1. Trang chủ
  2. » Thể loại khác

Quy chế bảo đảm an toàn, an ninh thông tin mạng

20 8 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 20
Dung lượng 1,09 MB

Nội dung

BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG TỔNG CỤC MÔI TRƢỜNG CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Số: 1194 /QĐ-TCMT Hà Nội, ngày 11 tháng năm 2019 QUYẾT ĐỊNH Ban hành Quy chế bảo đảm an tồn, an ninh thơng tin mạng Tổng cục Môi trƣờng TỔNG CỤC TRƢỞNG TỔNG CỤC MƠI TRƢỜNG Căn Luật An tồn thơng tin mạng ngày 19 tháng 11 năm 2015; Căn Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 Chính phủ bảo đảm an tồn hệ thống thông tin theo cấp độ; Căn Nghị định số 142/2016/NĐ-CP ngày 01 tháng năm 2016 Chính phủ ngăn chặn xung đột thông tin mạng; Căn Quyết định số 15/2018/QĐ-TTg ngày 12 tháng năm 2018 Thủ tướng Chính phủ quy định chức năng, nhiệm vụ, quyền hạn cấu tổ chức Tổng cục Môi trường trực thuộc Bộ Tài nguyên Môi trường; Căn Quyết định số 05/2017/QĐ-TTg ngày 16 tháng năm 2017 Thủ tướng Chính phủ ban hành Quy định hệ thống phương án ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc gia; Căn Quyết định số 632/2017/QĐ-TTg ngày 10 tháng năm 2017 Thủ tướng Chính phủ ban hành Danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an tồn thơng tin mạng hệ thống thơng tin quan trọng quốc gia; Căn Quyết định số 1622/2017/QĐ-TTg ngày 25 tháng 10 năm 2017 Thủ tướng Chính phủ việc phê duyệt Đề án đẩy mạnh hoạt động mạng lưới ứng cứu cố, tăng cường lực cho cán bộ, phận chuyên trách ứng cứu cố an tồn thơng tin mạng toàn quốc đến 2020, định hướng đến 2025; Căn Thông tư số 03/2017/TT-BTTTT ngày 24 tháng năm 2017 Bộ Thông tin Truyền thông quy định chi tiết hướng dẫn số điều Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 Chính phủ bảo đảm an tồn hệ thống thơng tin theo cấp độ; Căn Thông tư số 20/2017/TT-BTTTT ngày 12 tháng năm 2017 Bộ Thông tin Truyền thông quy định điều phối, ứng cứu cố an tồn thơng tin mạng tồn quốc; Căn Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 Bộ Thông tin Truyền thông quy định hoạt động giám sát an tồn hệ thống thơng tin; Căn Quyết định số 2582/2017/QĐ-BKHCN ngày 25 tháng năm 2017 Bộ trưởng Bộ Khoa học Công nghệ việc công bố Tiêu chuẩn quốc gia TCVN 11930:2017 yêu cầu an toàn hệ thống thông tin theo cấp độ; Căn Quyết định số 3313/2017/QĐ-BTNMT ngày 25 tháng 12 năm 2017 Bộ trưởng Bộ Tài nguyên Môi trường ban hành kế hoạch triển khai nhiệm vụ bảo đảm an toàn, an ninh thông tin Bộ Tài nguyên Môi trường; Căn Quyết định số 3210/2018/QĐ-BTNMT ngày 24 tháng 10 năm 2018 Bộ trưởng Bộ Tài nguyên Môi trường việc ban hành Quy chế đảm bảo an tồn, an ninh thơng tin mạng Bộ Tài ngun Môi trường; Căn Quyết định số 1866/2019/QĐ-BTNMT ngày 23 tháng năm 2019 Bộ trưởng Bộ Tài nguyên Môi trường phê duyệt đề xuất cấp độ phương án bảo đảm an tồn thơng tin cho hệ thống thơng tin; Xét đề nghị Chánh Văn phịng Tổng cục Môi trường, Giám đốc Trung tâm Thông tin Dữ liệu môi trường, QUYẾT ĐỊNH: Điều Ban hành kèm theo Quyết định Quy chế bảo đảm an tồn, an ninh thơng tin mạng Tổng cục Mơi trường Điều Quyết định có hiệu lực từ ngày ký Điều Chánh Văn phòng Tổng cục, Giám đốc Trung tâm Thông tin Dữ liệu môi trường, Thủ trưởng đơn vị trực thuộc Tổng cục Môi trường, công chức, viên chức, người lao động Tổng cục Mơi trường tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./ Nơi nhận: - Như Điều 3; - Bộ trưởng, Thứ trưởng; - Tổng cục trưởng, Phó Tổng cục trưởng; - Cục CNTT&DLTNMT; - Các đơn vị trực thuộc Tổng cục Môi trường; - Cổng thông tin điện tử Tổng cục Môi trường; - Lưu: VT, TTDL, H25 TỔNG CỤC TRƢỞNG Nguyễn Văn Tài QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG TỔNG CỤC MÔI TRƢỜNG (Kèm theo Quyết định số /QĐ-TCMT ngày tháng Tổng cục trưởng Tổng cục Môi trường) năm 2019 Chƣơng I QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh đối tƣợng áp dụng Phạm vi điều chỉnh: Quy chế quy định bảo đảm an toàn, an ninh thông tin mạng hoạt động Tổng cục Môi trường đơn vị trực thuộc Tổng cục Quy chế không quy định thông tin mật, quy định đảm bảo an toàn thông tin mật thực theo quy định hành Đối tượng áp dụng: a) Các đơn vị trực thuộc Tổng cục Môi trường cán bộ, công chức, viên chức người lao động thuộc đơn vị trực thuộc Tổng cục b) Cơ quan, tổ chức, cá nhân có kết nối vào hệ thống mạng Tổng cục Môi trường c) Cơ quan, tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin an tồn thơng tin mạng cho đơn vị trực thuộc Tổng cục Điều Giải thích từ ngữ Trong Quy chế này, từ ngữ hiểu sau: Bảo đảm an tồn thơng tin mức vật lý việc bảo vệ hệ thống hạ tầng kỹ thuật, phần mềm, ứng dụng sở liệu khỏi mối nguy hiểm vật lý (như: cháy, nổ; nhiệt độ, độ ẩm mức cho phép; thiên tai; điện; tác động học) gây ảnh hưởng đến hoạt động hệ thống Không gian mạng mạng lưới kết nối sở hạ tầng công nghệ thông tin, bao gồm mạng viễn thơng, mạng internet, hệ thống máy tính, hệ thống xử lý điều khiển thông tin, sở liệu, nơi người thực hành vi xã hội không bị giới hạn không gian thời gian Hạ tầng kỹ thuật tập hợp thiết bị tính tốn, lưu trữ, thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, đường truyền, mạng nội bộ, mạng diện rộng Trang thông tin điện tử trang thông tin tập hợp trang thông tin môi trường mạng phục vụ cho việc cung cấp, trao đổi thông tin Cổng thông tin điện tử điểm truy nhập quan, đơn vị môi trường mạng, liên kết, tích hợp kênh thơng tin, dịch vụ ứng dụng mà qua người dùng khai thác, sử dụng cá nhân hóa việc hiển thị thông tin 6 Phần mềm độc hại phần mềm có khả gây hoạt động khơng bình thường cho phần hay tồn hệ thống thơng tin thực chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ hệ thống thông tin Điều Nguyên tắc bảo đảm an toàn, an ninh thơng tin mạng Bảo đảm an tồn, an ninh thông tin yêu cầu bắt buộc, thường xuyên, liên tục, có tính xun suốt q trình liên quan đến thông tin thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống thông tin Bảo đảm an tồn, an ninh thơng tin tn thủ ngun tắc định Điều Luật An toàn thông tin mạng Điều Nghị định số 85/2016/NĐ-CP Các đơn vị trực thuộc Tổng cục có trách nhiệm bảo đảm an tồn, an ninh thơng tin mạng đơn vị mình; xác định rõ quyền hạn, trách nhiệm Thủ trưởng đơn vị, phận, cá nhân đơn vị công tác bảo đảm an tồn, an ninh thơng tin mạng Cán bộ, công chức, viên chức người lao động đơn vị trực thuộc Tổng cục có trách nhiệm bảo đảm an tồn, an ninh thơng tin phạm vi xử lý cơng việc theo quy định Nhà nước, Bộ Tài nguyên Môi trường Tổng cục Môi trường Các nhiệm vụ, dự án ứng dụng cơng nghệ thơng tin có cấu phần cơng nghệ thơng tin phải có ý kiến thẩm định nội dung liên quan đến an tồn, an ninh thơng tin, phê duyệt hồ sơ cấp độ phương án bảo đảm an tồn hệ thống thơng tin theo cấp độ trước phê duyệt Xử lý cố an tồn thơng tin phải phù hợp với trách nhiệm, quyền hạn bảo đảm lợi ích hợp pháp quan, đơn vị, cá nhân liên quan theo quy định pháp luật Điều Các hành vi bị nghiêm cấm Các hành vi bị nghiêm cấm quy định Điều Luật An tồn thơng tin mạng Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa mạng, thiết bị phát sóng điểm truy cập mạng khơng dây cá nhân vào mạng nội bộ; tự ý thay đổi, gỡ bỏ biện pháp an tồn thơng tin cài đặt thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần máy tính phục vụ cơng việc Tạo ra, cài đặt, phát tán phần mềm độc hại Cản trở hoạt động cung cấp dịch vụ hệ thống thông tin; ngăn chặn việc truy nhập đến thông tin quan, cá nhân khác môi trường mạng, trừ trường hợp pháp luật cho phép Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã thông tin quan, cá nhân khác môi trường mạng Các hành vi khác làm an tồn, bí mật thơng tin quan, cá nhân khác trao đổi, truyền đưa, lưu trữ môi trường mạng Chƣơng II QUY ĐỊNH BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG Điều Quản lý trang thiết bị công nghệ thông tin Giao, gắn trách nhiệm cho cá nhân tập thể quản lý, sử dụng trang thiết bị công nghệ thông tin Thực quy định, quy tắc trình sử dụng, giữ gìn bảo vệ trang thiết bị cơng nghệ thông tin trường hợp như: mang khỏi quan, cài đặt cấu hình Trang thiết bị cơng nghệ thơng tin có lưu trữ liệu nhạy cảm thay đổi mục đích sử dụng lý, đơn vị phải thực biện pháp xóa, tiêu hủy liệu đảm bảo khơng có khả phục hồi Trường hợp tiêu hủy liệu, đơn vị phải thực tiêu hủy cấu phần lưu trữ liệu trang thiết bị cơng nghệ thơng tin Các thiết bị cơng nghệ thông tin mang bảo hành, bảo dưỡng, sửa chữa bên ngừng sử dụng phải tháo phận lưu trữ khỏi thiết bị xóa thơng tin, liệu lưu trữ thiết bị Các đơn vị trực thuộc Tổng cục phân công quản lý, vận hành hạ tầng CNTT có trách nhiệm xây dựng quy trình bảo dưỡng, bảo trì hướng dẫn cách sử dụng, quản lý, vận hành hệ thống hạ tầng kỹ thuật mình; định phận chuyên trách công nghệ thông tin thực quản lý, vận hành định kỳ kiểm tra, sửa chữa, bảo trì thiết bị Điều Quản lý cán bộ, cơng chức, viên chức ngƣời lao động Các đơn vị trực thuộc Tổng cục có trách nhiệm bảo đảm an tồn, an ninh thơng tin vị trí cơng việc Sau tuyển dụng, tiếp nhận nhân mới, đơn vị phải phổ biến cho nhân quy định bảo đảm an toàn, an ninh thông tin đơn vị; vị trí tiếp xúc, quản lý thơng tin, liệu quan trọng quản trị hệ thống thông tin quan trọng, đơn vị phải yêu cầu nhân cam kết bảo mật thông tin văn cam kết hợp đồng làm việc, hợp đồng lao động Các đơn vị trực thuộc Tổng cục thường xuyên phổ biến quy định an toàn, an ninh thông tin, nhằm nâng cao nhận thức trách nhiệm bảo đảm an tồn thơng tin cho cán đơn vị Các đơn vị trực thuộc Tổng cục phải thực quy trình cấp mới, quản lý thu hồi tài khoản, phân quyền truy cập hệ thống thông tin tất tài sản liên quan đến hệ thống thông tin cá nhân đơn vị quản lý Khi cán bộ, công chức, viên chức người lao động chấm dứt thay đổi cơng việc quan, đơn vị phải thực công việc sau: a) Xác định rõ trách nhiệm cán bộ, nhân viên bên liên quan quản lý, sử dụng tài sản công nghệ thông tin giao b) Lập biên bàn giao tài sản công nghệ thông tin c) Thay đổi thu hồi quyền truy cập hệ thống thông tin Điều Bảo đảm an tồn hệ thống cơng nghệ thơng tin Bảo đảm an tồn thơng tin phịng máy chủ a) Các thiết bị kết nối mạng, thiết bị bảo mật quan trọng tường lửa (firewall), thiết bị định tuyến (router), hệ thống máy chủ, hệ thống lưu trữ SAN, NAS, phải đặt phòng máy chủ phải thiết lập chế bảo vệ, theo dõi phát xâm nhập biện pháp kiểm soát truy nhập, kết nối vật lý phù hợp với khu vực: máy chủ hệ thống lưu trữ; tủ mạng đầu nối; thiết bị nguồn điện dự phịng điện khẩn cấp; vận hành, kiểm sốt, quản trị hệ thống Đơn vị chủ quản phòng máy chủ có trách nhiệm xây dựng nội quy hướng dẫn làm việc khu vực b) Phòng máy chủ khu vực hạn chế tiếp cận lắp đặt hệ thống camera giám sát Chỉ cá nhân có quyền, nhiệm vụ theo quy định thủ trưởng đơn vị phép vào phịng máy chủ Q trình vào, phòng máy chủ phải ghi nhận vào nhật ký quản lý phòng máy chủ c) Phòng máy chủ phải trang bị hệ thống lưu điện đủ cơng suất trì thời gian hoạt động máy chủ 15 phút có cố điện d) Phịng máy chủ phải có hệ thống giám sát nhiệt độ, độ ẩm để đảm bảo môi trường vận hành; hệ thống cảnh báo cháy, hệ thống chữa cháy tự động khí, thiết bị phịng cháy, chữa cháy khẩn cấp; hệ thống cảnh báo hệ thống nguồn điện; hệ thống chống sét lan truyền Tất cảnh báo phải gửi đến cá nhân có trách nhiệm qua tin nhắn thư điện tử Đơn vị phải cử cán thường xuyên giám sát thiết bị, hạ tầng phòng máy chủ Bảo đảm an tồn thơng tin sử dụng máy tính a) Cá nhân cài đặt phần mềm hợp lệ thuộc danh mục phần mềm phép sử dụng quan có thẩm quyền ban hành máy tính đơn vị cấp cho mình; khơng tự ý cài đặt gỡ bỏ phần mềm chưa có đồng ý phận chuyên trách công nghệ thông tin; thường xuyên cập nhật phần mềm hệ điều hành b) Cài đặt phần mềm xử lý phần mềm độc hại thiết lập chế độ tự động cập nhật sở liệu cho phần mềm; phát dấu hiệu liên quan đến việc bị nhiễm phần mềm độc hại máy tính phải tắt máy báo trực tiếp cho phận chuyên trách công nghệ thông tin để xử lý kịp thời c) Chỉ truy nhập vào trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy thông tin phù hợp với chức năng, trách nhiệm, quyền hạn mình; có trách nhiệm bảo mật tài khoản truy nhập thơng tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác Bảo đảm an tồn thơng tin hệ thống mạng máy tính a) Hệ thống mạng nội (LAN) phải thiết kế phân vùng theo sách an tồn thơng tin riêng, bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống bên Internet mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ; vùng mạng máy chủ quản trị Dữ liệu trao đổi vùng mạng phải quản lý, giám sát hệ thống thiết bị mạng, thiết bị bảo mật b) Đơn vị trực thuộc Tổng cục tham gia kết nối, sử dụng hệ thống mạng diện rộng (WAN) Tổng cục Mơi trường có trách nhiệm bảo đảm an tồn thơng tin hệ thống mạng nội thiết bị thực kết nối vào mạng diện rộng; thông báo cố hành vi phá hoại, xâm nhập Trung tâm Thông tin Dữ liệu môi trường để xử lý; định kỳ lưu thông tin, liệu dùng chung lưu trữ mạng diện rộng; không tiết lộ tên đăng ký, mật khẩu, tiện ích, tệp hỗ trợ cách thức khác… để truy nhập vào hệ thống mạng diện rộng cho tổ chức, cá nhân khác; Khơng tìm