Yêu cầu về an tồn bảo mật thơng tin Yêu cầu chung về an toàn, bảo mật thông tin:

Một phần của tài liệu PHỤ LỤC 1: YÊU CẦU NỘI DUNG THUÊ DỊCH VỤ CÔNG NGHỆ THÔNG TIN (Trang 107 - 109)

- RAID: PERC H730P RAID

7 Tủ Rac k 20U-D

4.3. Yêu cầu về an tồn bảo mật thơng tin Yêu cầu chung về an toàn, bảo mật thông tin:

u cầu chung về an tồn, bảo mật thơng tin:

- Hệ thống phải đạt tiêu chuẩn bảo mật và an toàn dữ liệu;

- Hệ thống phải đáp ứng khả năng an toàn, bảo mật theo nhiều mức: mức mạng, mức hệ điều hành, mức cơ sở dữ liệu, mức ứng dụng…;

- Hỗ trợ người sử dụng trao đổi thông tin, dữ liệu theo các chuẩn về an tồn thơng tin như S/MINE v3.0, SSL v3.0, HTTPS;

- Có cơ chế theo dõi và giám sát, lưu vết tất cả các hoạt động cho mỗi kênh thơng tin và tồn hệ thống;

- Toàn bộ các dữ liệu cần quản lý, phải được lưu trong CSDL và phân quyền truy cập chặt chẽ.

Bảng u cầu về an tồn, bảo mật thơng tin

TT Tiêu chí yêu cầu

1 Hệ thống tường lửa chống xâm nhập từ xa

Có tường lửa chuyên dụng phân tách giữa các vùng Internet, máy chủ ứng dụng và người dùng mạng nội bộ; ngăn chặn các xâm nhập trái phép.

2

Quy định phổ biến và hướng dẫn định kỳ cách phòng ngừa virus

Quy định rà quét kiểm tra định kỳ phát hiện và phòng chống mã độc (malware) trên hệ thống dịch vụ

3 Hệ thống sao lưu, phục hồi dữ liệu

Xây dựng phương án sao lưu và khôi phục phù hợp, phải thực hiện sao lưu hàng ngày.

4 Phương thức mã hóa dữ liệu/thơng tin

Các dữ liệu quan trọng, nhạy cảm có thể được mã hóa bằng các kỹ thuật tránh lấy cắp dữ liệu Hệ thống quản lý được các bộ khóa giải mã dữ liệu

Người sử dụng giải mã được dữ liệu khi được cung cấp khóa giải mã

5 Phương thức mã hóa mật khẩu của người dùng

Mật khẩu của người dùng phải được mã hóa bằng các kỹ thuật salt, hash (MD5, SHA) tránh lấy cắp mật khẩu.

6 Có kịch bản phịng ngừa, khắc phục sự cố

Xây dựng các bài kiểm tra, thử nghiệm mơ phỏng các hình thức tấn cơng gây mất an tồn thơng tin, từ đó đưa ra phương pháp phòng chống và khắc phục sự cố gây mất an tồn thơng tin

114

TT Tiêu chí yêu cầu

7 Có quy trình an tồn, an ninh thơng tin

Xây dựng quy trình, quy định đối với người dùng và đối với quản trị khi tiếp nhận và vận hành hệ thống nhằm tăng cường tính an ninh cho hệ thống dịch vụ

8

Có cơ chế chống tấn công, xâm nhập từ xa (DOS, DDOS)

Thiết lập cơ chế chống tấn công từ chối dịch vụ trên hệ thống

9

Có cơ chế cảnh báo và chống tấn cơng có chủ đích đối với các hệ thống cung cấp dịch vụ qua Internet

10 Tích hợp chữ ký số

Yêu cầu đảm bảo an tồn thơng tin theo cấp độ:

Căn cứ Nghị định 85/2016/NĐ-CP của Thủ tướng Chính phủ ngày 01/07/2016 về đảm bảo an tồn hệ thống thơng tin theo cấp độ. Thông tư 03/2017/TT-BTTTT về Quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP.

Việc xác định và thuyết minh cấp độ an tồn hệ thống thơng tin với hệ thống trong hoạt động ƯDCNTT này gồm các thông tin như dưới đây:

- Phân loại hệ thống thông tin.

- Hệ thống thông tin được xây dựng theo mơ hình xây mới.

- Hệ thống thơng tin phục vụ nghiệp vụ, hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực tuyến.

Theo khoản 2 Điều 6 Nghị định số 85/2016/NĐ-CP: Hệ thống thông tin phục vụ người dân, doanh nghiệp là hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến và dịch vụ trực tuyến khác trong các lĩnh vực viễn thông, cơng nghệ thơng tin, thương mại, tài chính, ngân hàng, y tế, giáo dục và các lĩnh vực chuyên ngành khác.

Điều 8 của Nghị định số 85/2016/NĐ-CP:

Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

- Hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và có xử lý thông tin riêng, thông tin cá nhân của người sử dụng nhưng khơng xử lý thơng tin bí mật nhà nước.

- Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:

+ Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 2 trở xuống theo quy định của pháp luật;

+ Cung cấp dịch vụ trực tuyến không thuộc danh Mục dịch vụ kinh doanh có Điều kiện; + Cung cấp dịch vụ trực tuyến khác có xử lý thơng tin riêng, thơng tin cá nhân của dưới 10.000 người sử dụng.

- Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một cơ quan, tổ chức.

Dựa trên việc xác định cấp độ an toàn của hệ thống thông tin đã nêu, Hệ thống phần mềm thuê khi triển khai phải đạt tiêu chuẩn an toàn cấp độ 2 theo: Nghị định 85/2016/NĐ-CP

115

của Thủ tướng Chính phủ ngày 01/07/2016 về đảm bảo an tồn hệ thống thơng tin theo cấp độ, Phụ lục số 02 - Thông tư 03/2017/TT-BTTTT về quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP.

Một phần của tài liệu PHỤ LỤC 1: YÊU CẦU NỘI DUNG THUÊ DỊCH VỤ CÔNG NGHỆ THÔNG TIN (Trang 107 - 109)

Tải bản đầy đủ (PDF)

(112 trang)