Yêu cầu như thế nào về nguyên vẹn dữ liệu trong hệ thống thông tin cấp độ 5 để đúng với Tiêu chuẩn?

Nội dung chính

• Yêu cầu như thế nào về nguyên vẹn dữ liệu trong hệ thống thông tin cấp độ 5 để đúng với Tiêu chuẩn?
• Chống sét và chống cháy cho hệ thống thông tin cấp độ 5 phải tuân thủ những gì?
• Quy định về kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng của hệ thống thông tin cấp độ 5 có giống nhau không?

Yêu cầu như thế nào về nguyên vẹn dữ liệu trong hệ thống thông tin cấp độ 5 để đúng với Tiêu chuẩn?

Theo Mục 9.2.4.1 Tiêu chuẩn quốc gia TCVN-11930-2017 quy định về bảo đảm an toàn dữ liệu như sau:

Bảo đảm an toàn dữ liệu

9.2.4.1 Nguyên vẹn dữ liệu

a) Có phương án chuyên dụng để quản lý, lưu trữ dữ liệu trong hệ thống bảo đảm tính nguyên vẹn;

b) Có phương án giám sát, cảnh báo khi có thay đổi thông tin, dữ liệu lưu trên hệ thống lưu trữ/phương tiện lưu trữ;

c) Có phương án khôi phục tính nguyên vẹn của thông tin dữ liệu.

9.2.4.2 Bảo mật dữ liệu

a) Lưu trữ có mã hóa các thông tin, dữ liệu (không phải là thông tin, dữ liệu công khai) trên hệ thống lưu trữ/phương tiện lưu trữ;

b) Sử dụng các phương pháp mã hóa mạnh (chưa được các tổ chức quốc tế công bố điểm yếu an toàn thông tin) để mã hóa dữ liệu;

c) Có phương án chuyên dụng để quản lý và bảo vệ dữ liệu mã hóa và khóa giải mã;

đ) Thiết lập phân vùng lưu trữ mã hóa, phân quyền truy cập chỉ cho phép người có quyền được truy cập, quản lý dữ liệu mã hóa.

9.2.4.3 Sao lưu dự phòng

a) Thực hiện sao lưu dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ;

b) Phân loại và quản lý các dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau;

c) Có hệ thống/phương tiện lưu trữ độc lập để sao lưu dự phòng;

d) Phương án sao lưu dự phòng có tính sẵn sàng cao, cho phép khôi phục dữ liệu nóng khi một thành phần trong hệ thống xảy ra sự cố;

đ) Lưu trữ dự phòng các dữ liệu quan trọng trên hệ thống/phương tiện lưu trữ dự phòng ở vị trí địa lý khác nhau; bảo đảm môi trường bảo quản và phương pháp quản lý giống như với hệ thống chính;

e) Duy trì ít nhất 02 kết nối mạng từ hệ thống sao lưu dự phòng chính với hệ thống sao lưu dự phòng phụ.

Theo đó, yêu cầu về nguyên vẹn dữ liệu trong hệ thống thông tin cấp độ 5 để đúng với Tiêu chuẩn bao gồm các nội dung sau đây:

- Có phương án chuyên dụng để quản lý, lưu trữ dữ liệu trong hệ thống bảo đảm tính nguyên vẹn;

- Có phương án giám sát, cảnh báo khi có thay đổi thông tin, dữ liệu lưu trên hệ thống lưu trữ/phương tiện lưu trữ;

- Có phương án khôi phục tính nguyên vẹn của thông tin dữ liệu.

Yêu cầu như thế nào về nguyên vẹn dữ liệu trong hệ thống thông tin cấp độ 5 để đúng với Tiêu chuẩn? (Hình từ Internet)

Chống sét và chống cháy cho hệ thống thông tin cấp độ 5 phải tuân thủ những gì?

Tại Mục A.5.4 Phụ lục A Tiêu chuẩn quốc gia TCVN-11930-2017 quy định thì:

Phụ lục A

(Quy định)

Yêu cầu cơ bản về an toàn vật lý cho hệ thống thông tin theo cấp độ

A.5 Yêu cầu vật lý cho hệ thống thông tin cấp độ 5

...

