BỘ GIÁO DỤC VÀ ĐÀO TẠO CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM _ Độc lập - Tự - Hạnh phúc Số: 5809/QĐ-BGDĐT ––––––––––––––––––––––– Hà Nội, ngày 11 tháng 12 năm 2014 QUYẾT ĐỊNH Ban hành Quy chế đảm bảo an tồn thơng tin hoạt động ứng dụng công nghệ thông tin đơn vị thuộc Bộ Giáo dục Đào tạo BỘ TRƯỞNG BỘ GIÁO DỤC VÀ ĐÀO TẠO Căn Nghị định số 32/2008/NĐ-CP ngày 19 tháng năm 2008 Chính phủ quy định chức năng, nhiệm vụ, quyền hạn cấu tổ chức Bộ Giáo dục Đào tạo; Căn Nghị định số 64/2007/NĐ-CP ngày 10 tháng năm 2007 Chính phủ quy định ứng dụng công nghệ thông tin hoạt động quan nhà nước; Căn Nghị định số 102/2009/NĐ-CP ngày 06 tháng 11 năm 2009 Chính phủ quy định quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước; Căn Nghị định số 72/2013/NĐ-CP ngày 15 tháng năm 2013 Chính phủ quy định quản lý, cung cấp, sử dụng dịch vụ Internet thông tin mạng; Căn Chỉ thị số 897/CT-TTg ngày 10 tháng năm 2011 Thủ tướng Chính phủ việc tăng cường triển khai hoạt động đảm bảo an tồn thơng tin số; Xét đề nghị Cục trưởng Cục Công nghệ thông tin, QUYẾT ĐỊNH: Điều Ban hành kèm theo Quyết định Quy chế đảm bảo an tồn thơng tin hoạt động ứng dụng công nghệ thông tin đơn vị thuộc Bộ Giáo dục Đào tạo Điều Quyết định có hiệu lực từ ngày ký Điều Chánh Văn phịng, Cục trưởng Cục Cơng nghệ thơng tin, thủ trưởng đơn vị trực thuộc Bộ; quan, đơn vị, tổ chức cá nhân liên quan chịu trách nhiệm thi hành Quyết định này./ Nơi nhận: - Như Điều 3; - Bộ trưởng (để báo cáo); - Các Thứ trưởng (để phối hợp đạo); - Bộ Thông tin Truyền thông (để biết); - Website Bộ; - Lưu: VT, CNTT KT BỘ TRƯỞNG THỨ TRƯỞNG (đã ký) Nguyễn Vinh Hiển BỘ GIÁO DỤC VÀ ĐÀO TẠO CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM _ Độc lập - Tự - Hạnh phúc ––––––––––––––––––––––– QUY CHẾ Đảm bảo an toàn thông tin hoạt động ứng dụng công nghệ thông tin đơn vị thuộc Bộ Giáo dục Đào tạo (Ban hành kèm theo Quyết định số 5809/QĐ-BGDĐT ngày 11tháng 12 năm 2014 Bộ trưởng Bộ Giáo dục Đào tạo) Chương I QUI ĐỊNH CHUNG Điều Phạm vi điều chỉnh đối tượng áp dụng Quy chế quy định công tác đảm bảo an tồn thơng tin điện tử (ATTT) hoạt động ứng dụng công nghệ thông tin (CNTT) đơn vị thuộc Bộ Giáo dục Đào tạo Quy chế áp dụng đơn vị thuộc Bộ Giáo dục Đào tạo gồm: Vụ, Cục, Viện, Văn phòng Bộ, Thanh tra Bộ, Trung tâm, chương trình, dự án (sau gọi chung đơn vị thuộc Bộ); đơn vị, tổ chức cá nhân có liên quan Điều Giải thích từ ngữ An tồn thơng tin bảo vệ thông tin hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật tính khả dụng thông tin An ninh thông tin việc bảo đảm thông tin mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền lợi ích hợp pháp tổ chức, cá nhân Xâm phạm ATTT hành vi truy cập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, làm sai lệch chức năng, phá hoại trái phép thông tin hệ thống thông tin Hạ tầng kỹ thuật tập hợp thiết bị tính tốn (máy chủ, máy trạm), thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, mạng nội bộ, mạng diện rộng Hệ thống thông tin tập hợp thiết bị viễn thông, CNTT bao gồm phần cứng, phần mềm sở liệu phục vụ cho hoạt động lưu trữ, xử lý, truyền đưa, chia sẻ, trao đổi, cung cấp sử dụng thông tin Trang thông tin điện tử (website) hệ thống thông tin dùng để thiết lập nhiều trang thơng tin trình bày dạng ký hiệu, số, chữ viết, hình ảnh, âm dạng thông tin khác phục vụ cho việc cung cấp sử dụng thông tin Internet Cổng thông tin điện tử (Portal) Trang thông tin điện tử tích hợp kênh thơng tin, dịch vụ ứng dụng theo phương thức thống nhất, thông qua điểm truy cập người sử dụng (từ gọi chung website) Phần mềm độc hại phần mềm có khả gây hoạt động khơng bình thường cho phần hay tồn hệ thống thơng tin thực chép, sửa đổi, xóa bỏ trái phép thơng tin lưu trữ hệ thống thông tin Cổng giao tiếp (Port) dùng để định danh ứng dụng gửi nhận liệu, ứng dụng tương ứng với cổng giao tiếp, ứng dụng phổ biến đặt với số hiệu cổng định trước, nhằm định danh ứng dụng Khi máy tính sử dụng dịch vụ cổng giao tiếp tương ứng với dịch vụ mở 10 Bản ghi nhật ký hệ thống (Logfile) tập tin tạo thiết bị hệ thống thông tin như: Tường lửa, máy chủ ứng dụng, có chứa tất thông tin hoạt động xảy thiết bị Bản ghi nhật ký hệ thống dùng để phân tích kiện xảy ra, nguồn gốc kết để có biện pháp xử lý thích hợp 11 TCVN 7562:2005: Tiêu chuẩn Việt Nam mã thực hành quản lý ATTT 12 ISO/IEC 17799:2005: Tiêu chuẩn CNTT - kỹ thuật an ninh – mã thực hành quản lý ATTT Tổ chức Tiêu chuẩn quốc tế (ISO) 13 ISO 27001:2005: Tiêu chuẩn CNTT – hệ thống quản lý an ninh thông tin ISO Điều Phạm vi tài ngun đảm bảo an tồn thơng tin Hệ thống mạng quan Bộ đơn vị trực thuộc Bộ bao gồm: - Hệ thống máy chủ; - Hệ thống đường truyền liệu, đường kết nối Internet; - Hệ thống mạng có dây, khơng dây; - Các trang thiết bị CNTT kết nối mạng đơn vị Hệ thống tài nguyên mạng ứng dụng CNTT bao gồm: - Hệ thống thư điện tử; - Hệ thống thông tin quản lý sở liệu chuyên ngành; - Cổng thông tin điện tử hệ thống website; - Các phần mềm ứng dụng phục vụ công tác quản lý, điều hành hoạt động quan nhà nước Điều Nguyên tắc chung triển khai cơng tác an tồn thơng tin An tồn thơng tin phải đảm bảo q trình thiết kế, xây dựng, vận hành hệ thống CNTT 2 Các dự án CNTT có cấu phần CNTT phải có ý kiến thẩm định chun mơn CNTT có thẩm định nội dung liên quan đến ATTT trước phê duyệt Khi thuê dịch vụ CNTT sử dụng dịch vụ thông tin bên thứ ba cung cấp, quan nhà nước phải làm chủ thông tin, liệu hệ thống dịch vụ Tuyệt đối khơng để nhà cung cấp dịch vụ truy cập, sử dụng thông tin, liệu phạm vi nhà nước quản lý Điều Các hành vi bị nghiêm cấm Ngăn chặn trái phép việc truyền tải thông tin mạng; can thiệp trái phép, gây nguy hại, xóa, thay đổi, sửa chữa, làm sai lệch thông tin mạng Ngăn chặn trái phép, gây ảnh hưởng tới hoạt động bình thường hệ thống thông tin ngăn chặn trái phép, gây ảnh hưởng tới khả truy cập hợp pháp người sử dụng tới hệ thống thông tin Tấn cơng, vơ hiệu hóa trái phép làm tác dụng biện pháp bảo vệ ATTT cho hệ thống thông tin; lợi dụng sơ hở, điểm yếu hệ thống thông tin để cố ý vượt qua biện pháp kiểm sốt truy cập, cơng, chiếm quyền điều khiển trái phép hệ thống thông tin Phát tán thư rác, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo Truy cập bất hợp pháp thông tin cá nhân tổ chức Làm thay đổi hệ thống mạng: tự ý lắp đặt thêm chuyển mạch (swich), lắp đặt thêm mạng khơng dây, cấu hình địa IP, Cấm lưu trữ, đưa lên mạng trao đổi thông tin sau: a) Thông tin chưa cấp có thẩm quyền cơng bố b) Thơng tin thuộc danh mục thông tin mật pháp luật hành quy định c) Thông tin dịch vụ thông tin trái với quy định pháp luật hành như: - Gây ảnh hưởng đến an ninh quốc gia; - Xuyên tạc, tuyên truyền chống đối sách pháp luật Nhà nước; - Có nội dung kích động bạo lực, tuyên truyền chiến tranh xâm lược, gây hận thù dân tộc nhân dân nước, truyền bá tư tưởng phản động; - Có ảnh hưởng đến văn hoá xã hội phong mỹ tục; - Giả mạo nguồn gốc thông tin; - Có ảnh hưởng xấu đến đời tư người khác: quấy rối cá nhân, xúc phạm danh dự, vu khống, xúc phạm đến nhân phẩm người khác Chương II NỘI DUNG, BIỆN PHÁP BẢO ĐẢM AN TỒN THƠNG TIN Điều Lưu trữ trao đổi thông tin Việc lưu trữ trao đổi thông tin phải tuân thủ quy định pháp luật lưu trữ, CNTT truyền thông Các liệu, thông tin tài liệu quan trọng, mức độ mật, tối mật, tuyệt mật người sử dụng phải soạn thảo, lưu trữ máy tính riêng khơng kết nối mạng Phải đặt mật khẩu, mã hoá liệu biện pháp bảo mật khác đảm bảo an toàn, an ninh thông tin Điều Yêu cầu công tác bảo đảm an tồn thơng tin Hệ thống mạng nội quan Bộ đơn vị trực thuộc phải trang bị hệ thống kỹ thuật, công nghệ đại; thường xuyên quản lý, giám sát, kiểm soát nhằm phát ngăn chặn truy cập trái phép người sử dụng tin tặc; cần triển khai chế phòng chống vi rút tin học, thư rác cho hệ thống thư điện tử, máy chủ, máy trạm đơn vị Có biện pháp bảo vệ, phịng chống nguy cắp thông tin, cháy nổ, ngập dột nước thảm hoạ thiên nhiên người gây có phương án khắc phục sau thảm hoạ Xây dựng hệ thống dự phòng cho hệ thống CNTT cốt lõi như: máy chủ web, sở liệu, thư điện tử Phải có quy trình phục hồi, lưu liệu định kỳ cho hệ thống phần mềm sở liệu Quản lý chặt chẽ hệ thống tài khoản người sử dụng hệ thống thông tin, thư điện tử, tài nguyên mạng khác gồm cơng việc: tạo mới,kích hoạt, sửa đổi, vơ hiệu hố, xố bỏ, Phải có biện pháp khóa hủy tài khoản, quyền truy nhập, thu hồi thiết bị liên quan tới hệ thống thơng tin (khóa, thẻ nhận dạng, ) cho phù hợp cán bộ, công chức, viên chức nghỉ việc chuyển công tác Hệ thống thông tin quản lý, hệ thống sở liệu, hệ thống máy chủ phải có chức tự động ghi nhật ký (trong khoảng thời gian định, tối thiểu tháng) trình đăng nhập vào hệ thống, thao tác cấu hình hệ thống thông tin liên quan ATTT để phục vụ công tác khắc phục cố điều tra ATTT xảy Việc lý, tiêu huỷ thiết bị vật mang thông tin (đĩa cứng, đĩa di động, ) phải đảm bảo yêu cầu khơng để lộ, lọt thơng tin nhà nước Phải có quy trình cụ thể phải lưu giữ hồ sơ, biên lý, tiêu huỷ Điều Một số biện pháp quản lý vận hành đảm bảo an tồn thơng tin Đối với đơn vị thuộc Bộ: a) Bố trí cán phụ trách ATTT Cán phụ trách ATTT đảm bảo điều kiện học tập, tiếp cận cơng nghệ, kiến thức an tồn bảo mật thông tin trước tiến hành hoạt động quản lý hay kỹ thuật nghiệp vụ b) Quan tâm ưu tiên bố trí kinh phí cần thiết để đảm bảo tăng cường ATTT hoạt động ứng dụng CNTT quan, đơn vị c) Các đơn vị phải bố trí máy vi tính riêng, khơng sử dụng máy tính kết nối Internet để soạn thảo văn bản, lưu giữ thơng tin có nội dung mật theo quy định Không kết nối đồng thời Internet công cộng nhà cung cấp dịch vụ Internet khác (như xDSL, thiết bị 3G, ) vào mạng truyền số liệu chuyên dùng d) Riêng thiết bị viễn thơng, máy tính sử dụng để lưu giữ truyền thơng tin bí mật Nhà nước phải chứng nhận quan chức kiểm tra, kiểm định trước đưa vào sử dụng Đối với cán phụ trách ATTT đơn vị thuộc Bộ: a) Tham mưu cho lãnh đạo triển khai thực biện pháp để đảm bảo an toàn, an ninh hệ thống thông tin quan, đơn vị Thường xuyên nghiên cứu, cập nhật kiến thức ATTT, có biện pháp phịng tránh nguy tiềm ẩn gây thơng tin tiến hành hoạt động quản lý hay kỹ thuật nghiệp vụ b) Thường xuyên cập nhật cấu hình chuẩn cho thành phần hệ thống thông tin, thiết lập cấu hình chặt chẽ đảm bảo trì hoạt động thường xun hệ thống thơng tin c) Khi thiết lập cấu hình hệ thống thơng tin cần xác định chức năng, cổng giao tiếp mạng, giao thức dịch vụ không cần thiết để cấm hạn chế sử dụng d) Thường xuyên thực việc theo dõi ghi nhật ký hệ thống kiện khác có liên quan để đánh giá, báo cáo mức độ nghiêm trọng rủi ro Các rủi ro xảy truy cập trái phép, sử dụng trái phép, mất, thay đổi phá hủy thông tin hệ thống thông tin đ) Kiểm soát chặt chẽ việc cài đặt phần mềm vào máy trạm máy chủ Đối với cán bộ, công chức, viên chức: a) Thường xuyên cập nhật sách, thủ tục ATTT quan, đơn vị thực hướng dẫn ATTT cán phụ trách b) Thực quét vi rút trước mở tập tin đính kèm theo thư điện tử, không mở thư điện tử chưa rõ người gửi tập tin đính kèm có nguồn gốc khơng rõ ràng để tránh vi rút, phần mềm gián điệp lây nhiễm máy tính c) Phải đặt mật cho máy tính (mật đăng nhập, mật bảo vệ hình) Sử dụng thiết bị lưu trữ thơng tin (USB, ổ cứng gắn ngồi, thẻ nhớ, ) đảm bảo an toàn, cách để phòng ngừa vi rút, phần mềm gián điệp xâm nhập máy tính phá hoại, đánh cắp thơng tin Định kỳ thường xuyên quét vi rút, phần mềm gián điệp máy tính Điều Một số biện pháp quản lý kỹ thuật đảm bảo an tồn thơng tin Tổ chức mơ hình mạng: Khuyến khích cài đặt, cấu hình, tổ chức hệ thống mạng theo mơ hình máy trạm/máy chủ (Clients/Server), hạn chế sử dụng mơ hình mạng ngang hàng Các đơn vị có nhiều phịng, ban, đơn vị trực thuộc không nằm khu vực, cần thiết lập mạng riêng ảo (Virtual Private Network - VPN) để đảm bảo an ninh cho mạng nội Khi thiết lập dịch vụ môi trường mạng Internet, cung cấp chức thiết yếu bảo đảm trì hoạt động hệ thống thơng tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức dịch vụ không cần thiết Quản lý hệ thống mạng không dây: Khi thiết lập mạng không dây để kết nối với mạng cục thông qua điểm truy nhập, cần thiết lập tham số như: Tên, nhận dạng dịch vụ (Service set identification - SSID), mật khẩu, cấp phép truy cập địa vật lý (MAC address), mã hóa liệu thông báo thông tin liên quan đến điểm truy nhập để quan sử dụng, thường xuyên thay đổi mật nhằm tăng cường công tác bảo mật Quản lý đăng nhập hệ thống: a) Các hệ thống thông tin cần giới hạn số hữu hạn lần đăng nhập sai liên tiếp Nếu liên tục đăng nhập sai vượt số lần quy định, hệ thống phải tự động khóa tài khoản lập tài khoản khoảng thời gian định trước tiếp tục cho đăng nhập Tăng cường áp dụng biện pháp bảo mật hai lớp (2step verification) ứng dụng quan trọng bảo mật thông tin b) Tổ chức theo dõi, kiểm soát tất phương pháp truy nhập từ xa (quay số, Internet, ) tới hệ thống thông tin, bao gồm truy nhập có chức quản trị, tăng cường sử dụng mạng riêng ảo có nhu cầu làm việc từ xa; có biện pháp khố, chặn quyền truy nhập tới hệ thống tài khoản có dấu hiệu bị rị rỉ thơng tin truy cập c) Yêu cầu người dùng đặt mật với độ an tồn cao (có chữ thường, có chữ in hoa, có số ký tự đặc biệt @, #, !, ) thường xuyên thay đổi mật lần/tháng Chống mã độc, vi rút: Lựa chọn, triển khai phần mềm chống vi rút, thư rác có hiệu máy chủ, máy trạm, thiết bị, phương tiện kỹ thuật mạng, hệ thống thông tin quan trọng như: Cổng/Trang thông tin điện tử, thư điện tử, cửa điện tử, ; đồng thời, thường xuyên cập nhật phiên mới, vá lỗi phần mềm chống vi rút, nhằm kịp thời phát hiện, loại trừ mã độc máy tính (vi rút, trojan, worms, ) Tổ chức quản lý tài nguyên: Kiểm tra, giám sát chức chia sẻ thông tin Tổ chức cấp phát tài nguyên máy chủ theo danh mục thư mục cho phòng/ban; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục máy sử dụng, thực việc chia sẻ tài nguyên cần phải sử dụng mật để bảo vệ thông tin Các biện pháp kỹ thuật bảo đảm an toàn cho website: a) Xác định cấu trúc thiết kế website: Quản lý toàn phiên mã nguồn, phối hợp với đơn vị thực dịch vụ thuê máy chủ (hosting) tổ chức mô hình trang web hợp lý tránh khả cơng leo thang đặc quyền Yêu cầu đơn vị cung cấp dịch vụ hosting phải cài đặt hệ thống phòng vệ tường lửa (firewall), thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) mức ứng dụng web (WAF - Web Application Firewall) b) Vận hành ứng dụng website an toàn: Các website đưa vào sử dụng bổ sung thêm chức năng, dịch vụ công cần đánh giá kiểm định nhằm tránh lỗi bảo mật thường xảy ứng dụng web như: SQL Injection, Cross-Site Scripting (xss), Broken Authentication and Session Management, Insecure Direct Object References, Cross Site Request Forgery (CSRF), Security Misconfiguration, Failure to Restrict URL Access, Insecure Cryptographic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects and Forwards lỗi khác c) Thiết lập cấu hình sở liệu an tồn: - Ln cập nhật vá lỗi cho hệ quản trị sở liệu; sử dụng cơng cụ để đánh giá, tìm kiếm lỗ hổng máy chủ sở liệu; - Gỡ bỏ sở liệu không sử dụng; - Có chế lưu liệu, tài liệu hóa trình thay đổi cấu trúc cách xây dựng nhật ký sở liệu với nội dung như: Nội dung thay đổi, lý thay đổi, thời gian, vị trí thay đổi d) Phối hợp với nhà cung cấp dịch vụ hosting xây dựng phương án phục hồi website, ý tháng thực việc lưu toàn nội dung trang web 01 lần bao gồm mã nguồn, sở liệu, liệu phi cấu trúc để bảo đảm có cố khắc phục thời gian ngắn Thiết lập chế lưu phục hồi hệ thống: Hệ thống thông tin phải có chế lưu thơng tin mức người dùng mức hệ thống, lưu trữ nơi an toàn; đồng thời, thường xuyên kiểm tra để đảm bảo tính sẵn sàng phục hồi tồn vẹn thơng tin Có giải pháp lưu dự phịng liệu chỗ khác nhằm tránh tình trạng hỏa hoạn, thiên tai, lũ lụt Xử lý khẩn cấp: Khi phát hệ thống máy chủ bị công, thông qua dấu hiệu luồng tin tăng lên bất ngờ, nội dung trang chủ bị thay đổi, hệ thống hoạt động chậm khác thường, cần thực bước sau: a) Bước 1: Ngắt kết nối máy chủ khỏi mạng b) Bước 2: Sao chép logfile toàn liệu hệ thống thiết bị lưu trữ (phục vụ cho công tác phân tích) c) Bước 3: Khơi phục hệ thống cách chuyển liệu dự phòng (backup) để hệ thống hoạt động d) Bước 4: Thông báo cho quan chức để hướng dẫn, hỗ trợ Hệ thống thông tin đơn vị cần có chế ngăn chặn hạn chế cố gây công từ chối dịch vụ (DoS, DDoS) Sử dụng thiết bị đặt biên mạng để lọc gói tin nhằm bảo vệ thiết bị bên trong, tránh bị ảnh hưởng trực tiếp công từ chối dịch vụ Đối với hệ thống thông tin cho phép truy nhập công cộng thực bảo vệ cách tăng dung lượng, băng thơng thiết lập hệ thống dự phịng Điều 10 Xây dựng quy chế nội đảm bảo an tồn thơng tin Các đơn vị phải ban hành điều chỉnh, bổ sung quy chế nội bộ, đảm bảo quy định rõ vấn đề sau: a) Mục tiêu phương hướng thực công tác đảm bảo an tồn, an ninh cho hệ thống thơng tin b) Nguyên tắc phân loại quản lý mức độ ưu tiên tài nguyên hệ thống thông tin (phần mềm, liệu, trang thiết bị) c) Quản lý phân quyền trách nhiệm cá nhân tham gia sử dụng hệ thống thông tin d) Quản lý điều hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng cách an toàn đ) Kiểm tra, khắc phục cố an tồn, an ninh hệ thống thơng tin cách sử dụng biện pháp Quy chế e) Nguyên tắc chung sử dụng an toàn hiệu cá nhân tham gia sử dụng hệ thống thông tin g) Báo cáo tổng hợp tình hình an tồn, an ninh hệ thống thông tin theo định kỳ h) Các biện pháp tổ chức thực Các đơn vị xây dựng quy chế ATTT cần tiêu chuẩn kỹ thuật quản lý an toàn Bộ tiêu chuẩn TCVN 7562:2005 ISO/IEC 17799:2005 Phụ lục I kèm theo Quy chế này, để áp dụng cho phù hợp Văn phòng Bộ xây dựng Quy chế ATTT phạm vi bao gồm Vụ quan Bộ Điều 11 Xây dựng áp dụng quy trình đảm bảo an tồn thông tin Các đơn vị phải xây dựng áp dụng quy trình đảm bảo an tồn, an ninh cho hệ thống thông tin nhằm giảm thiểu nguy gây cố, tạo điều kiện cho việc khắc phục truy vết trường hợp có cố xảy Nội dung quy trình chia làm bước như: a) Lập kế hoạch bảo vệ an toàn, an ninh cho hệ thống thông tin b) Xây dựng hệ thống bảo vệ ATTT c) Quản lý vận hành hệ thống bảo vệ ATTT d) Kiểm tra đánh giá hoạt động hệ thống bảo vệ ATTT đ) Bảo trì nâng cấp hệ thống bảo vệ ATTT Các đơn vị tham khảo bước để xây dựng khung quy trình đảm bảo ATTT cho hệ thống thơng tin Phụ lục II - Các bước để xây dựng khung quy trình đảm bảo an tồn thơng tin Phụ lục INhững nội dung ISO 17799:2005 dùng để xây dựng quy chế nội đảm bảo an tồn thơng tin cho hệ thống thơng tin kèm theo Quy chế Chương III TỔ CHỨC THỰC HIỆN Điều 12 Trách nhiệm Cục trưởng Công nghệ thông tin Tham mưu Bộ trưởng công tác bảo đảm ATTT quan Bộ GDĐT chịu trách nhiệm trước Bộ trưởng việc đảm bảo ATTT cho hệ thống CNTT giao phụ trách Hàng năm xây dựng kế hoạch, tổng hợp kinh phí để triển khai công tác ATTT hoạt động ứng dụng CNTT quan Bộ GDĐT Phối hợp với đơn vị thuộc Bộ triển khai nhiệm vụ ATTT Xây dựng triển khai chương trình đào tạo, hội nghị tuyên truyền ATTT công tác quản lý nhà nước phạm vi quan Bộ Thông báo đến quan, đơn vị biết có biện pháp phịng ngừa, ngăn chặn nguy ATTT vi rút, phần mềm gián điệp, gây Chủ trì, phối hợp với quan liên quan thành lập đoàn kiểm tra, tiến hành kiểm tra định kỳ đột xuất phát có dấu hiệu, hành vi vi phạm ATTT Tuỳ theo mức độ cố, phối hợp với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) quan chức ứng cứu cố ATTT Thực nghĩa vụ thành viên mạng lưới ứng cứu cố mạng Internet Hàng năm, tổng hợp báo cáo Bộ trưởng tình hình triển khai ATTT quan Bộ đơn vị trực thuộc Điều 13 Trách nhiệm thủ trưởng đơn vị thuộc Bộ Đảm bảo ATTT cho hệ thống CNTT thuộc đơn vị quản lý, vận hành Tuyên truyền, nâng cao nhận thức cho cán bộ, công chức, viên chức nguy ATTT; tổ chức thực quy định Quy chế chịu trách nhiệm trước Bộ trưởng công tác đảm bảo ATTT đơn vị Bố trí cán quản lý, cán kỹ thuật phù hợp chịu trách nhiệm đảm bảo ATTT cho hệ thống CNTT; Lập kế hoạch đào tạo, bồi dưỡng cho cán làm công tác ATTT Ban hành qui định đảm bảo ATTT cho hệ thống CNTT đơn vị phụ trách vận hành Khi có cố có nguy ATTT phải kịp thời đạo khắc phục Trường hợp không khắc phục phối hợp với Cục CNTT để hướng dẫn, hỗ trợ Báo cáo tình hình kết thực công tác đảm bảo ATTT đơn vị định kỳ hàng năm gửi Cục Công nghệ thông tin trước ngày 15 tháng 11 để tổng hợp báo cáo lãnh đạo Bộ Điều 14 Trách nhiệm cán bộ, công chức, viên chức đơn vị trực thuộc Bộ Trách nhiệm cán phụ trách ATTT: a) Chịu trách nhiệm triển khai biện pháp quản lý vận hành, quản lý kỹ thuật, tham mưu xây dựng quy định đảm bảo an toàn, an ninh cho hệ thống thông tin quan, đơn vị theo Quy chế phân công Thủ trưởng đơn vị 10 b) Phối hợp với cá nhân, đơn vị có liên quan việc kiểm tra, phát khắc phục cố ATTT Trách nhiệm cán bộ, công chức, viên chức: a) Chấp hành nghiêm túc quy định ATTT quan, đơn vị, Quy chế quy định khác pháp luật; nâng cao ý thức cảnh giác trách nhiệm đảm bảo an ninh thông tin quan, đơn vị b) Khi phát cố phải báo với cấp phận phụ trách ATTT để kịp thời ngăn chặn, xử lý c) Tích cực tham gia chương trình đào tạo, hội nghị ATTT Bộ GDĐT đơn vị chuyên môn tổ chức Điều 15 Xử lý vi phạm Các quan, đơn vị, cá nhân có hành vi vi phạm Quy chế này, tùy theo tính chất, mức độ vi phạm mà bị xử lý theo quy định pháp luật Điều 16 Điều khoản thi hành Cục Cơng nghệ thơng tin có trách nhiệm giúp lãnh đạo Bộ đạo đơn vị triển khai thực Quy chế Trong trình thực hiện, có vướng mắc, phát sinh, quan, đơn vị, địa phương kịp thời phản ánh Cục Công nghệ thông tin để tổng hợp, báo cáo Bộ trưởng xem xét sửa đổi, bổ sung quy chế cho phù hợp./ Nơi nhận: - Như Điều 3; - Bộ trưởng (để báo cáo); - Các Thứ trưởng (để phối hợp đạo); - Bộ Thông tin Truyền thông (để biết); - Website Bộ; - Lưu: VT, CNTT KT BỘ TRƯỞNG THỨ TRƯỞNG (đã ký) Nguyễn Vinh Hiển 11 BỘ GIÁO DỤC VÀ ĐÀO TẠO CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM _ Độc lập - Tự - Hạnh phúc ––––––––––––––––––––––– PHỤ LỤC I Những nội dung ISO 17799:2005, dùng để xây dựng quy chế nội đảm bảo an tồn thơng tin cho hệ thống thơng tin (Ban hành kèm theo Quyết định số 5809/QĐ-BGDDT ngày 11 tháng 12 năm 2014 Bộ trưởng Bộ Giáo dục Đào tạo) Chính sách an tồn thơng tin: Chỉ thị hướng dẫn an tồn thơng tin An ninh tổ chức: a) Hạ tầng an ninh thông tin: Quản lý an ninh thông tin tổ chức b) An ninh bên truy cập thứ ba: Duy trì an ninh cho phương tiện xử lý thông tin tổ chức tài sản thông tin bên thứ ba truy cập Phân loại kiểm soát tài sản: a) Trách nhiệm giải trình tài sản: Duy trì bảo vệ tài sản b) Phân loại thông tin tài sản: Đảm bảo loại tài sản có mức bảo vệ thích hợp An ninh cá nhân: a) An ninh định nghĩa công việc nguồn nhân lực: Giảm rủi ro hành vi sai sót người b) Đào tạo người sử dụng: Đảm bảo người sử dụng nhận thức mối đe dọa vấn đề liên quan đến an ninh thơng tin c) Đối phó với cố an ninh: Giảm thiểu thiệt hại từ trục trặc cố an ninh, theo dõi, rút kinh nghiệm An ninh môi trường vật lý: a) Phạm vi an ninh: Ngăn ngừa việc truy cập, gây hại can thiệp trái phép vào vùng an ninh thông tin nghiệp vụ b) An ninh thiết bị: Để tránh mát, lỗi cố khác liên quan đến tài sản gây ảnh hưởng tới hoạt động nghiệp vụ c) Kiểm soát chung: Ngăn ngừa làm hại đánh cắp thông tin phương tiện xử lý thông tin Quản lý truyền thông hoạt động: a) Thủ tục vận hành trách nhiệm vận hành hệ thống: Đảm bảo phương tiện xử lý thông tin hoạt động an toàn b) Lập kế hoạch hệ thống công nhận: Giảm thiểu rủi ro lỗi hệ thống c) Bảo vệ chống lại phần mềm cố ý gây hại: Bảo vệ tính tồn vẹn phần mềm thơng tin d) Cơng việc quản lý: Duy trì tính tồn vẹn sẵn sàng dịch vụ truyền đạt xử lý thông tin đ) Quản trị mạng: Đảm bảo việc an tồn thơng tin mạng bảo vệ sở hạ tầng kỹ thuật e) Trao đổi thông tin: Ngăn ngừa mát, thay đổi sử dụng sai thông tin trao đổi đơn vị Kiểm soát truy cập: a) Các yêu cầu nghiệp vụ kiểm soát truy cập: Kiểm soát truy cập thông tin b) Quản lý truy cập người dùng: Để tránh truy cập không cấp phép vào hệ thống c) Trách nhiệm người dùng: Để tránh truy