Đăng ký
  1. Trang chủ
  2. » Tất cả

CV-1202-Phu-luc-cap-do-ATTT-(1)

23 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Ký bởi: Sở Thông tin Truyền thông Email: stttt@gialai.gov.vn Cơ quan: Tỉnh Gia Lai Ngày ký: 20.11.2018 09:20:30 +07:00 UBND TỈNH GIA LAI SỞ THÔNG TIN VÀ TRUYỀN THÔNG CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Số: 1202/STTTT-CNTT Gia Lai, ngày 19 tháng 11 năm 2018 V/ Kí ử: - Vă ò Tỉ ủy; - Vă ò Đ Đạ b ểu Quố ỉ ; - Vă ò H â â ỉ ; - Vă ò Ủy b â â ỉ ; - Vă ò Ủy b MTTQ V N m ỉ ; - B C ỉ uy Quâ s ỉ G L ; -C ỉ G L ; - Các Sở, b , u ỉ ; -C H ,Đ ể ủ ỉ ; - Ủy b â â uy , ã, ố T ỉ ủ UBND KGVX ngày 19/7/2018 ề n ây Hồ sơ ề u m ă mạ ủ u , ề u , ể u ạm u ây Hồ sơ ề u ẩm uy ( ố , u ẩm uyề u 3, ặ 5) T , Hồ sơ ề u y u 11930:2017 ề y u u b ề ẩm uyề uy e y 01/7/2016 ủ C í ủ ềb T uy m T n ể Hồ sơ ề u sơ ỉ ố , e u Công vă số 2035/VPố mb b ỉ ,n m , Sở T T uyề u ố s u: ủ ố ,s u Sở T Hồ sơ ề u uy e uy ( b m u e u uẩ ố uy N số m ố b u T uyề 1, 2) ặ ẩm ố Hồ sơ ề uố TCVN e , 85/2016/NĐ-CP e m e s u ề Sở T uy T uyề Sở T -P T uyề ây Hồ sơ ề u I: M số u m e m ể số u : : c -P II: H sơ ề u sơ m i i ăng t i t n ng th ng tin i n t t i a chỉ: http://stttt.gialai.gov.vn, m c Văn b n/Văn b n Sở TTTT/Công ngh thông tin i nt T u n, u m ề u , P ò C – Sở T T uyề ể ố (ĐT: 02693 719 653, Em : quyenntn.stttt@gialai.gov.vn, ặ Đ/ N uy T N Quy Sở T T uyề ề u , u âm, ể / Nơi nhận: -N ; - UBND ỉ (B ; - Trung tâm CNTT&TT; - L u: VT, P CNTT -2- Ký bởi: Sở Thông tin Truyền thông Email: stttt@gialai.gov.vn Cơ quan: Tỉnh Gia Lai Ngày ký: 20.11.2018 09:22:46 +07:00 : Ể (K t v s t v ru 9/11/2018 t C c t u t n Ch quản hệ th t t , Đơ vị vận hành hệ th ng thông ti , Đơ vị chuyên trách v công nghệ t t , Đơ vị chuyên trách v an tồn thơng tin, Bộ phận chun trách v an tồn thơng tin địn n ĩa, iải thích Điều Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 Chính phủ bảo đảm an tồn thơng tin theo cấp độ (gọi tắt Nghị định số 85/2016/NĐ-CP) Điều 5, Điều T ôn tư số 03/2017/TT-BTTTT ngày 24/4/2017 Bộ Thông tin Truyền thông quy định chi tiết ướng dẫn số điều Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 Chính phủ bảo đảm an tồn hệ thống thơng tin theo cấp độ (gọi tắt T ôn tư số 03/2017/TT-BTTTT) Việc phân loại thông tin hệ thốn t ôn tin quy định Điều Nghị định số 85/2016/NĐ-CP ướng dẫn Điều T ôn tư số 03/2017/TT-BTTTT; nguyên tắc xác định cấp độ, việc x c định cấp độ thuyết minh cấp độ an toàn hệ thống thông tin thực t eo quy địn Điều 5, Điều 7, Điều 8, Điều 9, Điều 10, Điều 11 Nghị định số 85/2016/NĐ-CP ướng dẫn Điều T ôn tư số 03/2017/TT-BTTTT; việc xây dựn p ươn n bảo đảm an tồn thơng tin theo cấp độ tươn ứng phải đ p ứng yêu cầu, nội dun quy định Điều 19 Nghị định số 85/2016/NĐ-CP ướng dẫn Điều 8, Điều T ôn tư số 03/2017/TT-BTTTT Thẩm quyền thẩm định phê duyệt cấp độ; hồ sơ đề xuất cấp độ, hồ sơ p ê duyệt đề xuất cấp độ; trình tự thủ tục x c địn , x c định lại cấp độ, thẩm định, phê duyệt hồ sơ đề xuất cấp độ an tồn hệ thốn t ơn tin quy địn t Điều 12 đến Điều 18 Nghị định số 85/2016/NĐ-CP ướng dẫn t Điều 14 đến Điều 16 T ôn tư số 03/2017/TT-BTTTT Đối với ệ t ốn t ôn tin đề xuất cấp độ 1, 2, c c quan, đơn vị, đề n ị l p t eo mẫu t i T ôn tin Truyền t ôn 01 c n 02 sơ ợp lệ đ t ẩm địn Đối với hệ thốn t ôn tin đề xuất cấp độ 4, 5, đơn vị v n hành ệ t ốn thông tin g i 01 sơ ợp lệ T ôn tin Truyền t ôn đ xem x t, c iến, trình cấp có thẩm quyền thẩm định, phê duyệt Ề TH NG THÔNG TIN (K t v s t H NG D Ề XUẤT CẤ v ru Ấ CẤ t AN TOÀN H Ả /11/2018 ) BẢN XÂY D NG AN TỒN H TH NG THƠNG TIN Hồ sơ đề xuất cấp độ gồm 02 loại tài liệu cứng: Tài liệu thuyết minh Hồ sơ đ xuất cấp độ Tài liệu thiết kế hệ th ng N oài ra, c t êm văn ý kiến mặt chuyên môn đơn vị chun trách an tồn thơng tin chủ quản hệ thống thông tin (S Thông tin Truyền thông) hệ thốn t ôn tin đề xuất cấp độ cấp độ Tài liệu thuyết minh Hồ sơ đề xuất cấp độ, bao gồm nội dung: a) Mô tả, thuyết minh tổng quan hệ thống thông tin b) Thuyết minh việc đề xuất cấp độ c c tiêu c pháp lu t c) Thuyết p ươn t eo quy định n bảo đảm an tồn thơng tin theo cấp độ tươn ứng Tài liệu thiết kế hệ thống nh ng tài liệu sau: a) Đối với dự n đầu tư xây dựn oặc m rộn , nân cấp ệ t ốn t ôn tin: T iết ế sơ tài liệu có giá trị tươn đươn ; b) Đối với ệ t ốn t ôn tin đan v n àn : T iết ế t i côn cấp c t ẩm quyền p ê duyệt oặc tài liệu c i trị tươn đươn K i xây dựn Hồ sơ đề xuất cấp độ cần c ú , ệ t ốn t ôn tin lớn c n iều ệ t ốn t àn p ần; tron đ , c c ệ t ốn t àn p ần quản l , c ia sẻ tần dùn c un , c cùn đơn vị v n àn c t tri n p ươn n bảo đảm an tồn t ơn tin c un c o tồn tần đ , t ì c t xây dựn Hồ sơ đề xuất cấp độ c un c o c c ệ t ốn t ôn tin t àn p ần C ỉ xây dựn Hồ sơ đề xuất cấp độ riên biệt tron trườn ợp độc l p tần , c ế quản l đơn vị v n àn Hồ sơ đề xuất cấp độ t eo ướng dẫn sau: -2- CHỦ QUẢN H TH NG THÔNG TIN Ị V N HÀNH H TH NG THÔNG TIN TÀI LI U THUYẾT MINH H Ề XUẤT CẤ THÔNG TIN A Gia Lai - 2018 -3- CHO H TH NG PHẦN I THUYẾT MINH TỔNG QUAN VỀ H TH NG THÔNG TIN Thông tin Chủ quản hệ thống thông tin Hướng dẫn: Cung cấp thông tin v Ch quản hệ th ng thông tin, bao gồm: - Tên Tổ chức: (Ví dụ) Cơ quan A - Số Quyết định thành l p/Quy định chức năn , n iệm vụ quyền hạn - N ười đại diện: Họ tên, chức vụ - Địa chỉ: Địa trụ s quan - Thông tin liên hệ: Số điện thoại, t điện t hông tin ơn vị vận hành Hướng dẫn: Cung cấp thông tin v vị vận hành, bao gồm: - Tên Đơn vị v n hành: (Ví dụ) Đơn vị A - Số Quyết định thành l p/Quy định chức năn , n iệm vụ quyền hạn - N ười đại diện: Họ tên, chức vụ - Địa chỉ: Địa trụ s đơn vị - Thông tin liên hệ: Số điện thoại, t điện t rường hợp hệ th ng thơng tin lớn có nhi u vị vận hành khác cung cấp đầ đ thơng tin c vị vận hành Mô tả phạm vi, quy mô hệ thống Hướng dẫn: Mô tả phạm vi, quy mô, thành phần ứng dụng, dịch vụ v đ i tượng cung cấp dịch vụ c a Hệ th ng Chú ý hệ th ng thơng tin bao gồm nhi u hệ th ng thông tin thành phần thành phầ tr ó t ể cung cấp ứng dụng, dịch vụ khác Ví dụ: - Phạm vi, quy mô hệ thống: Hệ thốn t ôn tin A thiết l p đ phục vụ công tác đạo điều hành, cung cấp thông tin cung cấp dịch vụ công trực tuyến tỉn /cơ quan A - Đối tượng phục vụ hệ thốn : Cơ quan, tổ chức, doanh nghiệp, n ười dân địa bàn tỉn /cơ quan A - Danh mục hệ thống thông tin thành phần/các dịch vụ cung cấp b i hệ thống A: + Hệ thống Quản l văn điều hành + Hệ thống thông tin c a điện t + Hệ thống Cổng/Trang t ôn tin điện t + Hệ thốn t điện t công vụ -4- + Hệ thốn Quản l tài sản