Yêu cầu cơ bản cho hệ thống thông tin cấp độ 1 như thế nào?

Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ 1 (Hình từ internet)

Về vấn đề này, THƯ VIỆN PHÁP LUẬT giải đáp như sau:

1. An toàn hệ thống thông tin được phân loại theo những cấp độ nào?

Căn cứ Điều 21 Luật An toàn thông tin mạng 2015 quy định về phân loại cấp độ an toàn hệ thống thông tin như sau:

- Phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ.

- Hệ thống thông tin được phân loại theo cấp độ an toàn như sau:

+ Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

+ Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

+ Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia;

+ Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia;

+ Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

2. Yêu cầu cơ bản cho hệ thống thông tin cấp độ 1 như thế nào?

Theo Mục 5 TCVN 11930:2017 nêu rõ yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ 1 như sau:

2.1 Yêu cầu quản lý

- Thiết lập chính sách an toàn thông tin

+ Chính sách an toàn thông tin

Xây dựng chính sách, quy trình quản lý, vận hành hoạt động bình thường của hệ thống nhằm bảo đảm tính sẵn sàng của hệ thống trong quá trình vận hành, khai thác.

+ Xây dựng và công bố

Chính sách được tổ chức/bộ phận được ủy quyền thông qua trước khi công bố áp dụng.

+ Rà soát, sửa đổi

Định kỳ 03 năm hoặc khi có thay đổi chính sách an toàn thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung.

- Tổ chức bảo đảm an toàn thông tin

+ Đơn vị chuyên trách về an toàn thông tin

Có cán bộ có trách nhiệm bảo đảm an toàn thông tin cho hệ thống thông tin.

+ Phối hợp với cơ quan/tổ chức có thẩm quyền

++ Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin;

++ Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin.

- Bảo đảm nguồn nhân lực

+ Tuyển dụng

Cán bộ được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành phù hợp với vị trí tuyển dụng.

+ Trong quá trình làm việc

++ Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống;

++ Có hình thức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng.

+ Chấm dứt hoặc thay đổi công việc

Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức.

- Quản lý thiết kế, xây dựng hệ thống

+ Thiết kế an toàn hệ thống thông tin

++ Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;

++ Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin.

+ Thử nghiệm và nghiệm thu hệ thống

Thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng.

- Quản lý vận hành hệ thống

+ Quản lý an toàn mạng

Xây dựng và thực thi chính sách, quy trình quản lý vận hành hoạt động bình thường của hạ tầng mạng.

+ Quản lý an toàn máy chủ và ứng dụng

Xây dựng và thực thi chính sách, quy trình quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ.

+ Quản lý an toàn dữ liệu

Có phương án sao lưu dự phòng thông tin, dữ liệu, cấu hình hệ thống.

2.2  Yêu cầu kỹ thuật

- Bảo đảm an toàn mạng

+ Thiết kế hệ thống

++ Thiết kế các vùng mạng trong hệ thống theo chức năng, bao gồm tối thiểu các vùng mạng:

* Vùng mạng nội bộ;

* Vùng mạng biên;

* Vùng DMZ.

++ Phương án thiết kế bảo đảm các yêu cầu sau:

* Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn;

* Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập.

+ Kiểm soát truy cập từ bên ngoài mạng

++ Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập thông tin nội bộ hoặc quản trị hệ thống từ các mạng bên ngoài và mạng Internet;

++ Kiểm soát truy cập từ bên ngoài vào hệ thống theo từng dịch vụ, ứng dụng cụ thể; chặn tất cả truy cập tới các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép truy cập từ bên ngoài.

+ Nhật ký hệ thống

Thiết lập chức năng ghi, lưu trữ nhật ký hệ thống trên các thiết bị mạng chính.

+ Phòng chống xâm nhập

++ Có phương án phòng chống xâm nhập để bảo vệ vùng DMZ;

++ Định kỳ cập nhật cơ sở dữ liệu dấu hiệu phát hiện tấn công mạng (Signatures).

+ Bảo vệ thiết bị hệ thống

++ Cấu hình chức năng xác thực trên các thiết bị hệ thống (nếu hỗ trợ) để xác thực người dùng khi quản trị thiết bị trực tiếp hoặc từ xa;

++ Thiết lập cấu hình chỉ cho phép sử dụng các kết nối mạng an toàn (nếu hỗ trợ) khi truy cập, quản trị thiết bị từ xa.

- Bảo đảm an toàn máy chủ

+ Xác thực

++ Thiết lập chính sách xác thực trên máy chủ để xác thực người dùng khi truy cập, quản lý và sử dụng máy chủ;

++ Thay đổi các tài khoản mặc định trên hệ thống hoặc vô hiệu hóa (nếu không sử dụng);

++ Thiết lập cấu hình máy chủ để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:

* Yêu cầu thay đổi mật khẩu mặc định;

* Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.

+ Kiểm soát truy cập

Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa.

+ Nhật ký hệ thống

++ Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:

* Thông tin kết nối mạng tới máy chủ (Firewall log);

* Thông tin đăng nhập vào máy chủ;

++ Đồng bộ thời gian giữa máy chủ với máy chủ thời gian.

+ Phòng chống xâm nhập

++ Loại bỏ các tài khoản không sử dụng, các tài khoản không còn hợp lệ trên máy chủ;

++ Sử dụng tường lửa của hệ điều hành và hệ thống để cấm các truy cập trái phép tới máy chủ.

+ Phòng chống phần mềm độc hại

Cài đặt phần mềm phòng chống mã độc (hoặc có phương án khác tương đương) và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm.

- Bảo đảm an toàn ứng dụng

+ Xác thực

++ Thiết lập cấu hình ứng dụng để xác thực người sử dụng khi truy cập, quản trị, cấu hình ứng dụng;

++ Lưu trữ có mã hóa thông tin xác thực hệ thống;

++ Thiết lập cấu hình ứng dụng để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:

* Yêu cầu thay đổi mật khẩu mặc định;

* Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.

+ Kiểm soát truy cập

++ Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị ứng dụng từ xa;

++ Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng.

+ Nhật ký hệ thống

Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:

* Thông tin truy cập ứng dụng;

* Thông tin đăng nhập khi quản trị ứng dụng.

- Bảo đảm an toàn dữ liệu

+ Sao lưu dự phòng

Thực hiện sao lưu dự phòng các thông tin, dữ liệu quan trọng trên hệ thống.