Yêu cầu quản lý và yêu cầu kỹ thuật đối với hệ thống thông tin cấp độ 1 cần đảm bảo những gì để đúng với Tiêu chuẩn?

Nội dung chính

• Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ theo Tiêu chuẩn là gì?
• Quy định về yêu cầu quản lý đối với hệ thống thông tin cấp độ 1 cần đảm bảo như thế nào?
• Yêu cầu kỹ thuật đối với hệ thống thông tin cấp độ 1 phải tuân thủ những vấn đề gì?

Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ theo Tiêu chuẩn là gì?

Tại Mục 4 Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ có quy định Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ như sau:

Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ

Các yêu cầu của từng cấp độ được chia làm hai nhóm: yêu cầu quản lý và yêu cầu kỹ thuật.

Yêu cầu quản lý đưa ra các yêu cầu về mặt quản lý nhằm quản lý việc xây dựng, quản lý vận hành và gỡ bỏ hệ thống thông tin bảo đảm an toàn. Các yêu cầu quản lý được chia thành các nhóm yêu cầu: thiết lập chính sách an toàn thông tin; tổ chức bảo đảm an toàn thông tin; bảo đảm nguồn nhân lực; quản lý thiết kế, xây dựng hệ thống; quản lý vận hành hệ thống.

Yêu cầu kỹ thuật đưa ra các yêu cầu về mặt kỹ thuật để bảo đảm việc thiết kế, xây dựng và thiết lập hệ thống thông tin bảo đảm an toàn. Các yêu cầu kỹ thuật được chia thành các nhóm yêu cầu: bảo đảm an toàn mạng; bảo đảm an toàn máy chủ; bảo đảm an toàn ứng dụng; bảo đảm an toàn dữ liệu.

Yêu cầu quản lý và yêu cầu kỹ thuật đối với hệ thống thông tin cấp độ 1 cần đảm bảo những gì để đúng với Tiêu chuẩn? (Hình từ Internet)

Quy định về yêu cầu quản lý đối với hệ thống thông tin cấp độ 1 cần đảm bảo như thế nào?

Theo Mục 5.1 Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ quy định như sau:

Yêu cầu quản lý

5.1.1 Thiết lập chính sách an toàn thông tin

5.1.1.1 Chính sách an toàn thông tin

Xây dựng chính sách, quy trình quản lý, vận hành hoạt động bình thường của hệ thống nhằm bảo đảm tính sẵn sàng của hệ thống trong quá trình vận hành, khai thác.

5.1.1.2 Xây dựng và công bố

Chính sách được tổ chức/bộ phận được ủy quyền thông qua trước khi công bố áp dụng.

5.1.1.3 Rà soát, sửa đổi

Định kỳ 03 năm hoặc khi có thay đổi chính sách an toàn thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung.

5.1.2 Tổ chức bảo đảm an toàn thông tin

5.1.2.1 Đơn vị chuyên trách về an toàn thông tin

Có cán bộ có trách nhiệm bảo đảm an toàn thông tin cho hệ thống thông tin.

5.1.2.2 Phối hợp với cơ quan/tổ chức có thẩm quyền

a) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin;

b) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin.

5.1.3 Bảo đảm nguồn nhân lực

5.1.3.1 Tuyển dụng

Cán bộ được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành phù hợp với vị trí tuyển dụng.

5.1.3.2 Trong quá trình làm việc

a) Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống;

b) Có hình thức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng.

5.1.3.3 Chấm dứt hoặc thay đổi công việc

Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức.

5.1.4 Quản lý thiết kế, xây dựng hệ thống

5.1.4.1 Thiết kế an toàn hệ thống thông tin

a) Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;

b) Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin.

5.1.4.2 Thử nghiệm và nghiệm thu hệ thống

Thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng.

5.1.5 Quản lý vận hành hệ thống

5.1.5.1 Quản lý an toàn mạng

Xây dựng và thực thi chính sách, quy trình quản lý vận hành hoạt động bình thường của hạ tầng mạng.

5.1.5.2 Quản lý an toàn máy chủ và ứng dụng

Xây dựng và thực thi chính sách, quy trình quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ.

5.1.5.3 Quản lý an toàn dữ liệu

Có phương án sao lưu dự phòng thông tin, dữ liệu, cấu hình hệ thống.

Theo đó, yêu cầu về quản lý đối với hệ thống thông tin cấp độ 1 bao gồm:

- Thiết lập chính sách an toàn thông tin,

- Tổ chức bảo đảm an toàn thông tin,

- Bảo đảm nguồn nhân lực,

- Quản lý hệ thống, xây dựng hệ thống

- Quản lý vận hành hệ thống.

Yêu cầu kỹ thuật đối với hệ thống thông tin cấp độ 1 phải tuân thủ những vấn đề gì?

Về yêu cầu kỹ thuật ta căn cứ theo Mục 5.2 Tiêu chuẩn quốc gia TCVN 11930:2017 như sau:

Yêu cầu kỹ thuật

5.2.1 Bảo đảm an toàn mạng

5.2.1.1 Thiết kế hệ thống

a) Thiết kế các vùng mạng trong hệ thống theo chức năng, bao gồm tối thiểu các vùng mạng:

- Vùng mạng nội bộ;

- Vùng mạng biên;

- Vùng DMZ.

b) Phương án thiết kế bảo đảm các yêu cầu sau:

- Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn;

- Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập.

5.2.1.2 Kiểm soát truy cập từ bên ngoài mạng

a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập thông tin nội bộ hoặc quản trị hệ thống từ các mạng bên ngoài và mạng Internet;

b) Kiểm soát truy cập từ bên ngoài vào hệ thống theo từng dịch vụ, ứng dụng cụ thể; chặn tất cả truy cập tới các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép truy cập từ bên ngoài.

5.2.1.3 Nhật ký hệ thống

Thiết lập chức năng ghi, lưu trữ nhật ký hệ thống trên các thiết bị mạng chính.

5.2.1.4 Phòng chống xâm nhập

a) Có phương án phòng chống xâm nhập để bảo vệ vùng DMZ;

b) Định kỳ cập nhật cơ sở dữ liệu dấu hiệu phát hiện tấn công mạng (Signatures).

5.2.1.5 Bảo vệ thiết bị hệ thống

a) Cấu hình chức năng xác thực trên các thiết bị hệ thống (nếu hỗ trợ) để xác thực người dùng khi quản trị thiết bị trực tiếp hoặc từ xa;

b) Thiết lập cấu hình chỉ cho phép sử dụng các kết nối mạng an toàn (nếu hỗ trợ) khi truy cập, quản trị thiết bị từ xa.

5.2.2 Bảo đảm an toàn máy chủ

5.2.2.1 Xác thực

a) Thiết lập chính sách xác thực trên máy chủ để xác thực người dùng khi truy cập, quản lý và sử dụng máy chủ;

b) Thay đổi các tài khoản mặc định trên hệ thống hoặc vô hiệu hóa (nếu không sử dụng);

c) Thiết lập cấu hình máy chủ để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:

- Yêu cầu thay đổi mật khẩu mặc định;

- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.

5.2.2.2 Kiểm soát truy cập

Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa.

5.2.2.3 Nhật ký hệ thống

a) Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:

- Thông tin kết nối mạng tới máy chủ (Firewall log);

- Thông tin đăng nhập vào máy chủ;

b) Đồng bộ thời gian giữa máy chủ với máy chủ thời gian.

5.2.2.4 Phòng chống xâm nhập

a) Loại bỏ các tài khoản không sử dụng, các tài khoản không còn hợp lệ trên máy chủ;

b) Sử dụng tường lửa của hệ điều hành và hệ thống để cấm các truy cập trái phép tới máy chủ.

5.2.2.5 Phòng chống phần mềm độc hại

Cài đặt phần mềm phòng chống mã độc (hoặc có phương án khác tương đương) và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm.

5.2.3 Bảo đảm an toàn ứng dụng

5.2.3.1 Xác thực

a) Thiết lập cấu hình ứng dụng để xác thực người sử dụng khi truy cập, quản trị, cấu hình ứng dụng;

b) Lưu trữ có mã hóa thông tin xác thực hệ thống;

c) Thiết lập cấu hình ứng dụng để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:

- Yêu cầu thay đổi mật khẩu mặc định;

- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.

5.2.3.2 Kiểm soát truy cập

a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị ứng dụng từ xa;

b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng.

5.2.3.3 Nhật ký hệ thống

Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:

- Thông tin truy cập ứng dụng;

- Thông tin đăng nhập khi quản trị ứng dụng.

5.2.4 Bảo đảm an toàn dữ liệu

5.2.4.1 Sao lưu dự phòng

Thực hiện sao lưu dự phòng các thông tin, dữ liệu quan trọng trên hệ thống.

Như vậy, yêu cầu kỹ thuật đối với hệ thống thông tin cấp độ 1 phải tuân thủ những vấn đề sau đây:

- Bảo đảm an toàn mạng

- Bảo đảm an toàn máy chủ

- Bảo đảm an toàn ứng dụng

- Bảo đảm an toàn dữ liệu.