Đối với hệ thống thông tin cấp độ 3, kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng phải tuân thủ như thế nào?
- Chính sách và quy trình quản lý an toàn mạng trong hệ thống thông tin cấp độ 3 quy định ra sao?
- Đối với hệ thống thông tin cấp độ 3, kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng phải tuân thủ như thế nào?
- Quy định về tổ chức bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 3 ra sao?
Chính sách và quy trình quản lý an toàn mạng trong hệ thống thông tin cấp độ 3 quy định ra sao?
Tại Mục 7.1.5.1 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định về quản lý an toàn mạng thực hiện theo các chính sách, quy trình quản lý an toàn mạng sau:
- Quản lý, vận hành hoạt động bình thường của hệ thống;
- Cập nhật, sao lưu dự phòng và khôi phục hệ thống sau khi xảy ra sự cố;
- Truy cập và quản lý cấu hình hệ thống;
- Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác.
Hệ thống thông tin cấp độ 3 (Hình từ Internet)
Đối với hệ thống thông tin cấp độ 3, kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng phải tuân thủ như thế nào?
Theo Mục 7.2.2.2 và Mục 7.2.3.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định thì:
Bảo đảm an toàn máy chủ
...
7.2.2.2 Kiểm soát truy cập
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa;
b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng;
c) Thay đổi cổng quản trị mặc định của máy chủ;
d) Giới hạn địa chỉ mạng được phép truy cập, quản trị máy chủ từ xa.
...
7.2.3 Bảo đảm an toàn ứng dụng
...
7.2.3.2 Kiểm soát truy cập
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị ứng dụng từ xa;
b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng;
c) Giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị ứng dụng từ xa;
d) Phân quyền truy cập, quản trị, sử dụng tài nguyên khác nhau của ứng dụng với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau;
đ) Giới hạn số lượng các kết nối đồng thời (kết nối khởi tạo và đã thiết lập) đối với các ứng dụng, dịch vụ máy chủ cung cấp.
Theo đó, cần nắm rõ các quy định về kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng đối với hệ thống thông tin cấp độ 3.
Quy định về tổ chức bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 3 ra sao?
Theo Mục 7.1.2 Tiêu chuẩn quốc gia TCVN 11930:2017, tổ chức bảo đảm an toàn thông tin được quy định như sau:
Tổ chức bảo đảm an toàn thông tin
7.1.2.1 Đơn vị chuyên trách về an toàn thông tin
a) Thành lập hoặc chỉ định đơn vị/bộ phận chuyên trách về an toàn thông tin trong tổ chức;
b) Phân định vai trò, trách nhiệm, cơ chế phối hợp của các bộ phận, cán bộ trong đơn vị chuyên trách về an toàn thông tin.
7.1.2.2 Phối hợp với những cơ quan/tổ chức có thẩm quyền
a) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin;
b) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin;
c) Tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩm quyền.
7.1.3 Bảo đảm nguồn nhân lực
7.1.3.1 Tuyển dụng
a) Cán bộ được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng;
b) Có quy định, quy trình tuyển dụng cán bộ và điều kiện tuyển dụng cán bộ.
7.1.3.2 Trong quá trình làm việc
a) Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống;
b) Có kế hoạch và định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng;
c) Định kỳ hàng năm, tổ chức đào tạo các kỹ năng cơ bản về an toàn thông tin cho người sử dụng.
7.1.3.3 Chấm dứt hoặc thay đổi công việc
a) Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức;
b) Có quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc;
c) Có cam kết giữ bí mật thông tin liên quan đến tổ chức sau khi nghỉ việc.
Phạm Lan Anh
Đặt câu hỏi
Quý khách cần hỏi thêm thông tin về Hệ thống thông tin có thể đặt câu hỏi tại đây.
- Người bị bạo lực gia đình có được quyền lựa chọn chỗ ở khi áp dụng quyết định cấm tiếp xúc không?
- Quy hoạch chi tiết dự án cải tạo nhà chung cư phải có chỉ tiêu nào? Có thể lập quy hoạch đồng thời với đánh giá chất lượng nhà chung cư không?
- Viên chức Bộ Tư pháp được xếp loại không hoàn thành nhiệm vụ trong bao nhiêu năm thì bị đơn phương chấm dứt hợp đồng làm việc?
- Mẫu phiếu đánh giá việc giải quyết thủ tục hành chính của các đơn vị tại Trụ sở chính Ngân hàng Nhà nước? Cách chấm điểm tiêu chí đánh giá?
- Đối tượng được hỗ trợ bằng tiền không quá 05 lần giá đất nông nghiệp khi bị thu hồi đất theo Luật Đất đai mới?