cách truy nhập hình thức vào khu vực khơng phép truy nhập c) Các đơn vị trực thuộc Tổng cục giao quản trị hệ thống thông tin phải áp dụng biện pháp kỹ thuật cần thiết bảo đảm an tồn thơng tin hoạt động kết nối Internet, tối thiểu đáp ứng yêu cầu sau: có hệ thống tường lửa hệ thống bảo vệ truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ công nghệ mạng riêng ảo thông dụng có phần cứng mã hóa tích hợp để tăng tốc độ mã hóa liệu có khả bảo vệ hệ thống trước loại công từ chối dịch vụ (DDoS); Lọc bỏ, không cho phép truy nhập trang tin có nghi ngờ chứa mã độc nội dung không phù hợp d) Các đường truyền liệu, đường truyền Internet hệ thống dây dẫn mạng LAN, WAN phải lắp đặt ống, máng che đậy kín, hạn chế khả tiếp cận trái phép Ngắt kết nối cổng Ethernet không sử dụng, đặc biệt khu vực làm việc chung quan, đơn vị Quản lý tài khoản truy cập a) Cá nhân sử dụng hệ thống thông tin cấp sử dụng tài khoản truy nhập với định danh gắn với cá nhân Các hệ thống thơng tin dùng chung Tổng cục Môi trường Bộ Tài nguyên Môi trường sử dụng chế đăng nhập lần, chung tài khoản truy nhập mật Nguyên tắc đặt mật khẩu: - Mật khó đốn (mật cần bao gồm: chữ hoa, chữ thường bảng chữ cái, số ký tự đặc biệt); - Tự tạo riêng quy tắc đặt mật cho vừa dễ nhớ bí mật Khơng nên dùng số thơng tin dễ bị đốn nhận để đặt mật khẩu; - Có độ dài tối thiểu ký tự phù hợp với tính chất bí mật loại tài khoản khác nhau; - Không sử dụng mật cho nhiều tài khoản Đối với tài khoản thơng thường mật cần có độ dài từ đến 11 ký tự, bao gồm chữ số) Đối với tài khoản có tính chất quan trọng mật cần có độ dài 15 ký tự, bao gồm chữ hoa, chữ thường số - Thay đổi mật định kỳ, tối thiểu 06 tháng lần b) Trường hợp cá nhân thay đổi vị trí cơng tác, chuyển cơng tác, thơi việc nghỉ hưu, vịng khơng q 05 ngày làm việc, đơn vị quản lý cá nhân phải thơng báo quan, đơn vị chủ quản hệ thống thông tin để điều chỉnh, thu hồi, hủy bỏ quyền sử dụng hệ thống thông tin c) Tài khoản quản trị hệ thống mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, sở liệu… phải tách biệt với tài khoản truy nhập người sử dụng thông thường Tài khoản hệ thống phải giao đích danh cá nhân làm cơng tác quản trị Hạn chế dùng chung tài khoản quản trị d) Khi có yêu cầu khóa quyền truy cập hệ thống thông tin tài khoản hoạt động, Lãnh đạo đơn vị có yêu cầu văn gửi đơn vị chủ quản hệ thống thông tin Đơn vị vận hành hệ thống thơng tin thực việc khóa quyền truy cập tài khoản có đạo đơn vị chủ quản hệ thống thông tin Đơn vị chủ quản hệ thống thơng tin có quyền khóa quyền truy cập tài khoản trường hợp tài khoản thực hành vi cơng để xảy vấn đề an tồn, an ninh thơng tin đ) Việc quản lý tài khoản thư điện tử Tổng cục Môi trường, Bộ Tài nguyên Môi trường thực theo quy định Quy chế quản lý, sử dụng hệ thống thư điện tử Bảo đảm an tồn thơng tin mức ứng dụng a) u cầu bảo đảm an tồn thơng tin phải đưa vào tất công đoạn thiết kế, xây dựng, triển khai vận hành, sử dụng phần mềm, ứng dụng b) Phần mềm, ứng dụng phải đáp ứng yêu cầu sau: cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian để chờ đóng phiên kết nối; mã hóa thơng tin xác thực hệ thống; khơng khuyến khích việc đăng nhập tự động c) Thiết lập, phân quyền truy nhập, quản trị, sử dụng tài nguyên khác phần mềm, ứng dụng với người sử dụng/nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng cổng giao tiếp không sử dụng d) Chỉ cho phép sử dụng giao thức mạng có hỗ trợ chức mã hóa thơng tin như: SSH, SSL, VPN tương đương truy nhập, quản trị phần mềm, ứng dụng từ xa môi trường mạng; hạn chế truy cập đến mã nguồn phần mềm, ứng dụng phải đặt mã nguồn mơi trường an tồn phận chuyên trách công nghệ thông tin quản lý đ) Ghi lưu giữ ghi nhật ký hệ thống phần mềm, ứng dụng khoảng thời gian tối thiểu 03 tháng với thông tin bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy nhập sử dụng phần mềm, ứng dụng; lỗi phát sinh q trình hoạt động; thơng tin đăng nhập quản trị e) Phần mềm, ứng dụng cần kiểm tra phát khắc phục điểm yếu an tồn, an ninh thơng tin trước đưa vào sử dụng trình sử dụng g) Thực quy trình kiểm sốt cài đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng máy chủ, máy tính cá nhân, thiết bị kết nối mạng hoạt động thuộc hệ thống mạng nội Bảo đảm an tồn thơng tin mức liệu a) Các đơn vị phải thực bảo vệ thông tin, liệu liên quan đến hoạt động cơng vụ, thơng