côn + Hệ thống quản lý CBCCVC + Hệ thống quản lý công tác tra … Mô tả cấu trúc hệ thống Hướng dẫn: Mô tả cấu trúc c a Hệ th ng, bao gồm thông tin: a) Cấu trúc logic mơ tả thiết kế vùng mạng ó tr ệ th ; ướng kết n i mạng; thiết bị đầu cu i; thiết bị mạ rường hợp thiết bị vật lý đặt thành phần ảo hóa logic, hoạt độ ột thiết bị độc lập t ì sơ đồ logic thể thành phần ảo hóa logic thay cho thiết bị vật lý rường hợp hệ th ng thơng tin có cấu trúc đặc thù theo v ó vùng mạ đượ đư r tr tư s 03/2017/TT-BTTTT c a Bộ TT&TT v qu định chi tiết v ướng dẫn s đ u c a Nghị đị 85 Đ-CP ngày 01/7/2016 c a Chính ph v bả đảm an tồn hệ th ng thơng tin theo cấp độ (gọi tắt tư t ì v ệc mô tả cấu trúc c a hệ th t t mơ tả theo cấu trúc thực tế c a hệ th ng b) Cấu trúc vật lý mô tả thiết bị mạng, thiết bị đầu cu i có hệ th ng kết n i vật lý thiết bị c) Cung cấp danh mục thiết bị s dụng hệ th ng: Cung cấp thông tin v thiết bị mạng thiết bị đầu cu i có hệ th ng Bao gồm thông tin Tên thiết bị/Ch ng loại; Vị trí triể , trường hợp thiết bị vật lý chia thành thiết bị logic vị trí triển khai vị trí c a thiết bị logic d) Danh mục ứng dụng/dịch vụ cung cấp b i hệ th ng (bao gồm ứng dụng nghiệp vụ lý v v đ u , ột đ ệ t ,… v dịch vụ hệ th ng D , DH P, FTP… : u ấp thông tin ứng dụng/dịch vụ có hệ th ng bao gồm Tên dịch vụ; Máy ch triển khai/Vị trí triển khai/Hệ đ u hành máy ch ; Mụ đí s dụng dịch vụ Ví dụ 1: Mơ tả cấu trúc hệ thốn Hệ thốn A n sau: a) Sơ đồ logic tổng thể -5- Hình 1: Cấu trúc logic hệ thống A Các vùng mạn thiết kế n sau: + Vùng mạn biên thiết kế đ kết nối hệ thống mạng A mạng bên mạng Internet; bảo vệ hệ thống A t bên Internet Vùng mạng tri n khai hệ thống phịng chống cơng DDoS Thiết bị cung cấp cổng kết nối VPN + Vùn DMZ đặt máy chủ công cộng, cung cấp dịch vụ bên Internet Vùng mạng tri n khai thiết bị phòng chống xâm nh p IPS, thiết bị Web Application Firewall, thiết bị Anti-Spam + Vùng mạng quản trị đặt máy chủ quản trị máy chủ hệ thống + Vùng máy chủ nội đặt máy chủ nội bộ, cung cấp dịch vụ nội cho n ười s dụng hệ thống Vùng mạng tri n khai thiết bị phòng chống xâm nh p IPS, thiết bị Web Application Firewall, thiết bị tường l a c o C DL… + Vùng mạng nội đặt máy tính n ười s dụng b) Sơ đồ kết nối vật lý -6- Hình 2: Kết nối v t lý Hệ thống A c) Danh mục thiết bị sử dụng hệ thống STT Tên thiết bị/Chủng loại Router01/Cisco3 800 Vùng mạng biên Kết nối định tuyến động với Router 02 ISP Firewall01/SOPH OS Vùng DMZ Quản lý truy c p bảo vệ vùng mạng DMZ … Vị trí triển khai … Mục đích sử dụng … d) Danh mục ứng dụng/dịch vụ cung cấp hệ thống STT Tên dịch vụ Máy chủ triển khai Mục đích sử dụng Cung cấp ứng dụng quản l văn cho cán bên hệ thống; kết nối, liên thông với hệ thống liên quan Máy chủ Noibo01/ Hệ thống quản lý Vùng máy chủ nội văn điều bộ/ WindowServer hành 2012 Hệ thống thông Máy chủ Noibo02/ Cung cấp ứng dụng theo dõi, tin c a điện Vùng máy chủ nội quản lý thông tin tiếp nh n, giải -7- t bộ/ Centos7 TTHC bên hệ thống cung cấp thơng tin cơng khai DVCTT, tình trạng giải TTHC cho n ười s dụng bên Internet … … … PHẦN II THUYẾ Ề XUẤT CẤ AN TỒN H TH NG THƠNG TIN Danh mục hệ thống thông tin cấp độ đề xuất tương ứng Hướng dẫn: Việ xá định cấp độ c a hệ th hệ th x lý loại hình