A.5.4 Chống sét

a) Tòa nhà đặt phòng máy chủ phải được thiết lập hệ thống chống sét và được nghiệm thu, kiểm tra kỹ thuật của ban quản lý tòa nhà;

b) Có phương án phòng chống sét lan truyền cho các thiết bị hệ thống, các thiết bị phụ trợ và nguồn cung cấp điện;

c) Kết nối mạng giữa các thiết bị hệ thống có cơ chế phòng chống sét lan truyền;

d) Có phương án quản lý, giám sát tập trung hệ thống chống sét.

A.5.5 Chống cháy

a) Phòng máy chủ phải lắp đặt hệ thống cảnh báo và chữa cháy tự động; có các hình thức phát tín hiệu cảnh báo cháy khác nhau (bằng âm thanh, ánh sáng...);

b) Phòng máy chủ phải được xây dựng sử dụng các vật liệu chịu lửa;

c) Khu vực máy chủ quan trọng và thiết bị mạng chính phải đặt cách ly và có biện pháp cách lửa với các khu vực khác;

d) Có phương án quản lý, giám sát tập trung hệ thống chống cháy; bố trí nguồn lực và tổ chức giám sát 24/7.

Như vậy, trên đây là các yêu cầu về chống sét và chống cháy thuộc trong yêu cầu vật lý cho hệ thống thông tin cấp độ 5.

Quy định về kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng của hệ thống thông tin cấp độ 5 có giống nhau không?

Theo Mục 9.2.2.2, Mục 9.2.3.2 Tiêu chuẩn quốc gia TCVN-11930-2017 quy định như sau:

9.2.2 Bảo đảm an toàn máy chủ

...

9.2.2.2 Kiểm soát truy cập

a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa;

b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng;

c) Thay đổi cổng quản trị mặc định của máy chủ;

d) Không cho phép quản trị, cấu hình máy chủ trực tiếp từ các mạng bên ngoài, trường hợp bắt buộc phải quản trị thiết bị từ xa phải thực hiện gián tiếp thông qua các máy quản trị trong hệ thống và sử dụng kết nối mạng an toàn;

đ) Phân quyền truy cập, quản trị, sử dụng tài nguyên khác nhau trên máy chủ với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau;

e) Cấp quyền tối thiểu (quyền truy cập, quản trị) cho tài khoản quản trị máy chủ theo quyền hạn;

g) Kiểm soát truy cập máy chủ theo khoảng thời gian hợp lệ (theo chính sách của tổ chức nếu có).

9.2.3 Bảo đảm an toàn ứng dụng

...

9.2.3.2 Kiểm soát truy cập

a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị ứng dụng từ xa;

b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng;

c) Giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị ứng dụng từ xa;

d) Phân quyền truy cập, quản trị, sử dụng tài nguyên khác nhau của ứng dụng với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau;

đ) Giới hạn số lượng các kết nối đồng thời (kết nối khởi tạo và đã thiết lập) đối với các ứng dụng, dịch vụ máy chủ cung cấp;

e) Cấp quyền tối thiểu (quyền truy cập, quản trị) cho tài khoản quản trị ứng dụng theo quyền hạn;

g) Thiết lập quyền tối thiểu (chỉ cấp quyền truy cập cơ sở dữ liệu) cho tài khoản kết nối cơ sở dữ liệu;

h) Thay đổi, tách biệt cổng quản trị ứng dụng với cổng cung cấp dịch vụ ứng dụng;

i) Khóa tạm thời hoặc không cho phép quản trị ứng dụng trong khoảng thời gian ngoài giờ làm việc theo chính sách của tổ chức (nếu có).

Theo đó, liên quan đến kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng của hệ thống thông tin cấp độ 5 thì các quy định của cả 02 có vài điểm chung đó là đều có:

- Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị ứng dụng từ xa;

- Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng.