(028) 3930 3279
Hỗ trợ trực tuyến
0906 22 99 66
Trong hệ thống thông tin cấp độ 4, việc thiết kế an toàn và quản lý giám sát an toàn hệ thống thông tin cần đảm bảo những gì?
- Trong hệ thống thông tin cấp độ 4, việc thiết kế an toàn, quản lý giám sát an toàn hệ thống thông tin cần đảm bảo những gì?
- Kiểm soát truy cập từ bên ngoài và bên trong mạng đối với hệ thống thông tin cấp độ 4 phải tuân thủ các yêu cầu nào?
- Thực hiện việc kiểm soát truy cập trong hệ thống thông tin cấp độ 4 như thế nào?
Trong hệ thống thông tin cấp độ 4, việc thiết kế an toàn, quản lý giám sát an toàn hệ thống thông tin cần đảm bảo những gì?
Theo quy định tại Mục 8.1.4.1, Mục 8.1.5.6 Tiêu chuẩn quốc gia TCVN 11930:2017 có quy định về thiết kế an toàn, quản lý giám sát an toàn hệ thống thông tin đối với hệ thống tin cấp độ 4 như sau:
8.1.4.1 Thiết kế an toàn hệ thống thông tin
a) Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;
b) Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin;
c) Có tài liệu mô tả phương án bảo đảm an toàn thông tin theo cấp độ;
d) Có tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin;
đ) Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống;
e) Có phương án quản lý và bảo vệ hồ sơ thiết kế;
g) Có bộ phận chuyên môn, tổ chuyên gia đánh giá hồ sơ thiết kế hệ thống thông tin, các biện pháp bảo đảm an toàn thông tin trước khi triển khai thực hiện.
...
8.1.5.6 Quản lý giám sát an toàn hệ thống thông tin
Chính sách, quy trình quản lý giám sát an toàn hệ thống thông tin bao gồm:
a) Quản lý, vận hành hoạt động bình thường của hệ thống giám sát;
b) Đối tượng giám sát bao gồm: thiết bị hệ thống, máy chủ, ứng dụng, dịch vụ và các thành phần khác trong hệ thống (nếu có);
c) Kết nối và gửi nhật ký hệ thống từ đối tượng giám sát về hệ thống giám sát;
d) Truy cập và quản trị hệ thống giám sát;
đ) Loại thông tin cần được giám sát;
e) Lưu trữ và bảo vệ thông tin giám sát (nhật ký hệ thống);
g) Đồng bộ thời gian giữa hệ thống giám sát và thiết bị được giám sát;
h) Theo dõi, giám sát và cảnh báo sự cố phát hiện được trên hệ thống thông tin;
i) Bố trí nguồn lực và tổ chức giám sát an toàn hệ thống thông tin 24/7.
Theo đó đối với hệ thống thông tin cấp độ 4 cụ thể quy định về thiết kế an toàn hệ thống thông tin tại Mục 8.1.4.1 và về việc quản lý giám sát an toàn hệ thống thông tin tại Mục 8.1.5.6.
Hệ thống thông tin cấp độ 4 (Hình từ Internet)
Kiểm soát truy cập từ bên ngoài và bên trong mạng đối với hệ thống thông tin cấp độ 4 phải tuân thủ các yêu cầu nào?
Về kiểm soát truy cập từ bên ngoài mạng cần nêu rõ tại Mục 8.2.1.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định về kiểm soát truy cập từ bên ngoài mạng, bên trong mạng đối với hệ thống thông tin cấp độ 4 như sau:
8.2.1.2 Kiểm soát truy cập từ bên ngoài mạng
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập thông tin nội bộ hoặc quản trị hệ thống từ các mạng bên ngoài và mạng Internet;
b) Kiểm soát truy cập từ bên ngoài vào hệ thống theo từng dịch vụ, ứng dụng cụ thể; chặn tất cả truy cập tới các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép truy cập từ bên ngoài;
c) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi hệ thống không nhận được yêu cầu từ người dùng;
d) Phân quyền và cấp quyền truy cập từ bên ngoài vào hệ thống theo từng người dùng hoặc nhóm người dùng căn cứ theo yêu cầu nghiệp vụ, yêu cầu quản lý;
đ) Giới hạn số lượng kết nối đồng thời từ một địa chỉ nguồn và tổng số lượng kết nối đồng thời cho từng ứng dụng, dịch vụ được hệ thống cung cấp theo năng lực thực tế của hệ thống.