tin có nội dung quan trọng, nhạy cảm thông tin công khai biện pháp như: thiết lập phương án bảo đảm tính bí mật, ngun vẹn khả dụng thơng tin, liệu; mã hóa thơng tin, liệu lưu trữ hệ thống/thiết bị lưu trữ liệu di động; sử dụng chữ ký số để xác thực bảo mật thông tin, liệu b) Các đơn vị cần triển khai hệ thống lưu trữ độc lập với hệ thống lưu trữ máy chủ dịch vụ để lưu dự phòng; phân loại quản lý thông tin, liệu lưu trữ theo loại/nhóm thơng tin gán nhãn khác nhau; thực lưu dự phịng thơng tin, liệu sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, sở liệu; liệu, thông tin nghiệp vụ c) Các đơn vị cần bố trí máy tính riêng khơng kết nối mạng, đặt mật khẩu, mã hóa liệu biện pháp bảo mật khác bảo đảm an tồn thơng tin để soạn thảo, lưu trữ liệu, thông tin tài liệu quan trọng mức độ mật, tuyệt mật, tối mật d) Các đơn vị trực thuộc Tổng cục phải thường xuyên kiểm tra, giám sát hoạt động chia sẻ, gửi, nhận thông tin, liệu hoạt động nội mình; khuyến cáo việc chia sẻ, gửi, nhận thông tin môi trường mạng cần phải sử dụng mật để bảo vệ thông tin đ) Đối với hoạt động trao đổi thông tin, liệu với bên ngoài, đơn vị cá nhân thực trao đổi thơng tin, liệu bên ngồi cam kết có biện pháp bảo mật thơng tin, liệu trao đổi Giao dịch trực tuyến phải truyền đầy đủ, địa chỉ, tránh bị sửa đổi, tiết lộ nhân cách trái phép; sử dụng chế xác thực mạnh, chữ ký số tham gia giao dịch, sử dụng giao thức truyền thơng an tồn Điều Xác định cấp độ phƣơng án bảo đảm an tồn hệ thống thơng tin Việc xác định cấp độ hệ thống thông tin xây dựng phương án bảo vệ hệ thống thông tin theo cấp độ phục vụ mục đích đánh giá an tồn thơng tin bảo đảm an tồn thơng tin cho hệ thống thông tin Nguyên tắc bảo đảm an tồn thơng tin theo cấp độ ngun tắc xác định cấp độ nguyên tắc quy định Điều 4, Điều Nghị định số 85/2016/NĐ-CP 2 Chủ quản hệ thống thông tin a) Tổng cục Môi trường chủ quản hệ thống thông tin hệ thống Tổng cục định đầu tư Tổng cục giao làm chủ đầu tư nhiệm vụ, dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin b) Các đơn vị trực thuộc Tổng cục chủ quản hệ thống thông tin đơn vị định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin Tổng cục ủy quyền theo quy định Đơn vị vận hành hệ thống thông tin a) Giao Trung tâm Thông tin Dữ liệu môi trường đơn vị vận hành hệ thống thông tin, sở liệu dùng chung Tổng cục b) Các hệ thống thông tin trước đưa vào khai thác, sử dụng phải giao cho đơn vị quản lý, vận hành Đơn vị vận hành hệ thống thông tin theo quy định Điều 6, Thông tư số 03/2017/TT-BTTTT Đơn vị chuyên trách an tồn thơng tin a) Trung tâm Thơng tin Dữ liệu môi trường đơn vị chuyên trách an tồn thơng tin Tổng cục Mơi trường b) Các đơn vị giao quản trị hệ thống thông tin Tổng cục phải bố trí phận/cán chun trách để đảm bảo an tồn thơng tin Xác định cấp độ an tồn hệ thống thơng tin a) Đơn vị lập hồ sơ đề xuất cấp độ: hệ thống thông tin thuộc nhiệm vụ, dự án giai đoạn lập dự án, đơn vị lập dự án lập hồ sơ đề xuất cấp độ; hệ thống thông tin thuê dịch vụ, đơn vị chủ trì thuê dịch vụ lập hồ sơ đề xuất cấp độ; hệ thống thông tin giai đoạn triển khai, đơn vị chủ trì triển khai lập hồ sơ đề xuất cấp độ; hệ thống thông tin vận hành, đơn vị vận hành lập hồ sơ đề xuất cấp độ b) Đối với hệ thống thông tin đề xuất từ cấp độ trở lên, đơn vị giao quản trị hệ thống thông tin Tổng cục phối hợp Trung tâm Thông tin Dữ liệu môi trường gửi xin ý kiến chuyên môn Cục Công nghệ thông tin Dữ liệu tài ngun mơi trường trước trình cấp có thẩm quyền thẩm định, phê duyệt cấp độ Phương án bảo đảm an tồn hệ thống thơng tin a) Phương án bảo đảm an tồn hệ thống thơng tin phải phù hợp với cấp độ hệ thống thông tin đáp ứng yêu cầu quy định Thông tư số 03/2017/TT-BTTTT, phù hợp với tiêu chuẩnTCVN 11930:2017, tiêu chuẩn, quy chuẩn kỹ thuật khác sách an tồn thơng tin mạng Bộ Tài ngun Môi trường b) Chủ quản hệ thống thông tin đơn vị ủy quyền quản lý trực tiếp hệ thống thông tin tổ chức triển khai phương án bảo đảm an tồn hệ thống thơng tin sau hồ sơ đề xuất cấp độ phương án bảo đảm an toàn hệ thống phê duyệt c) Đơn vị/bộ phận chun trách an tồn thơng tin thuộc đơn vị chịu trách nhiệm giám sát việc triển khai phương án bảo đảm an tồn thơng tin phê duyệt Điều Bảo đảm an tồn thơng tin tiếp nhận, phát triển, vận hành bảo trì hệ thống thông tin Khi thực nâng cấp, mở rộng, thay phần hệ thống thông