hệ th t t t t ứ vào loại thông tin K xá định cấp độ, ta không cần thiết phải liệt kê hết tiêu chí, mà đư t í v t í đ để xá định cấp độ cao rường hợp hệ th ng thông tin lớn, bao gồm nhi u thành phần khác nhau, cầ xá định loại thơng tin loại hình c a thành phầ tươ ứng Thành phần ó t í để đ xuất cấp độ cao định cấp độ an tồn thơng tin c a hệ th D đó, xá định cấp độ c a Hệ th ng thông tin cầ xá định thành phần hệ th ng thông tin tổng thể khớp vớ t í xá định cấp độ cấp cao Thành phần c a hệ th ng thơng tin phân chia nhi u hình thức khác nhau, miễn ta phân biệt thành phầ với thành phần khác hệ th t p â thực Thành phần c a hệ th ng phân theo ứng dụng/dịch vụ cụ thể đ ện t , Cổ t t đ ện t … ặc phân theo vùng mạng (Vùng DMZ, Vùng máy ch nội bộ,… chức (Hệ th só , ệ th ng truy n hình trực tuyế … c a thành phầ Khi thành phần hệ th phân chia theo ứng dụng/dịch vụ quy hoạch vào vùng mạng ứng dụng/dịch vụ quan trọng đị t í xá định cấp độ c a vùng mạ -8- Chú ý: Việc phân chia hệ th ng thông tin thành thành phần cần phả đảm bảo s lượng thành phần nhỏ, ản v đ để áp dụ t í để xá định cấp độ cho hệ th t t Ví dụ: Hệ thống thông tin thuộc phạm vi quản lý quan A bao ồm hệ thống thông tin với cấp độ đề xuất tươn ứng, bao gồm: STT Hệ thống Loại thơng tin xử lý Loại hình HTTT Phịng máy chủ/Trung tâm tích hợp d liệu quan, đơn vị Hệ thốn s hạ tầng thông tin dùng chung phục vụ hoạt động quan, tổ chức Phịng máy chủ/Trung tâm tích hợp d liệu quan, đơn vị Hệ thốn s hạ tầng thông tin dùng chung phục vụ hoạt động quan, tổ chức Hệ thống quản lý Thông văn điều hành riêng tỉnh Hệ thống thông tin phục vụ hoạt tin động nội quan n nước tỉnh Hệ thống c a Thông điện t tỉnh riêng Hệ thống thông tin phục vụ hoạt tin động nội quan n nước tỉnh Hệ thống thông Cổng/Trang thông Thông tin tin phục vụ tin điện t công cộng n ười dân, quan, đơn vị doanh nghiệp, -9- Cấp độ đề xuất ăn đề xuất Khoản 3, Điều Nghị định số 85/2016/NĐ-CP Khoản 3, Điều Nghị định số 85/2016/NĐ-CP Khoản 1, Điều Nghị định số 85/2016/NĐ-CP Khoản 1, Điều Nghị định số 85/2016/NĐ-CP Đi m a, Khoản 2, Điều Nghị định số 85/2016/NĐCP cung cấp thông tin DVC trực tuyến t mức độ tr xuống Hệ thống quản lý Thông CBCCVC riêng Hệ thốn s hạ tầng thông tin phục vụ hoạt động quan Hệ thống mạng nội - LAN quan Hệ t ốn Dịc côn trực tuyến Hệ thống thông tin phục vụ hoạt tin động nội quan n nước tỉnh Hệ t ốn t ôn vụ Thông tin tin p ục vụ công cộng n ười dân, doan n iệp Khoản 1, Điều Nghị định số 85/2016/NĐ-CP Khoản 3, Điều Nghị định số 85/2016/NĐ-CP Đi m a, Khoản 2, Điều Nghị định số 85/2016/NĐCP … Thuyết minh chi tiết hệ thống thông tin Hướng dẫn: Nội dung yêu cầu đ i với hệ th đượ đ xuất cấp độ cấp độ 5, theo khoả 4, Đ u tư B gồm nội dung: Xá định hệ th ng thơng tin khác có liên quan có kết n đến có ả ng quan trọng tới hoạt độ bì t ường c a hệ th t t đượ đ xuất; tr đó, xá định rõ mứ độ ả đến hệ th t t đ đ xuất cấp độ hệ th ng bị an tồn thơng tin; 2) Danh mụ đ xuất thành phần, thiết bị mạng quan trọng mứ độ quan trọng; 3) Thuyết minh v th ng ả ng; u công mạng, t t t đ i với hệ Đá h giá phạm vi mứ độ ả ng tới lợi ích cơng cộng, trật tự an tồn xã hội qu c phịng, an ninh qu c gia bị công mạng gây an tồn thơng tin hoặ đ ạn hoạt động; 5) Thuyết minh