Các yêu cầu về đảm bảo an toàn thông tin

Một phần của tài liệu CCN01KAJGNERBK (Trang 78 - 87)

VII. KIẾN TRÚC CHÍNH QUYỀN ĐIỆN TỬ, PHIÊN BẢN 2.0

5. Kiến trúc an toàn thông tin

5.3. Các yêu cầu về đảm bảo an toàn thông tin

5.3.1. Các yêu cầu chung

- Tuân thủ theo các chỉ đạo của Thủ tướng Chính phủ tại Chỉ thị số 14/CT-TTg ngày 07/6/2019 vềviệc tăng cườngbảo đảm an toàn, an ninh mạng nhằmcải thiệnchỉsốxếp hạngcủaViệt Nam.

-Việc triển khai bảo đảm an toàn thông tin mạng theo mô hình 4 lớp thực hiện theo hướng dẫn tại Công văn số 1552/BTTTT-CATTT ngày 28/4/2020 của Bộ Thông tin và Truyền thông về việc đôn đốc tổ chức triển khai bảo đảm an toàn thông tin cho hệ thống thông tin theo mô hình “4 lớp” và cần được triển khai tổng thể, đồng bộ theo hướng dẫn của Bộ Thông tin và Truyền thông về mô hình đảm bảo an toàn thông tin cấp bộ,tỉnh.

-Việc xác định cấp độ an toàn và triển khai phương án bảo đảm an toàn hệ thống thông tin theo cấp độ cho các hệ thống cung cấp dịch vụ công trực tuyến mức độ 4 thực hiện theo quy định tại Nghị định 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ,

Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ- CP và Tiêu chuẩn quốc gia - Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ (TCVN 11930:2017) và các vănbản hướngdẫn khác liên quan;

-Hoạt động giám sát ATTT mạng cho các hệ thống thông tin thực hiện theo hướng dẫn tại Công văn số 2973/BTTTT-CATTT ngày 04/9/2019 của Bộ Thông tin và Truyền thông vềviệcHướng dẫntriển khai hoạt động giám sát an toàn thông tin trong cơ quan, tổ chức nhà nước; thực hiện công tác kiểm tra, đánh giá an toàn thông tin trước khi đưa hệ thống vào vận hành, khai thác sử dụng và định kỳ kiểm tra, đánh giá hoặcđột xuất khi có yêu cầu theo quy định của pháp luật;

- Trung tâm dữ liệu đóng vai trò là môi trường triển khai các hệ thống ứngdụng củahệthốngCQĐT nên cần đượcbảo đảm an toàn thông tin đápứng theo Công văn số 486/CATTT-ATHTTT ngày 19/6/2020 của Cục An toàn thông tin về việc hướng dẫn bảo đảm an toàn thông tin cho Trung tâm dữ liệu phụcvụ phát triển CPĐT/CQĐT;

-Việc triển khai các giải pháp phòng chống mã độc cho các hệ thống cung cấp dịch vụ công trực tuyến mức độ 4 và các người dùng cuối nên được thực hiện theo mô hình quản lý tập trung kết hợp với các hệ thống thông tin khác. Hệ thống phòng chống mã độc tập trung cần kếtnối với Trung tâm Giám sát an toàn không gian mạng quốc gia theo hướng dẫn tại Công văn số 2290/BTTTTCATTT ngày 17/7/2018 của Bộ Thông tin và Truyền thông về việchướngdẫn kếtnối, chia sẻ thông tin về mã độc giữa các hệthống kỹthuật.

- Khi lựa chọn thuê dịch vụ điện toán đám mây, thực hiện theo hướng dẫn tại Công văn số 1145/BTTTT-CATTT ngày 03/4/2020 của Bộ Thông tin và Truyền thông về việchướngdẫn bộ tiêu chí, chỉ tiêu kỹ thuậtđểđánh giá và lựa chọn giải pháp nền tảng điện toán đám mây phục vụ Chính phủ điện tử/Chínhquyền điệntử;

- Khi đầu tư các hệ thống, giải pháp bảo đảm an toàn thông tin mạng, phải bảo đảm bố trí đủ nhân lực có chuyên môn phù hợp để vận hành, khai thác; đồng thời, xây dựng và triển khai kế hoạch định kỳ đào tạo, bồi dưỡng, huấn luyện, diễn tập định kỳ hàng năm cho cán bộ quản lý, cán bộ kỹ thuật để nâng cao nănglực,cọ sát thựctế;

-Địnhkỳ phổ biến các nguy cơ và trang bị kỹnăngcơ bản về ATTT cho người dùng để hạn chế các hành vi dẫn đến mất an toàn thông tin qua nhiều hình thứcnhư: hộinghị,hộithảo, ấnphẩm tài liệu (bảngiấy hoặc tài liệusố)...

5.3.2. Đảmbảo an toàn mức vật

- Các khu vực sau phải được kiểm soát truy cập vật lý để phòng tránh truy cập trái phép hoặc sai mục đích: Phòng máy chủ, khu vực chứa máy chủ

và thiết bị lưu trữ, các tủ mạng và đấu nối, thiết bị nguồn điện và dự phòng điệnkhẩn cấp, các phòng vận hành, kiểm soát (quảntrị)hệ thống. Đơnvị quản lý các vùng thiết bị trên phải có nội quy hoặc hướng dẫn làm việc trong các khu vực này;

- Người dùng sửdụng các thiết bị lưutrữ dữliệu di động (máy tính xách tay, thiết bị sốcầm tay, thẻnhớ USB, ổcứng ngoài, băngtừ...) đểlưu thông tin thuộc phạm vi bảo vệ theo quy định có trách nhiệm bảo vệ các thiết bị này và thông tin lưu trên thiết bị, tránh làm mất, lộ thông tin. Không mang ra nước ngoài thông tin của cơ quan, Nhà nước không liên quan tới nội dung công việc thựchiện ở nước ngoài. Nghiêm cấmsửdụng thiết bị do cá nhân tự trang bị để lưugiữ bí mật Nhà nước;

- Các thiết bị lưutrữ không sửdụng tiếp cho công việccủa đơnvị (thanh lý, cho, tặng) phải được xoá nội dung bằng phần mềm hoặc bằng thiết bị hủy dữliệu chuyên dụng hay phá hủyvật lý.

5.3.3. Đảmbảo an toàn máy tính làm việc

(a) Máy tính phục vụ công việc (bao gồm máy chủ, máy quản trị và máy tính phụcvụ công việccủangười dùng tạiđơn vị):

- Máy tính làm việc chỉ được cài đặt phần mềm theo danh mục phần mềm do đơnvị quy định và do bộ phận công nghệ thông tin củađơn vị quản lý hoặc được cung cấp theo các chương trình ứng dụng công nghệ thông tin của Kiểm toán Nhà nước hoặc các cơ quan Nhà nước khác có thẩm quyền, được cậpnhật bản vá lỗi hệđiều hành về an ninh, cài đặtphầnmềm phòng diệt virus và cậpnhậtmẫu phát hiện virus gầnnhất;

- Bộ phận công nghệ thông tin của đơn vị chịu trách nhiệm cài đặt phần mềm cho máy tính phục vụ công việc. Người dùng không được can thiệp (cài đặt mới, thay đổi, gỡ bỏ,…) các phần mềm đã cài đặt trên máy tính khi chưa đượcsựđồng ý củabộ phận công nghệ thông tin của đơnvị;

- Người dùng phải thực hiện thao tác khoá máy tính (sử dụng tính năng cài đặt sẵn trên máy) khi rời khỏi nơi đặt máy tính và tắt máy tính khi rời khỏi cơ quan.

(b) Máy tính do cá nhân tự trang bị phải đáp ứng đầy đủ các điều kiện dướiđây khi kếtnối vào hệthốngmạngcủa thành phốĐà Nẵng:

- Cài đặtđầy đủ các bản vá lỗihệđiều hành về an ninh;

- Cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu mã độc gần nhất;

- Không cài đặt phần mềm, công cụ có tính năng gây mất an toàn thông tin hoặc tạo rủi ro cho hệ thống mạng (cấp phát địa chỉ mạng, dò quét mật khẩu, dò quét cổngmạng,giảlậptấn công,..).

5.3.4. Đảmbảo an toàn hệ thốngmạng máy tính

(a) Kết nối mạng phải được thiết lập và vận hành theo quy chế quản lý, vận hành và sửdụnghạtầng truyền thông củađơnvị.

(b) Hệ thống mạngcần được bảo vệ bằng tường lửa đáp ứng các yêu cầu sau:

- Phân chia hệ thốngmạngnộibộ thành các vùng mạng theo phạm vi truy cập và kiểm soát truy cập giữa các vùng bằngtườnglửa;

- Kiểm soát, vô hiệu hoá các dịch vụ không sửdụngtại các vùng mạng; - Thực hiện che giấu và tránh truy cập trực tiếp các địa chỉ mạng bên trong từ bên ngoài;

- Cài đặt các bản cập nhật, vá lỗi đúng hạn cho các tường lửa để khắc phục các điểm yếu an ninh nghiêm trọng; Có chế độ bảo hành hoặc thiết bị dự phòng đểđảm bảosựhoạt động liên tụccủa tườnglửa.

(c) Mạng nội bộ của đơn vị phải được triển khai giám sát bởi hệ thống phát hiện và phòng chống tấn công.

