Trong hệ thống thông tin cấp độ 4, việc thiết kế an toàn và quản lý giám sát an toàn hệ thống thông tin cần đảm bảo những gì?

Nội dung chính

• Trong hệ thống thông tin cấp độ 4, việc thiết kế an toàn, quản lý giám sát an toàn hệ thống thông tin cần đảm bảo những gì?
• Kiểm soát truy cập từ bên ngoài và bên trong mạng đối với hệ thống thông tin cấp độ 4 phải tuân thủ các yêu cầu nào?
• Thực hiện việc kiểm soát truy cập trong hệ thống thông tin cấp độ 4 như thế nào?

Trong hệ thống thông tin cấp độ 4, việc thiết kế an toàn, quản lý giám sát an toàn hệ thống thông tin cần đảm bảo những gì?

Theo quy định tại Mục 8.1.4.1, Mục 8.1.5.6 Tiêu chuẩn quốc gia TCVN 11930:2017 có quy định về thiết kế an toàn, quản lý giám sát an toàn hệ thống thông tin đối với hệ thống tin cấp độ 4 như sau:

8.1.4.1 Thiết kế an toàn hệ thống thông tin

a) Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;

b) Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin;

c) Có tài liệu mô tả phương án bảo đảm an toàn thông tin theo cấp độ;

d) Có tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin;

đ) Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống;

e) Có phương án quản lý và bảo vệ hồ sơ thiết kế;

g) Có bộ phận chuyên môn, tổ chuyên gia đánh giá hồ sơ thiết kế hệ thống thông tin, các biện pháp bảo đảm an toàn thông tin trước khi triển khai thực hiện.

...

8.1.5.6 Quản lý giám sát an toàn hệ thống thông tin

Chính sách, quy trình quản lý giám sát an toàn hệ thống thông tin bao gồm:

a) Quản lý, vận hành hoạt động bình thường của hệ thống giám sát;

b) Đối tượng giám sát bao gồm: thiết bị hệ thống, máy chủ, ứng dụng, dịch vụ và các thành phần khác trong hệ thống (nếu có);

c) Kết nối và gửi nhật ký hệ thống từ đối tượng giám sát về hệ thống giám sát;

d) Truy cập và quản trị hệ thống giám sát;

đ) Loại thông tin cần được giám sát;

e) Lưu trữ và bảo vệ thông tin giám sát (nhật ký hệ thống);

g) Đồng bộ thời gian giữa hệ thống giám sát và thiết bị được giám sát;

h) Theo dõi, giám sát và cảnh báo sự cố phát hiện được trên hệ thống thông tin;

i) Bố trí nguồn lực và tổ chức giám sát an toàn hệ thống thông tin 24/7.

Theo đó đối với hệ thống thông tin cấp độ 4 cụ thể quy định về thiết kế an toàn hệ thống thông tin tại Mục 8.1.4.1 và về việc quản lý giám sát an toàn hệ thống thông tin tại Mục 8.1.5.6.

Hệ thống thông tin cấp độ 4 (Hình từ Internet)

Kiểm soát truy cập từ bên ngoài và bên trong mạng đối với hệ thống thông tin cấp độ 4 phải tuân thủ các yêu cầu nào?

Về kiểm soát truy cập từ bên ngoài mạng cần nêu rõ tại Mục 8.2.1.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định về kiểm soát truy cập từ bên ngoài mạng, bên trong mạng đối với hệ thống thông tin cấp độ 4 như sau:

8.2.1.2 Kiểm soát truy cập từ bên ngoài mạng

a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập thông tin nội bộ hoặc quản trị hệ thống từ các mạng bên ngoài và mạng Internet;

b) Kiểm soát truy cập từ bên ngoài vào hệ thống theo từng dịch vụ, ứng dụng cụ thể; chặn tất cả truy cập tới các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép truy cập từ bên ngoài;

c) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi hệ thống không nhận được yêu cầu từ người dùng;

d) Phân quyền và cấp quyền truy cập từ bên ngoài vào hệ thống theo từng người dùng hoặc nhóm người dùng căn cứ theo yêu cầu nghiệp vụ, yêu cầu quản lý;

đ) Giới hạn số lượng kết nối đồng thời từ một địa chỉ nguồn và tổng số lượng kết nối đồng thời cho từng ứng dụng, dịch vụ được hệ thống cung cấp theo năng lực thực tế của hệ thống.

8.2.1.3 Kiểm soát truy cập từ bên trong mạng

a) Chỉ cho phép truy cập các ứng dụng, dịch vụ bên ngoài theo yêu cầu nghiệp vụ, chặn các dịch vụ khác không phục vụ hoạt động nghiệp vụ theo chính sách của tổ chức;

b) Có phương án kiểm soát truy cập của người dùng vào các dịch vụ, các máy chủ nội bộ theo chức năng và chính sách của tổ chức;

c) Không cho phép hoặc giới hạn truy cập (theo chức năng của máy chủ) từ các máy chủ ra các mạng bên ngoài hệ thống;

d) Có phương án quản lý các thiết bị đầu cuối, máy tính người dùng kết nối vào hệ thống mạng (theo địa chỉ vật lý, địa chỉ logic), chỉ cho phép thiết bị đầu cuối, máy tính người sử dụng hợp lệ kết nối vào hệ thống.

Thực hiện việc kiểm soát truy cập trong hệ thống thông tin cấp độ 4 như thế nào?

Theo Mục 8.2.2.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định về việc kiểm soát truy cập như sau:

Kiểm soát truy cập

a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa;

b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng;

c) Thay đổi cổng quản trị mặc định của máy chủ;

d) Không cho phép quản trị, cấu hình máy chủ trực tiếp từ các mạng bên ngoài, trường hợp bắt buộc phải quản trị thiết bị từ xa phải thực hiện gián tiếp thông qua các máy quản trị trong hệ thống và sử dụng kết nối mạng an toàn;

đ) Phân quyền truy cập, quản trị, sử dụng tài nguyên khác nhau trên máy chủ với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau;

e) Cấp quyền tối thiểu (quyền truy cập, quản trị) cho tài khoản quản trị máy chủ theo quyền hạn.

Theo đó, có 06 nội dung quy định trong thực hiện việc kiểm soát truy cập trong hệ thống thông tin cấp độ 4.