yêu cầu cần phải vận hành 24/7 không chấp nhận ngừng vận hành mà kế hoạ trước - 10 - Ví dụ: Đối với Hệ thống thông tin B đề xuất cấp độ sau: 1) Danh mục hệ thống thơng tin khác có kết nối c liên quan đến hệ thống thông tin B mức độ ản n đến hệ thống thông tin B hệ thống bị an tồn thơng tin: - Hệ thống mạng ISP, hệ thống có cố làm kết nối truy c p t xa t hệ thống thành phần hệ thống trung tâm qua kết nối VPN - Hệ thốn s d liệu quốc gia điện lực, hệ thống bị an toàn thông tin làm lộ lọt t ôn tin liên quan đến hoạt động kinh doanh, sản xuất, an tồn cơng trình Nhà máy Thủy điện/Cơng trình thủy lợi B (hệ thống bị phá hoại làm tổn hại nghiêm trọng) 2) Danh mục đề xuất thành phần, thiết bị mạng mức độ quan trọng: Thông tin xử lý Chức năng/ Mức độ quan trọng Router01 Tồn thơng tin t bên mạn trao đổi với mạng bên hệ thống trung tâm Kết nối hệ thống với mạng bên ngoài; làm toàn kết nối tới mạng bên hệ thống gặp cố Firewall01 Quản lý truy c p bảo vệ vùng mạng OT; làm ATTT cho hệ Thông tin vào/ra vùng mạng thống máy chủ điều n bị OT t mạng IT chiếm quyền điều n xảy cố SCADAServer01 Lưu tr quản l t ôn tin điều n hoạt động hệ thống T ôn tin điều n hoạt d liệu giám sát; làm ng ng hoạt động hệ thống d liệu động làm phá hoại d liệu giám sát hệ thống bị chiếm quyền điều n xảy cố STT Tên thiết bị 3) Thuyết minh c c n uy cơng mạng, an tồn t ơn tin hệ thống ản ng: - N uy công, chiếm quyền điều n t ơn qua c c m yếu an tồn thông tin máy chủ điều n làm ng ng hoạt động toàn hệ thống; - 11 - - N uy công mạn mã độc vào máy tính cán quản trị hệ thống, làm lộ lọt thông tin quản trị hệ thống, dẫn tới máy chủ hệ thống bị chiếm quyền điều n bị phá hủy; - N uy công t mạng IT (Information Technology) sang mạng OT (Operator Technology); - Mô tả c c n uy cơng khác (nếu có) 4) Đ n i p ạm vi mức độ ản ng tới lợi ích cơng cộng, tr t tự an tồn xã hội quốc phòng, an ninh quốc gia bị cơng mạng gây an tồn thơng tin i n đoạn hoạt động Ví dụ: Hệ thốn s dụn đ điều n hoạt độn bìn t ường Cơng trình Thủy điện/thủy điện B địa bàn tỉnh Q, bị phá hoại làm ng ng cung cấp điện cho toàn nhà máy, hộ dân địa bàn tỉnh, làm ản n đặc biệt nghiêm trọng tới lợi ích cơng cộng 5) Thuyết minh yêu cầu cần phải v n hành 24/7 không chấp nh n ng ng v n hành mà khơng có kế hoạc trước Ví dụ: Do đặc thù hệ thống cung cấp điện phục vụ sản xuất, kinh doanh nhà máy, doanh nghiệp địa bàn, đ yêu cầu hệ thống phải đảm bảo hoạt động 24/7 PHẦN III THUYẾ Á BẢ ẢM AN TỒN H TH NG THƠNG TIN Hướng dẫn chung: Đ i với hệ th ng thông tin/hệ th ng thành phầ độc lập v hạ tầ , vị vận hành sách quản lý xây dự p ươ bả đảm an tồn thơng tin riêng cho hệ th P ươ bả đả t t t đ i với hệ th ng thông tin mới, cần p ươ tr ển khai cụ thể xây dựng thiết lập hệ th ng Ví dụ để đáp ứng u cầu an tồn thơng tin s dụng giả p áp ì, p ươ tr ển khai P ươ bả đả t t t đ i với hệ th đư v quản lý vận hành, cần rõ yêu cầu đáp ứng mô tả ngắn gọn giải pháp p ươ tr ển khai Đ i với yêu cầu đáp ứng, cần mô tả p ươ dự kiến s dụng gì, kế hoạch lộ trình triể để đáp ứng yêu cầu an toàn - 12 - Để thuyết minh chi tiết việ đáp ứng yêu cầu t qu định tạ tư 3, ó thể tham khảo u cầu an tồn cụ thể Tiêu chuẩn qu c gia TCVN 11930:2017 v yêu cầu v an toàn hệ th ng thông tin theo cấp độ Yêu cầu quản lý Hướng dẫn: Tùy theo cấp độ đ xuất tươ ứng, thuyết t t t đáp ứng ứng yêu cầu quản lý cần: p ươ bả đảm - Đ i với hệ th ng thông tin xây dựng phải có dự thảo Chính sách an tồn thơng t đáp ứng yêu cầu lý đượ qu đị tr tư v thuyết minh t ướng dẫn tài liệu , Ch quản hệ th ng thông tin ban hành sau đư ệ th ng vào vận hành, khai thác - Đ i với hệ th t t đư v vận hành, khai thác phải có Chính sách an tồn thơng tin Quy chế bả đả t t t đáp ứng yêu cầu lý qu định Thô tư v thuyết t ướng dẫn tài liệu , Ch quản hệ th ng thông tin phê duyệt ban hành Thuyết p ươn n đ p ứng yêu cầu quản lý theo cấu trúc sau: 1.1 Mục tiêu, ngun tắc bảo đảm an tồn thơng tin 1.2 Trách nhiệm đơn vị chuyên trách an tồn thơng tin, cán làm an tồn t ôn tin, n ười s dụn đầu cuối, c c đối tượng thuộc phạm vi điều chỉnh sách an tồn thơng tin 1.3 Phạm vi sách an tồn thơng tin 1.4 Tổ chức bảo đảm an tồn thơng tin 1.5 Bảo đảm nguồn nhân lực 1.6 Quản lý thiết kế, xây dựng hệ thống (cấp độ tr lên) 1.7 Quản lý v n hành hệ thống - Quản lý an toàn máy chủ - Quản lý an toàn ứng dụng - Quản lý an toàn d liệu - Quản lý an toàn mạng (cấp độ tr lên) - Quản lý cố an toàn thơng tin - Quản l an tồn n ười s dụn đầu cuối Đ i với hệ th ng thông tin cấp độ tr lên cần bổ sung: - 13 - - Quản lý an toàn thiết bị đầu cuối - Quản lý phòng chống phần mềm độc hại - Quản lý giám sát an tồn hệ thống thơng tin - Quản l m yếu an tồn thơng tin 1.8 Ki m tra, đ n i quản lý rủi ro (cấp độ tr lên) Yêu cầu kỹ thuật Hướng dẫn: Tùy thuộ v đặ trư a hệ th ng cụ thể, việc thuyết minh p ươ bả đảm an tồn thơng tin thuyết minh cho phù hợp vớ đặc thù c a hệ th Ví dụ: rường hợp có hệ th ng thơng tin có tính chất đặ t ù ệ th đ u khiển cơng nghiệp, khơng có kết n i Internet, khơng phải thuyết p ươ phòng ch ng DDoS hay thiết kế vùng mạ DMZ… Chú ý: Một yêu cầu kỹ thuật thực nhi u p ươ á u Đ i với hệ th ng thông tin cấp độ 1,2 cấp độ để giảm thiểu p í đầu tư t ì để đáp ứng yêu cầu kỹ thuật không thiết phả đầu tư t ết bị chuyên dụng mà s dụng chia sẻ hoặ đư r p ươ tươ đươ Ví dụ: Yêu cầu v p ươ x lý cơng DDoS th dịch vụ xây dự p ươ x lý riêng c a mình, dự trê lực hệ th ng hiệ ó, t đầu tư thiết bị x lý công DDoS chuyên dụng Thuyết p ươn n đ p ứng yêu cầu kỹ thu t theo cấu trúc sau: 2.1 Bảo đảm an toàn mạng (cấp độ tr lên) a) Thiết kế hệ thống b) Ki m sốt truy c p t bên ngồi mạng c) Ki m soát truy c p t bên mạng d) Nh t ký hệ thống e) Phòng chống xâm nh p f) Phịng chống phần mềm độc hại mơi trường mạng g) Bảo vệ thiết bị hệ thống 2.2 Bảo đảm an toàn máy chủ a) Xác thực - 14 - b) Ki m soát truy c p c) Nh t ký hệ thống d) Phòng chống xâm nh p e) Phòng chống phần mềm độc hại f) X lý máy chủ chuy n giao 2.3 Bảo đảm an toàn ứng dụng a) Xác thực b) Ki m soát truy c p c) Nh t ký hệ thống d) Bảo m t thông tin liên lạc e) Chống chối bỏ 2.4 Bảo đảm an toàn liệu a) Nguyên vẹn d liệu b) Bảo m t d liệu c) ao lưu dự phòng ưu ý Nghiên cứu ướng dẫn Điều 8, Điều Phụ lục t đến T ôn tư số 03/2017/TT-BTTTT - 15 - Mẫu số 01: Văn đề nghị thẩm định phê duyệt hồ sơ đề xuất cấp độ 1, ( Ê Q , Ổ CHỨC) C NG HÒA XÃ H I CHỦ Ĩ T NAM ộc lập - Tự - Hạnh phúc - Số: ……… … , ngày tháng V/v đề nghị thẩm định phê duyệt hồ sơ đề xuất cấp độ an tồn HTTT Kính g i: T ơn tin Truyền t ôn Căn Lu t An tồn thơng tin mạng ngày 19/11/2015; (Căn văn ướng dẫn thi hành Lu t An tồn thơng tin mạn c c văn liên quan), (Tên quan, tổ chức) đề nghị thẩm định phê duyệt hồ sơ đề xuất cấp độ an toàn hệ thống thông tin: Phần Thông tin chung Tên hệ thống thông tin: Đơn vị v n hành hệ thống thông tin: Địa chỉ: Cấp độ an tồn hệ thốn t ơn tin đề xuất: Phần Hồ sơ kèm theo Tài liệu thuyết minh Hồ sơ đề xuất cấp độ (bao gồm: Thuyết minh tổng quan hệ thống thông tin; Thuyết minh việc đề xuất cấp độ tiêu chí theo quy định pháp lu t; Thuyết p ươn n bảo đảm an tồn thơng tin theo cấp độ tươn ứng) Tài liệu thiết kế hệ thống Đề nghị Nơi nhận: - N trên; - ………… T ôn tin Truyền t ôn xem xét thẩm định phê duyệt./ ẠI DI N CỦ Q AN, TỔ CHỨC (Ký, ghi rõ họ tên, d v dấu) - 16 - Mẫu số 02: Văn đề nghị thẩm định hồ sơ đề xuất cấp độ ( Ê Q , Ổ CHỨC) C NG HÒA XÃ H I CHỦ Ĩ T NAM ộc lập - Tự - Hạnh phúc - Số: ……… … , ngày tháng V/v đề nghị thẩm định hồ sơ đề xuất cấp độ an toàn HTTT Kính g i: T ơn tin Truyền t ơn Căn Lu t An tồn thơng tin mạng ngày 19/11/2015; (Căn văn ướng dẫn thi hành Lu t An tồn thơng tin mạn c c văn liên quan), (Tên quan, tổ chức) đề nghị xuất cấp độ an tồn hệ thống thơng tin: T ôn tin Truyền t ôn thẩm định hồ sơ đề Phần Thông tin chung Tên hệ thống thông tin: Đơn vị v n hành hệ thống thông tin: Địa chỉ: Cấp độ an tồn hệ thốn t ơn tin đề xuất: Phần Hồ sơ kèm theo Tài liệu thuyết minh Hồ sơ đề xuất cấp độ (bao gồm: Thuyết minh tổng quan hệ thống thông tin; Thuyết minh việc đề xuất cấp độ tiêu chí theo quy định pháp lu t; Thuyết p ươn án bảo đảm an tồn thơng tin theo cấp độ tươn ứng) Tài liệu thiết kế hệ thống Đề nghị Nơi nhận: - N trên; - ………… T ôn tin Truyền t ôn xem xét, thẩm định./ ẠI DI N CỦ Q (Ký, ghi rõ họ tên, d - 17 - , Ổ CHỨC v dấu) Mẫu số 03: Văn xin ý kiến chuyên môn hồ sơ đề xuất cấp độ 4, ( Ê Q , Ổ CHỨC) - C NG HÒA XÃ H I CHỦ Ĩ T NAM ộc lập - Tự - Hạnh phúc - Số: ……… … , ngày tháng V/v xin ý kiến chuyên môn hồ sơ đề xuất cấp độ an tồn HTTT Kính g i: T ơn tin Truyền t ơn Căn Lu t An tồn thơng tin mạng ngày 19/11/2015; (Căn c c văn ướng dẫn thi hành Lu t An tồn thơng tin mạng văn liên quan), (Tên quan, tổ chức) đề nghị T ôn tin Truyền t ôn cho ý kiến chuyên môn phù hợp đề xuất cấp độ p ươn n bảo đảm an tồn hệ thống thơng tin theo cấp độ hệ thống thông tin: Phần Thông tin chung Tên hệ thống thông tin: Đơn vị v n hành hệ thống thông tin: Địa chỉ: Cấp độ an tồn hệ thốn t ơn tin đề xuất: Phần Hồ sơ kèm theo Tài liệu thuyết minh Hồ sơ đề xuất cấp độ (bao gồm: Thuyết minh tổng quan hệ thống thông tin; Thuyết minh việc đề xuất cấp độ tiêu chí theo quy định pháp lu t; Thuyết p ươn n bảo đảm an tồn thơng tin theo cấp độ tươn ứng) Tài liệu thiết kế hệ thống Đề nghị Nơi nhận: - N trên; - ………… T ôn tin Truyền t ôn xem xét, cho ý kiến./ ẠI DI N CỦ Q (Ký, ghi rõ họ tên, d - 18 - , Ổ CHỨC v dấu) Mẫu số 04: Văn đề nghị thẩm định hồ sơ đề xuất cấp độ 4, ( Ê Q , Ổ CHỨC) - C NG HÒA XÃ H I CHỦ Ĩ T NAM ộc lập - Tự - Hạnh phúc - Số: ……… … , ngày tháng V/v đề nghị thẩm định hồ sơ đề xuất cấp độ an tồn HTTT Kính g i: (Bộ TT&TT/Bộ Quốc phịng/Bộ Cơng an) Căn Lu t An tồn thơng tin mạng ngày 19/11/2015; (Căn c c văn ướng dẫn thi hành Lu t An tồn thơng tin mạng văn liên quan), (Tên quan, tổ chức) đề nghị (Bộ TT&TT/Bộ Quốc phịng/Bộ Cơng an) thẩm định hồ sơ đề xuất cấp độ an toàn hệ thống thông tin: Phần Thông tin chung Tên hệ thống thông tin: Đơn vị v n hành hệ thống thông tin: Địa chỉ: Cấp độ an tồn hệ thống thơng tin đề xuất: Phần Hồ sơ kèm theo Tài liệu thuyết minh Hồ sơ đề xuất cấp độ (bao gồm: Thuyết minh tổng quan hệ thống thông tin; Thuyết minh việc đề xuất cấp độ tiêu chí theo quy định pháp lu t; Thuyết p ươn n bảo đảm an tồn thơng tin theo cấp độ tươn ứng) Tài liệu thiết kế hệ thống Ý kiến mặt chuyên môn đơn vị chuyên trách an tồn thơng tin chủ quản hệ thống thông tin K n đề nghị (Bộ TT&TT/Bộ Quốc phịng/Bộ Cơng an) xem xét, thẩm định./ Nơi nhận: - N trên; - ………… ẠI DI N CỦ Q (Ký, ghi rõ họ tên, d - 19 - , Ổ CHỨC v dấu) Mẫu số 05: Văn đề nghị phê duyệt hồ sơ đề xuất cấp độ 3, ( Ê Q , Ổ CHỨC) Ĩ C NG HÒA XÃ H I CHỦ T NAM ộc lập - Tự - Hạnh phúc - - … , ngày tháng Số: ……… V/v đề nghị phê duyệt hồ sơ đề xuất cấp độ an tồn HTTT Kính g i: (Cơ quan c ủ quản hệ thống thơng tin) Căn Lu t An tồn thông tin mạng ngày 19/11/2015; (Căn c c văn ướng dẫn thi hành Lu t An tồn thơng tin mạng văn liên quan), (Tên quan, tổ chức) đề nghị (Cơ quan c ủ quản hệ thống thông tin) phê duyệt hồ sơ đề xuất cấp độ an tồn hệ thống thơng tin: Phần Thông tin chung Tên hệ thống thông tin: Đơn vị v n hành hệ thống thông tin: Địa chỉ: Cấp độ an toàn hệ thốn t ôn tin đề xuất phê duyệt: Phần Hồ sơ kèm theo Tài liệu thuyết minh Hồ sơ đề xuất cấp độ (bao gồm: Thuyết minh tổng quan hệ thống thông tin; Thuyết minh việc đề xuất cấp độ tiêu chí theo quy định pháp lu t; Thuyết p ươn n bảo đảm an tồn thơng tin theo cấp độ tươn ứng) Tài liệu thiết kế hệ thống Kết thẩm định Hồ sơ đề xuất cấp độ K n đề nghị (Cơ quan c ủ quản hệ thống thông tin) xem xét, phê duyệt./ Nơi nhận: - N trên; - ………… ẠI DI N CỦ Q (Ký, ghi rõ họ tên, d - 20 - , Ổ CHỨC v dấu) Mẫu số 06: Văn đề nghị phê duyệt p ươn n bảo đảm an tồn t ơn tin hệ thống thơng tin cấp độ ( Ê Q , Ổ CHỨC) - Ĩ C NG HÒA XÃ H I CHỦ T NAM ộc lập - Tự - Hạnh phúc - Số: ……… … , ngày tháng V/v đề nghị phê duyệt p ươn n bảo đảm an toàn HTTT cấp độ Kính g i: (Cơ quan c ủ quản hệ thống thông tin) Căn Lu t An tồn thơng tin mạng ngày 19/11/2015; (Căn c c văn ướng dẫn thi hành Lu t An tồn thơng tin mạng văn liên quan), (Tên quan, tổ chức) đề nghị (Cơ quan c ủ quản hệ thống thông tin) phê duyệt p ươn n bảo đảm an tồn t ơn tin hệ thống thông tin cấp độ 5: Phần Thông tin chung Tên hệ thống thông tin: Đơn vị v n hành hệ thống thông tin: Địa chỉ: Cấp độ an toàn HTTT đề xuất phê duyệt p ươn n bảo đảm: Phần Hồ sơ kèm theo Tài liệu thuyết minh Hồ sơ đề xuất cấp độ (bao gồm: Thuyết minh tổng quan hệ thống thông tin; Thuyết minh việc đề xuất cấp độ tiêu chí theo quy định pháp lu t; Thuyết p ươn n bảo đảm an tồn thơng tin theo cấp độ tươn ứng) Tài liệu thiết kế hệ thống Kết thẩm định Hồ sơ đề xuất cấp độ (Bộ TT&TT/Bộ Quốc phịng/Bộ Cơng an) Kính đề nghị (Cơ quan c ủ quản hệ thống thông tin) xem xét, phê duyệt p ươn n bảo đảm an toàn thông tin./ Nơi nhận: - N trên; - ………… ẠI DI N CỦ Q (Ký, ghi rõ họ tên, d - 21 - , Ổ CHỨC v dấu)

Ngày đăng: 19/03/2022, 11:48

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w