tin, phải rà soát cấp độ, phương án bảo đảm an tồn hệ thống thơng tin thực điều chỉnh, bổ sung thay hồ sơ đề xuất cấp độ trường hợp cần thiết Khi tiếp nhận, phát triển, nâng cấp, bảo trì hệ thống thơng tin, đơn vị phải tiến hành phân tích, xác định rủi ro xảy ra, đánh giá phạm vi tác động phải chuẩn bị biện pháp hạn chế, loại trừ rủi ro yêu cầu bên cung cấp, thi công, cá nhân liên quan thực Trong trình vận hành hệ thống thông tin, đơn vị chủ quản hệ thống thông tin cần thực đánh giá, phân loại hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an tồn hệ thống thơng tin đáp ứng u cầu tiêu chuẩn, quy chuẩn kỹ thuật bảo đảm an tồn hệ thống thơng tin theo cấp độ; thường xuyên kiểm tra, giám sát an toàn hệ thống thơng tin; tn thủ quy trình vận hành, quy trình xử lý cố xây dựng; ghi lại lưu trữ đầy đủ thông tin nhật ký hệ thống để phục vụ quản lý, kiểm sốt thơng tin Đối tác phát triển phần mềm ứng dụng cho đơn vị trực thuộc Tổng cục có trách nhiệm bảo đảm an tồn thơng tin cho cơng tác phát triển, vận hành, bảo hành, bảo trì phần mềm, ứng dụng, tránh lộ, lọt mã nguồn liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác xử lý bên Điều 10 Giám sát an tồn thơng tin mạng Đơn vị giao quản trị hệ thống thông tin đạo việc giám sát hệ thống thông tin thuộc phạm vi quản lý, phối hợp với Trung tâm Thông tin Dữ liệu môi trường đơn vị chức Cục Công nghệ thông tin Dữ liệu tài nguyên môi trường giám sát theo quy định Các hệ thống thơng tin bắt buộc phải có chức ghi lưu trữ nhật ký hoạt động hệ thống người sử dụng hệ thống thông tin Thực việc bảo vệ chức ghi nhật ký thông tin nhật ký, chống giả mạo, sửa đổi, phá hủy truy cập trái phép Nguyên tắc, yêu cầu, nội dung, phương thức, hệ thống kỹ thuật phục vụ công tác giám sát thực theo quy định Thông tư số 31/2017/TT-BTTTT Đơn vị giao quản trị hệ thống thông tin trực thuộc Tổng cục cử 01 cán làm đầu mối giám sát an tồn thơng tin mạng để tiếp nhận cảnh báo, cung cấp, trao đổi, chia sẻ thông tin với Trung tâm Thông tin Dữ liệu môi trường hoạt động giám sát an tồn thơng tin đơn vị Tổng cục Môi trường Điều 11 Kiểm tra, đánh giá an tồn thơng tin Chủ quản hệ thống thơng tin có thẩm quyền yêu cầu kiểm tra, đánh giá hệ thống thông tin thuộc thẩm quyền quản lý Bộ phận/cá nhân chun trách an tồn thơng tin chủ quản hệ thống thơng tin có thẩm quyền u cầu kiểm tra, đánh giá hệ thống thông tin đơn vị phê duyệt hồ sơ đề xuất cấp độ Đơn vị chủ trì kiểm tra, đánh giá đơn vị cấp có thẩm quyền giao nhiệm vụ lựa chọn để thực việc kiểm tra, đánh giá Đối tượng kiểm tra, đánh giá chủ quản hệ thống thông tin đơn vị vận hành hệ thống thông tin hệ thống thơng tin có liên quan Nội dung, hình thức kiểm tra, đánh giá theo quy định Điều 10 Thông tư số 03/2017/TT-BTTTT Trung tâm Thông tin Dữ liệu môi trường đơn vị chuyên trách an tồn thơng tin Tổng cục, thực việc đánh giá hiệu biện pháp bảo đảm an tồn thơng tin theo thẩm quyền Nội dung đánh giá sở để điều chỉnh phương án bảo đảm an tồn thơng tin cho phù hợp Điều 12 Ứng cứu cố an tồn thơng tin mạng Ban đạo, đơn vị chuyên trách ứng cứu khẩn cấp cố an tồn thơng tin mạng a) Ban đạo ứng dụng phát triển công nghệ thông tin Tổng cục Môi trường đảm nhiệm chức Ban đạo ứng cứu khẩn cấp cố an tồn thơng tin mạng Tổng cục b) Trung tâm Thông tin Dữ liệu môi trường đơn vị chuyên trách ứng cứu cố an toàn thông tin mạng Tổng cục Môi trường Bộ phận/cá nhân chun trách an tồn thơng tin mạng đơn vị trực thuộc Tổng cục đảm nhiệm vai trị ứng cứu cố an tồn thơng tin mạng phạm vi quản lý đơn vị c) Trung tâm Thơng tin Dữ liệu mơi trường trình Tổng cục thành lập Đội ứng cứu an tồn thơng tin mạng Tổng cục tổ chức ứng cứu cố phạm vi Tổng cục quản lý Kế hoạch ứng phó cố bảo đảm an tồn thơng tin mạng a) Trung tâm Thơng tin Dữ liệu môi trường phối hợp đơn vị xây dựng kế hoạch ứng phó cố đảm bảo an tồn thơng tin mạng cho hệ thống thơng tin b) Kế hoạch ứng phó cố rà soát điều chỉnh hàng năm cho phù hợp, làm sở để xây dựng kế hoạch bảo đảm an tồn, an ninh thơng tin năm Quy trình ứng cứu cố an tồn thơng tin mạng a) Các tổ chức, cá nhân phát dấu hiệu cơng cố an tồn thơng tin mạng cần nhanh chóng báo cho đơn vị vận hành hệ thống thông tin, đơn vị chủ quản hệ thống thông tin liên quan, Trung tâm Thông tin Dữ liệu môi trường b) Khi xảy cố an tồn thơng tin mạng thuộc loại hình cơng mạng, đơn vị vận hành hệ thống thông tin báo cáo Trung tâm Thông tin Dữ liệu môi trường để tổng hợp, báo cáo Ban Chỉ đạo ứng cứu khẩn cấp cố an tồn thơng tin mạng Tổng cục Mơi trường c) Quy trình ứng cứu cố an tồn thơng tin mạng theo quy định Điều 13, Điều 14 Quyết định số 05/2017/QĐ-TTg Điều 11 Thông tư số 20/2017/TT-BTTTT Diễn tập ứng cứu cố an tồn thơng tin mạng a) Chủ quản hệ thống thông tin tổ chức diễn tập ứng cứu cố theo kế hoạch ứng phó cố phê duyệt b) Trung tâm Thông tin Dữ liệu môi trường phối hợp đơn vị Tổng cục tham gia diễn tập ứng cứu cố an tồn thơn tin mạng Cục Công nghệ thông tin Dữ liệu tài ngun mơi trường chủ trì Điều 13 Đào tạo, bồi dƣỡng nghiệp vụ, tuyên truyền, phổ biến nâng cao nhận thức an tồn thơng tin mạng Các đơn vị trực thuộc Tổng cục xác định nhu cầu đào tạo nguồn nhân lực bảo đảm an tồn thơng tin đơn vị gửi Trung tâm Thông tin Dữ liệu môi trường để tổng hợp báo cáo Lãnh đạo Tổng cục gửi Cục Công nghệ thông tin Dữ liệu tài nguyên môi trường Các đơn vị trực thuộc Tổng cục chủ động phối hợp với đơn vị chuyên môn tổ chức đào tạo, bồi dưỡng nghiệp vụ an tồn thơng tin, sử dụng máy tính cho cán đơn vị Các đơn vị trực thuộc Tổng cục thường xuyên tuyên truyền, phổ biến nâng cao nhận thức bảo đảm an tồn, an ninh thơng tin mạng đến tồn thể cán bộ, cơng chức, viên chức người lao động đơn vị Chƣơng III TRÁCH NHIỆM CỦA CÁC TỔ CHỨC LIÊN QUAN Điều 14 Trách nhiệm Trung tâm Thông tin Dữ liệu môi trƣờng Thực trách nhiệm giao Quy chế Hướng dẫn triển khai Quy chế quy định liên quan an toàn, an ninh thông tin mạng Tổ chức triển khai thực Quy chế Phối hợp đơn vị xây dựng triển khai kế hoạch an toàn, an ninh thông tin mạng Tổng cục Môi trường 4 Bảo đảm an tồn, an ninh thơng tin cho hệ thống thông tin, sở liệu dùng chung Tổng cục Điều 15 Trách nhiệm đơn vị trực thuộc Tổng cục Thủ trưởng đơn vị có trách nhiệm tổ chức triển khai thực Quy chế đơn vị Thực báo cáo theo quy định gửi Trung tâm Thông tin Dữ liệu môi trường để tổng hợp, báo cáo Lãnh đạo Tổng cục, gồm: a) Báo cáo định kỳ: - Báo cáo an tồn thơng tin định kỳ hàng năm gồm nội dung quy định Khoản Điều 17 Thơng tư số 03/2017/TT-BTTTT, sau: + Tình hình an tồn thơng tin hệ thống thơng tin kỳ báo cáo; + Tiến độ triển khai, áp dụng phương án bảo đảm an tồn hệ thống thơng tin theo hồ sơ xác định cấp độ phê duyệt; + Hiệu áp dụng phương án bảo đảm an tồn hệ thống thơng tin theo hồ sơ xác định cấp độ phê duyệt; + Đề xuất thay đổi cấp độ, phương án bảo đảm an tồn hệ thống thơng tin (nếu có); + Nội dung khác phục vụ cơng tác bảo đảm an tồn hệ thống thông tin theo cấp độ - Báo cáo hoạt động giám sát chủ quản hệ thống thông tin định kỳ tháng theo mẫu Thông tư số 31/2017/TT-BTTTT (mẫu báo cáo Phụ lục Quy chế này) b) Báo cáo đột xuất: Báo cáo công tác khắc phục mã độc, lỗ hổng, điểm yếu, triển khai cảnh báo an tồn thơng tin báo cáo đột xuất khác theo yêu cầu quan quản lý nhà nước an tồn thơng tin Các đơn vị thực việc quản lý trang thiết bị công nghệ thông tin cán bộ, công chức, viên chức, người lao động theo Điều Điều Quy chế Văn phòng Tổng cục quản lý trang thiết bị công nghệ thông tin cán bộ, công chức, viên chức, người lao động khối Văn phịng Tổng cục Mơi trường Điều 16 Trách nhiệm cá nhân Thủ trưởng đơn vị trực thuộc Tổng cục phổ biến tới cán bộ, công chức, viên chức, người lao động đơn vị; thường xuyên kiểm tra việc thực Quy chế đơn vị; chịu trách nhiệm vi phạm, thất thơng tin, liệu quan trọng thuộc phạm vi quản lý đơn vị Cán bộ, công chức, viên chức, người lao động đơn vị trực thuộc Tổng cục có trách nhiệm tn thủ Quy chế; thơng báo vấn đề bất thường liên quan tới an toàn thông tin cho Lãnh đạo đơn vị, phận chuyên trách an tồn thơng tin mạng; chịu trách nhiệm trước pháp luật Lãnh đạo đơn vị vi phạm, thất thoát liệu quan trọng ngành không tuân thủ Quy chế Chƣơng IV TỔ CHỨC THỰC HIỆN Điều 17 Kinh phí thực Căn vào kế hoạch hàng năm, đơn vị liên quan có trách nhiệm xây dựng kế hoạch, đề xuất dự tốn cho hoạt động bảo đảm an tồn, an ninh thông tin mạng đơn vị Vụ Kế hoạch Tài có trách nhiệm bố trí nguồn kinh phí để triển khai việc đảm bảo an tồn an ninh thơng tin mạng trình Lãnh đạo Tổng cục xem xét Điều 18 Công tác kiểm tra Các đơn vị trực thuộc Tổng cục thường xuyên kiểm tra, theo dõi đánh giá cơng tác bảo đảm an tồn, an ninh thông tin mạng quan, đơn vị Giao Trung tâm Thơng tin Dữ liệu môi trường