(d) Hệ thốngmạng không dây phải đápứng các điều kiệntối thiểu sau: - Thiết bị phần cứng phải đảm bảo có chứng nhận WiFi của cơ quan có thẩmquyền;

- Áp dụng mã hoá dữliệutruyềnnhậnsửdụngthuật toán mã hoá an toàn; - Người dùng không dây phải được cung cấp định danh duy nhất và xác thực qua kênh mã hoá;

- Các điểm truy cập không dây (thiết bị phát sóng làm cầu nối giữa mạng có dây và không dây) củađơnvị đượcbảo vệ tránh bịtiếp cận trái phép.

(e) Đối với truy cậptừ xa vào hệthốngmạngnộibộ:

- Máy tính dùng để kết nối tới mạng của đơn vị phải được đảm bảo an toàn theo quy định của thành phốĐà Nẵng;

- Kết nối truy cập từ xa phải sửdụng mã hóa kênh truyền theo tiêu chuẩn mã hóa do Bộ Thông tin và Truyền thông quy định;

- Truy cập từ xa cho mục đích quảntrị hệthống cần xem xét áp dụng xác thựctốithiểu 2 yếu tố;

- Hạnchế truy cập từ xa vào mạngnộibộ từnhững điểm truy cập Internet công cộng.

5.3.5. Đảmbảo an toàn kếtnối Internet

(a) Đơn vị áp dụng các biện pháp cần thiết để đảm bảo an toàn thông tin trong hoạt độngkếtnối Internet, tốithiểuđáp ứng yêu cầu sau:

(a.2) Lọcbỏ, không cho phép truy cập các trang tin có nghi ngờchứa mã độc hoặc các nội dung không phù hợp.

(a.3) Không mở trang tin hoặc ứng dụng Internet ngay trên máy tính chứa dữ liệu quan trọng hoặc có khả năng tiếp cận các dữ liệu, ứng dụng quan trọng của thành phố Đà Nẵng. Trường hợp cần thiết chỉ được truy cập vào các trang tin trên Internet phụcvụ công việccủa đơnvị.

(a.4) Kết nối Internet cho máy tính phục vụ công việc của người dùng tại đơnvị bị thu hẹp phạm vi hoặcbị ngắt trong các trường hợp sau:

- Có công văn từcơ quan có thẩmquyền yêu cầu thu hẹpphạm vi kếtnối Internet hoặcngắtkếtnối Internet (áp dụng trong các trường hợpkhẩncấp);

- Lãnh đạo đơn vị quyết định hạn chế phạm vi kết nối hoặc ngắt hoàn toàn kếtnối Internet máy tính phục vụ công việccủa người dùng đểđảm bảo an toàn cho hệthống mạngcủa đơnvị và hạnchế các ảnhhưởng khác của Internet tớihoạtđộngcủa đơnvị.

(b) Đối với máy chủ và thiết bị công nghệ thông tin khác, chỉ thiết lập kết nối Internet cho các hệ thống cần phải có giao tiếp với Internet (các máy chủ, thiết bị cung cấp giao diện ra Internet của trang tin điện tử, thư điện tử; thiết bị cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công).

5.3.6. Đảmbảo an toàn hạ tầngkỹthuật

Đảm bảo an toàn hạ tầng kỹ thuật chung của thành phố là đảm bảo cho hoạt động của các cơ sở hạ tầng thông tin, trong đó bao gồm đảm bảo an toàn cho cảphần cứng và phần mềm hoạt động theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; ngănngừa khả năng lợidụng mạng và các cơ sở hạtầng thông tin để thực hiện các hành vi trái phép gây hại cho cộng đồng, phạm pháp hay khủng bố;đảm bảo các tính chất bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ thông tin trong lưutrữ, xử lý và truyềntải trên mạng.

Các thành phầnđảm bảo an toàn hạtầngkỹthuật chung bao gồm:

- Thành phần bảo đảm an toàn thiết bị vận hành: giúp đảm bảo an toàn thông tin cho các thiết bị trong hệ thốngmạngcủa thành phố như thiếtbị mạng, thiếtbị bảomật,thiết bịlưutrữ, …;

- Thành phần bảo đảm an toàn thông tin hạtầng kếtnối: giúp đảm bảo an toàn thông tin cho hạtầng kếtnối nhưkếtnối Internet, MAN, LAN, VPN, …;

- Thành phần khác bao gồm: quản lý vận hành, an toàn nguồn điện, an toàn môi trường, an toàn vật lý và vị trí;

- Quá trình áp dụng các giải pháp kỹ thuật đảm bảo an toàn, an ninh thông tin cầnđược kiện toàn từng bước, phù hợpvới nhu cầuthực tế của các cơ

quan, đơn vị của thành phố. Trong đó, Trung tâm dữ liệu là nơi cần được triển khai các giải pháp kỹthuậtđảm bảo an toàn, an ninh mứcđộ cao nhất.

Hình 24: đồ an toàn hạtầngkỹthuật

5.3.7. Đảmbảo an toàn thông tin mức ứngdụng

(a) Yêu cầu về đảm bảo an toàn thông tin phải được đưa vào tất cả các công đoạn liên quan, gồm có: Thiết kế, Phát triển, Triển khai và Vận hành, sử dụng.

(b) Phần mềmứngdụng phảiđáp ứng yêu cầu sau: (b.1) Mã hóa thông tin bí mật hoặcnhạycảm.

(b.2) Kiểm tra tính hợp lệ của dữ liệuđầu vào và đầu ra để đảm bảo dữ liệu chính xác và phù hợp.

(b.3) Giớihạnsốlầnđăngnhập sai liên tiếp vào ứng dụng.

(b.4) Thựchiện quy trình kiểm soát việc cài đặtphần mềm trên các máy chủ, máy tính của người dùng, thiết bị mạng đang hoạt động thuộc hệ thống mạng nội bộ, đảm bảo các phần mềm khi cài đặt trong hệ thống có nguồn gốc an toàn, không bị nhiễm mã độc.

(b.5) Hạn chế truy cập tới bộ điều khiển chương trình và phải đảm bảo chương trình được cài đặt môi trường an toàn do bộ phận chuyên trách quản lý.

(b.6) Kiểm tra phát hiện và khắc phục điểm yếu của ứng dụng trước khi đưa vào sử dụng và trong quá trình sử dụng (khi có thông tin xuất hiện điểm yếumới trên môi trường hoạtđộng củaứng dụng;tốithiểumỗinăm mộtlần).

(c) Đốivới ứngdụng mua ởdạng gói:

(c.1) Theo dõi, nắmbắt thông tin về các điểm yếu được phát hiện và cập nhậtthường xuyên bản vá lỗi về an ninh cho ứng dụng.

(c.2) Trườnghợp điểm yếu đãđược phát hiện mà chưa có bản vá lỗi của đơnvị sảnxuấtphầnmềm, phảithựchiện đánh giá rủi ro và có biện pháp phòng tránh phù hợp.

5.3.8. Đảmbảo an toàn thông tin mức dữliệu

(a) Nội dung mật, quan trọng hoặc nhạy cảm khi lưu trữ trên thiết bị di động hoặctruyềnnhận trên hệthống mạngphải được mã hóa

(b) Cá nhân thực hiện soạn thảo, gửi, nhận dữ liệu có trách nhiệm xác định mức độ mật, nhạy cảm của dữ liệu để thực hiện phương thức bảo vệ dữ liệu phù hợp hoặc yêu cầu bộ phận công nghệ thông tin hướng dẫn, hỗ trợ phương thứcbảo vệ trong trườnghợp cầnthiết.

(c ) Chỉ sửdụng hệthốngthưđiệntử và các công cụ trao đổi thông tin do đơnvị quản lý trựctiếp,hoặc các cơ quan Nhà nước, các tổ chức có thẩmquyền cung cấpđể trao đổi thông tin, tài liệu làm việc. Không sửdụng các phương tiện trao đổi thông tin công cộng trên Internet cho mụcđích này.

5.3.9. Đảm bảo an toàn thông tin trong hoạt động trao đổi thông tin với

các tổ chức cá nhân bên ngoài

(a) Tổ chức, cá nhân tham gia hệ thống phải cam kết bảo mật thông tin của thành phốĐà Nẵng mà tổ chức, cá nhân đósẽtiếp xúc trước khi bắtđầu thực hiện công việc theo hợpđồng, thỏathuậngiữa hai bên.

(b) Khi trao đổi các thông tin cầnbảo mật qua hệthốngmạngphải mã hóa và thực hiện theo quy định về công tác bảo vệ, bảomật thông tin của thành phốĐà Nẵng.

(c) Đối với các tổ chức, cá nhân bên ngoài kết nối vào mạng của thành phốĐà Nẵng:

(c.1) Phải phân tích rủi ro về an toàn thông tin trước khi kết nối mạng và có biện pháp kiểm soát các rủi ro này.

(c.2) Thỏa thuận bằng văn bản giữa các bên về các điều kiện cụ thể mà tổ chức, cá nhân bên ngoài phải đáp ứng khi kết nối vào mạng của thành phố

Một phần của tài liệu CCN01KAJGNERBK (Trang 78 - 87)

Tải bản đầy đủ (PDF)

(144 trang)