8.2.1.3 Kiểm soát truy cập từ bên trong mạng
a) Chỉ cho phép truy cập các ứng dụng, dịch vụ bên ngoài theo yêu cầu nghiệp vụ, chặn các dịch vụ khác không phục vụ hoạt động nghiệp vụ theo chính sách của tổ chức;
b) Có phương án kiểm soát truy cập của người dùng vào các dịch vụ, các máy chủ nội bộ theo chức năng và chính sách của tổ chức;
c) Không cho phép hoặc giới hạn truy cập (theo chức năng của máy chủ) từ các máy chủ ra các mạng bên ngoài hệ thống;
d) Có phương án quản lý các thiết bị đầu cuối, máy tính người dùng kết nối vào hệ thống mạng (theo địa chỉ vật lý, địa chỉ logic), chỉ cho phép thiết bị đầu cuối, máy tính người sử dụng hợp lệ kết nối vào hệ thống.
Thực hiện việc kiểm soát truy cập trong hệ thống thông tin cấp độ 4 như thế nào?
Theo Mục 8.2.2.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định về việc kiểm soát truy cập như sau:
Kiểm soát truy cập
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa;
b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng;
c) Thay đổi cổng quản trị mặc định của máy chủ;
d) Không cho phép quản trị, cấu hình máy chủ trực tiếp từ các mạng bên ngoài, trường hợp bắt buộc phải quản trị thiết bị từ xa phải thực hiện gián tiếp thông qua các máy quản trị trong hệ thống và sử dụng kết nối mạng an toàn;
đ) Phân quyền truy cập, quản trị, sử dụng tài nguyên khác nhau trên máy chủ với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau;
e) Cấp quyền tối thiểu (quyền truy cập, quản trị) cho tài khoản quản trị máy chủ theo quyền hạn.
Theo đó, có 06 nội dung quy định trong thực hiện việc kiểm soát truy cập trong hệ thống thông tin cấp độ 4.
Giám sát an toàn hệ thống thông tin được thực hiện thông qua phương thức giám sát trực tiếp đúng không?
Hệ thống thông tin quan trọng về an ninh quốc gia là gì? Việc kiểm tra, giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như thế nào?
Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được lưu trực tuyến bao nhiêu tháng?
Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7 trong hoạt động ngân hàng là hệ thống thông tin cấp mấy?
4 nguyên nhân dẫn đến việc chưa tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ là gì?
Chậm nhất tháng 9/2024 100% hệ thống thông tin đang vận hành phải được phê duyệt cấp độ an toàn hệ thống thông tin?
Sổ tay hướng dẫn tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ do ai ban hành?
Chủ quản hệ thống thông tin theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp là những cơ quan nào?
Hệ thống thông tin báo cáo Chính phủ là gì? Chức năng cơ bản của Hệ thống thông tin báo cáo Chính phủ phải đáp ứng những yêu cầu gì?
Hệ thống thông tin báo cáo bộ, cơ quan là gì? Chức năng cơ bản của Hệ thống thông tin báo cáo bộ, cơ quan phải đáp ứng những yêu cầu nào?
Đặt câu hỏi
Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.
- Chủ tịch Hội đồng thành viên công ty TNHH 2 thành viên trở lên là người đại diện theo pháp luật thì ai là người ký thông báo thay đổi người đại diện theo pháp luật?
- Hành vi xuất bản sách có nội dung kích động bạo lực có thể bị xử phạt hành chính bao nhiêu tiền?
- Cố ý tiết lộ bí mật nhà nước về dự trữ quốc gia có thể bị truy cứu trách nhiệm hình sự cao nhất bao nhiêu năm tù?
- Đối tượng báo cáo áp dụng các biện pháp quản lý rủi ro tương ứng với các mức độ rủi ro về rửa tiền của khách hàng được quy định như thế nào?
- Chào bán trái phiếu ra công chúng có phải là hình thức chào bán chứng khoán ra công chúng không?