kiểm tra báo cáo Lãnh đạo Tổng cục việc thực Quy chế đơn vị trực thuộc Điều 19 Trách nhiệm thi hành Thủ trưởng đơn vị trực thuộc Tổng cục có trách nhiệm phổ biến, quán triệt đến toàn cán bộ, nhân viên đơn vị thực quy định Quy chế Trong trình thực hiện, có khó khăn, vướng mắc, đơn vị phản ảnh Trung tâm Thông tin Dữ liệu mơi trường để tổng hợp, trình Tổng cục trưởng xem xét, sửa đổi, bổ sung Quy chế./ TỔNG CỤC TRƢỞNG Nguyễn Văn Tài Phụ lục: Mẫu báo cáo hoạt động giám sát chủ quản hệ thống thông tin TỔNG CỤC MƠI TRƯỜNG TÊN ĐƠN VỊ CỘNG HỊA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Hà Nội, ngày …… tháng năm …… BÁO CÁO ĐỊNH KỲ CỦA CHỦ QUẢN HỆ THỐNG THÔNG TIN (từ ngày ……… đến ngày ………….) Kính gửi: Lãnh đạo Tổng cục Môi trường (thông qua Trung tâm thông tin Dữ liệu môi trường) I Thông tin giám sát tổng hợp - Thời gian giám sát: … … phút ngày … đến … … phút ngày … - Tổng số kiện an tồn thơng tin thu thập được: - Tổng số kiện an toàn thơng tin nguy hiểm mức cao: - Tình trạng an tồn thơng tin: [Nghiêm trọng/Nguy hiểm/Bình thường/An tồn] - Số lượng cố xẩy ra: - Tóm tắt tình hình an tồn thơng tin thời gian giám sát: …………………………………………………………………………… …………………………………………………………………………… II Kết giám sát Danh sách kỹ thuật công phát nhiều (tối thiểu 05 kỹ thuật công nhiều nhất) STT Kỹ thuật công Số lƣợng công Danh sách dịch vụ bị công nhiều nhất (tối thiểu 05 dịch vụ công nhiều nhất) STT Số cổng dịch vụ/địa IP Số lƣợng công Dịch vụ Danh sách địa IP bị công nhiều (tối thiểu 05 địa IP) STT Địa IP Mô tả thiết bị/phần mềm có địa IP bị cơng Số lƣợng công - Các dịch vụ cung cấp: Tên dịch vụ: + Mã số cổng cung cấp dịch vụ: + Giao thức hoạt động: + Phần mềm, phiên cung cấp dịch vụ: + Thời gian Tên dịch vụ: ……………… Danh sách địa IP nguồn công nhiều từ nước (tối thiểu 05 địa IP) STT Địa IP Số lƣợng công 5 Danh sách địa IP nguồn công nhiều từ nước (tối thiểu 05 địa IP) Địa IP STT Số lƣợng công III Các loại công điển hình Các loại cơng nguy hiểm (tối thiểu 05) 1.1 Kỹ thuật công thứ 1: - Tên kỹ thuật công: - Mã hiệu quốc tế (nếu có): - Các đối tượng bị cơng: - Dấu hiệu nhận biết: - Mô tả: - Số lượng thời gian xẩy ra: - Đánh giá mức độ nguy hiểm: - Ảnh hưởng: - Các biện pháp xử lý triển khai: - Tài liệu tham khảo: - Ghi khác: 1.2 Kỹ thuật công thứ 2: (Mô tả tương tự kỹ thuật công thứ 1) 1.3 Kỹ thuật công thứ 3: (Mô tả tương tự kỹ thuật công thứ 1) 1.4 Kỹ thuật công thứ 4: (Mô tả tương tự kỹ thuật công thứ 1) 1.5 Kỹ thuật công thứ 5: (Mô tả tương tự kỹ thuật công thứ 1) …………………………………………………………………………… 1.n Kỹ thuật công thứ n: (Mô tả tương tự kỹ thuật công thứ 1) Các loại công diễn nhiều (tối thiểu 05) 2.1 Kỹ thuật công thứ 1: - Tên kỹ thuật công: - Mã hiệu quốc tế (nếu có): - Các đối tượng bị cơng: - Dấu hiệu nhận biết: - Mô tả: - Số lượng thời gian xẩy ra: - Đánh giá mức độ nguy hiểm: - Ảnh hưởng: - Các biện pháp xử lý triển khai: - Tài liệu tham khảo: - Ghi khác: 2.2 Kỹ thuật công thứ 2: (Mô tả tương tự kỹ thuật công thứ 1) 2.3 Kỹ thuật công thứ 3: (Mô tả tương tự kỹ thuật công thứ 1) 1.4 Kỹ thuật công thứ 4: (Mô tả tương tự kỹ thuật công thứ 1) 2.5 Kỹ thuật công thứ 5: (Mô tả tương tự kỹ thuật công thứ 1) …………………………………………………………………………… 2.n Kỹ thuật công thứ n: (Mô tả tương tự kỹ thuật công thứ 1) Các loại công xuất (tối thiểu 05) 3.1 Kỹ thuật công thứ 1: - Tên kỹ thuật công: - Mã hiệu quốc tế (nếu có): - Các đối tượng bị cơng: - Dấu hiệu nhận biết: - Mô tả: - Số lượng thời gian xẩy ra: - Đánh giá mức độ nguy hiểm: - Ảnh hưởng: - Các biện pháp xử lý triển khai: - Tài liệu tham khảo: - Ghi khác: 3.2 Kỹ thuật công thứ 2: (Mô tả tương tự kỹ thuật công thứ 1) 3.3 Kỹ thuật công thứ 3: (Mô tả tương tự kỹ thuật công thứ 1) 3.4 Kỹ thuật công thứ 4: (Mô tả tương tự kỹ thuật công thứ 1) 3.5 Kỹ thuật công thứ 5: (Mô tả tương tự kỹ thuật công thứ 1) …………………………………………………………………………… 3.n Kỹ thuật công thứ n: (Mô tả tương tự kỹ thuật công thứ 1) IV Các vấn đề khác an tồn thơng tin kỳ giám sát …………………………………………………………………………… …………………………………………………………………………… …………………………………………………………………………… V Đề xuất kiến nghị …………………………………………………………………………… …………………………………………………………………………… …………………………………………………………………………… Nơi nhận: - Như trên; - Trung tâm TT&DL môi trường; - Lưu … Thủ trƣởng đơn vị (ký, đóng dầu)

Ngày đăng: 15/08/2022, 00:15

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w