cập người dùng không cấp phép d) Kiểm soát truy cập mạng: Bảo vệ dịch vụ mạng đ) Kiểm soát truy cập hệ điều hành: Tránh truy cập vào máy tính khơng phép e) Kiểm soát truy cập ứng dụng: Tránh truy cập trái phép vào hệ thống g) Giám sát truy cập hệ thống giám sát sử dụng hệ thống: Để phát hoạt động không cấp phép h) Kiểm sốt truy cập từ xa: Đảm bảo an tồn thông tin sử dụng phương tiện di động Phát triển trì hệ thống: a) Yêu cầu an ninh hệ thống: Để đảm bảo yêu cầu an ninh đưa vào trình xây dựng hệ thống b) An ninh hệ thống ứng dụng: Để ngăn ngừa mát, thay đổi lạm dụng sở liệu người sử dụng hệ thống ứng dụng c) Các kiểm sốt mật mã hóa: Để bảo vệ tính tin cậy, xác thực tồn vẹn thơng tin d) An ninh file hệ thống: Đảm bảo dự án công nghệ thông tin hoạt động hỗ trợ quản lý cách an toàn đ) An ninh trình hỗ trợ phát triển: Duy trì an ninh phần mềm thơng tin hệ thống ứng dụng Sự tuân thủ: a) Tuân thủ yêu cầu pháp lý: Để tránh vi phạm Luật Hình Dân sự, nghĩa vụ có tính luật pháp, ngun tắt u cầu an ninh b) Sốt xét sách an ninh yêu cầu kỹ thuật để đảm bảo việc tuân thủ hệ thống với sách tiêu chuẩn an ninh tổ quốc c) Xem xét kiểm tra hệ thống: Để tối đa tính hiệu lực để giảm thiểu can thiệp tới quy trình kiểm tra hệ thống _ BỘ GIÁO DỤC VÀ ĐÀO TẠO CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM _ Độc lập - Tự - Hạnh phúc ––––––––––––––––––––––– PHỤ LỤC II Các bước để xây dựng khung quy trình đảm bảo an tồn thơng tin (Ban hành kèm theo Quyết định số 5809/QĐ-BGDDT ngày 11 tháng 12 năm 2014 Bộ trưởng Bộ Giáo dục Đào tạo) Bước Lập kế hoạch bảo vệ an toàn cho hệ thống thông tin - Thành lập phận quản lý an tồn thơng tin - Xây dựng định hướng cho cơng tác đảm bảo an tồn thơng tin rõ: + Mục tiêu ngắn hạn dài hạn + Phương hướng văn pháp quy, tiêu chuẩn cần tuân thủ tham khảo + Ước lượng nhân lực kinh phí đầu tư - Lập kế hoạch xây dựng hệ thống bảo vệ an toàn thông tin: + Xác định phân loại nguy gây cố an tồn thơng tin + Rà soát lập danh sách đối tượng cần bảo vệ với mô tả đầy đủ về: Nhiệm vụ; chức năng; mức độ quan trọng đặc điểm đối tượng (đối tượng phần mềm, máy chủ, quy trình tác nghiệp thuộc quan, đơn vị, ) + Xây dựng phương án đảm bảo an toàn cho đối tượng danh sách cần bảo vệ: Nguyên tắc quản lý, vận hành; giải pháp bảo vệ khắc phục cố + Liên lạc phối hợp chặt chẽ với Cục Công nghệ thông tin, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) quan, tổ chức nghiên cứu cung cấp dịch vụ an toàn mạng + Lập dự trù kinh phí đầu tư cho hệ thống bảo vệ Bước Xây dựng hệ thống bảo vệ an tồn thơng tin - Tổ chức đội ngũ nhân viên phụ trách, đủ lực đảm bảo an tồn an ninh thơng tin - Xây dựng hệ thống bảo vệ an tồn thơng tin theo kế hoạch Bước Quản lý vận hành hệ thống bảo vệ an tồn thơng tin - Vận hành quản lý chặt chẽ trang thiết bị, phần mềm theo quy định đặt - Khi phát cố cần nhanh chóng xác định ngun nhân, tìm biện pháp khắc phục báo cáo cố cho quan chức - Cài đặt đầy đủ thường xuyên cập nhật phần mềm theo hướng dẫn nhà cung cấp Bước Kiểm tra đánh giá hoạt động hệ thống bảo vệ an tồn thơng tin - Thường xuyên kiểm tra giám sát hoạt động hệ thống bảo vệ an tồn thơng tin nói riêng tồn hệ thống thơng tin nói chung - Báo cáo tổng kết tình hình theo định kỳ Bước Bảo trì nâng cấp hệ thống bảo vệ an tồn thơng tin Thường xun kiểm tra bảo trì hệ thống bảo vệ an tồn thơng tin Cần nhanh chóng mở rộng, nâng cấp thay đổi cần thiết _