dụng hợp lệ kết nối vào hệ thống.

Thực hiện việc kiểm soát truy cập trong hệ thống thông tin cấp độ 4 như thế nào?

Theo Mục 8.2.2.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định về việc kiểm soát truy cập như sau:

Kiểm soát truy cập
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa;
b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng;
c) Thay đổi cổng quản trị mặc định của máy chủ;
d) Không cho phép quản trị, cấu hình máy chủ trực tiếp từ các mạng bên ngoài, trường hợp bắt buộc phải quản trị thiết bị từ xa phải thực hiện gián tiếp thông qua các máy quản trị trong hệ thống và sử dụng kết nối mạng an toàn;
đ) Phân quyền truy cập, quản trị, sử dụng tài nguyên khác nhau trên máy chủ với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau;
e) Cấp quyền tối thiểu (quyền truy cập, quản trị) cho tài khoản quản trị máy chủ theo quyền hạn.

Theo đó, có 06 nội dung quy định trong thực hiện việc kiểm soát truy cập trong hệ thống thông tin cấp độ 4.

Hệ thống thông tin
Căn cứ pháp lý
MỚI NHẤT
Thư viện nhà đất
Đã có Nghị định 111/2024/NĐ-CP quy định hệ thống thông tin, Cơ sở dữ liệu quốc gia về hoạt động xây dựng?
Pháp luật
Hệ thống thông tin xét duyệt cho thuê tài chính bằng phương tiện điện tử phải bảo đảm an toàn hệ thống thông tin cấp độ mấy?
Pháp luật
Các thông tin an toàn thông tin mạng tối thiểu cần thu thập và cung cấp đối với hệ thống thông tin cấp độ 3 trở lên bao gồm những gì?
Pháp luật
Giám sát an toàn hệ thống thông tin được thực hiện thông qua phương thức giám sát trực tiếp đúng không?
Pháp luật
Hệ thống thông tin quan trọng về an ninh quốc gia là gì? Việc kiểm tra, giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như thế nào?
Pháp luật
Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được lưu trực tuyến bao nhiêu tháng?
Pháp luật
Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7 trong hoạt động ngân hàng là hệ thống thông tin cấp mấy?
Pháp luật
4 nguyên nhân dẫn đến việc chưa tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ là gì?
Pháp luật
Chậm nhất tháng 9/2024 100% hệ thống thông tin đang vận hành phải được phê duyệt cấp độ an toàn hệ thống thông tin?
Pháp luật
Sổ tay hướng dẫn tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ do ai ban hành?
Pháp luật
Chủ quản hệ thống thông tin theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp là những cơ quan nào?
Đặt câu hỏi

Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.

Đi đến trang Tìm kiếm nội dung Tư vấn pháp luật - Hệ thống thông tin
4,686 lượt xem
TÌM KIẾM LIÊN QUAN
Hệ thống thông tin

TÌM KIẾM VĂN BẢN
Xem toàn bộ văn bản về Hệ thống thông tin

Chủ quản: Công ty THƯ VIỆN PHÁP LUẬT. Giấy phép số: 27/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 09/05/2019.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3930 3279
Địa chỉ: P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;
Địa điểm Kinh Doanh: Số 17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q3, TP. HCM;
Chứng nhận bản quyền tác giả số 416/2021/QTG ngày 18/01/2021, cấp bởi Bộ Văn hoá - Thể thao - Du lịch
Thông báo
Bạn không có thông báo nào