Yêu cầu cơ bản trong việc bảo đảm an toàn hệ thống thông tin theo cấp độ 4 và 5 quy định như thế nào ?

Thứ ba, 31/01/2023, 16:57:29 (GMT+7)

Bài viết trình bày về Yêu cầu cơ bản trong việc bảo đảm an toàn hệ thống thông tin theo cấp độ 4 và 5

MỤC LỤC

MỤC LỤC

Theo Khoản 3 Điều 3 của Luật An toàn thông tin mạng năm 2015, Hệ thống thông tin được hiểu là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

An toàn hệ thống thông tin mạng là sự bảo vệ hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

Căn cứ theo Điều 21 của Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015, Luật quy định phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ.

+ Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia;

+ Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

Yêu cầu cơ bản đối với cấp độ 4

Theo Khoản 4 Điều 9 của Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ, Bộ trưởng Bộ Thông tin và Truyền thông quy định, Phương án bảo đảm an toàn hệ thống thông tin cấp độ 4 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục 4 ban hành kèm theo Thông tư 03/2017/TT-BTTTT như sau:

1. Yêu cầu về kỹ thuật:

a) An toàn hạ tầng mạng:

- Có phương án phát hiện phòng chống xâm nhập giữa các vùng mạng quan trọng;

- Có phương án quản lý mạng không dây (nếu có) tập trung;

- Có hệ thống quản lý phòng chống mã độc tập trung. Trong đó, hệ thống có chức năng cơ bản bao gồm: cập nhật dữ liệu, gửi cảnh báo, nhận thông tin điều khiển từ hệ thống quản lý tập trung tới các phần mềm được cài đặt trên máy chủ/ máy trạm trong mạng;

- Có phương án dự phòng nóng cho các thiết bị mạng chính bảo đảm khả năng vận hành liên tục của hệ thống; năng lực của thiết bị dự phòng phải đáp ứng theo quy mô hoạt động của hệ thống;

- Có phương án sử dụng thêm các phương pháp xác thực đa nhân tố đối với các thiết bị mạng quan trọng;

- Có phương án lưu trữ nhật ký độc lập và phù hợp với hoạt động của các thiết bị mạng. Dữ liệu nhật ký phải được lưu tối thiểu 06 tháng;

- Có phương án cảnh báo thời gian thực trực tiếp đến người quản trị hệ thống thông qua hệ thống giám sát khi phát hiện sự cố trên các thiết bị mạng;

- Có phương án duy trì ít nhất 02 kết nối mạng Internet từ các ISP sử dụng hạ tầng kết nối trong nước khác nhau (nếu hệ thống buộc phải có kết nối mạng Internet);

- Có phương án chống thất thoát dữ liệu trong hệ thống;

b) An toàn máy chủ:

- Có phương án sử dụng cơ chế xác thực đa nhân tố khi truy cập vào các máy chủ trong hệ thống;

- Có phương án lưu trữ nhật ký độc lập và phù hợp với hoạt động của máy chủ. Dữ liệu nhật ký phải được lưu tối thiểu 06 tháng;

- Có phương án kiểm tra tính toàn vẹn của các tệp tin hệ thống và tính toàn vẹn của các quyền đã được cấp trên các tài khoản hệ thống;

c) An toàn ứng dụng:

- Có phương án sử dụng cơ chế xác thực đa nhân tố khi truy cập vào các tài khoản quản trị của ứng dụng; có cơ chế yêu cầu người sử dụng thay đổi thông tin xác thực định kỳ;

- Có phương án lưu trữ nhật ký độc lập và phù hợp với hoạt động của ứng dụng. Dữ liệu nhật ký phải được lưu tối thiểu 06 tháng;

- Có cơ chế mã hóa thông tin xác thực của người sử dụng trước khi gửi đến

ứng dụng qua môi trường mạng;

- Có cơ chế xác thực thông tin, nguồn gửi khi trao đổi thông tin trong quá trình quản trị ứng dụng (không phải là thông tin, dữ liệu công khai) qua môi trường mạng;

d) An toàn dữ liệu:

- Có phương án kiểm tra tính toàn vẹn của dữ liệu và phát hiện, cảnh báo khi dữ liệu có sự thay đổi;

- Có phương án phân loại và quản lý các dữ liệu được lưu trữ theo từng loại/nhóm thông qua việc gán các nhãn khác nhau;

- Có phương án sử dụng hệ thống sao lưu dự phòng có khả năng chịu lỗi, bảo đảm dữ liệu có khả năng phục khôi phục khi xảy ra sự cố;

2. Yêu cầu quản lý:

a) Chính sách chung: Định kỳ 01 năm hoặc đột xuất khi cần thiết thực hiện rà soát, cập nhật chính sách chung về an toàn thông tin;

b) Tổ chức, nhân sự:

- Có chính sách thẩm tra, xác minh lý lịch của cán bộ quản lý và cán bộ kỹ thuật vận hành, chịu trách nhiệm về an toàn thông tin cho hệ thống, bảo đảm sự phù hợp về mặt chuyên môn nghiệp vụ, đạo đức nghề nghiệp và phù hợp với yêu cầu, tính chất đặc thù của công việc;

- Có kế hoạch và định kỳ hàng năm tổ chức đào tạo, bồi dưỡng, tuyên truyền, phổ biến nâng cao kiến thức, kỹ năng về an toàn thông tin cho cán bộ quản lý và cán bộ kỹ thuật có liên quan;

- Có chính sách xây dựng đội ngũ chuyên trách về an toàn thông tin và phân công lãnh đạo đơn vị trực tiếp phụ trách an toàn thông tin;

c) Thiết kế, xây dựng hệ thống:

- Có hồ sơ cấp độ được thẩm định bởi Bộ Thông tin và Truyền thông;

- Có phương án kiểm tra tính tương thích, tác động của các bản vá, cập nhật an toàn thông tin đối với hoạt động của hệ thống;

- Có phương án cấu hình tối ưu, bảo đảm an toàn thông tin cho các thiết bị mạng, máy chủ trước khi đưa vào hoạt động trong hệ thống;

- Có phương án thực hiện kiểm tra, đánh giá tổng thể về an toàn thông tin của hệ thống trước khi đưa vào vận hành, khai thác;

d) Quản lý vận hành:

- Có phương án giám sát an toàn thông tin riêng cho hệ thống theo quy định của pháp luật; tổ chức trực giám sát 24/7;

- Có kế hoạch và định kỳ hàng năm tổ chức diễn tập bảo đảm an toàn thông tin cho hệ thống;

- Có phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng theo quy định của pháp luật;

đ) Kiểm tra, đánh giá và quản lý rủi ro:

- Định kỳ hàng năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin;

- Việc kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép hoặc tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp do chủ quản hệ thống thông tin chỉ định thực hiện theo quy định của pháp luật.

Yêu cầu cơ bản đối với cấp độ 5

Theo Khoản 5 Điều 9 của Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ, Bộ trưởng Bộ Thông tin và Truyền thông quy định, Phương án bảo đảm an toàn hệ thống thông tin cấp độ 5 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục 5 ban hành kèm theo Thông tư 03/2017/TT-BTTTT như sau:

1. Yêu cầu kỹ thuật:

a) An toàn hạ tầng mạng:

- Có hệ thống tường lửa, hệ thống phát hiện và phòng chống xâm nhập giữa các vùng mạng của hệ thống;

- Có phương án lưu dữ liệu nhật ký của các thiết bị mạng tối thiểu 12 tháng;

- Có phương án dự phòng cho tất cả các thiết bị mạng bảo đảm hoạt động của hệ thống không bị gián đoạn;

b) An toàn máy chủ:

- Có phương án sử dụng giải pháp phòng chống xâm nhập mức máy trạm đối với các máy chủ;

- Có phương án lưu trữ nhật ký độc lập và phù hợp với hoạt động của máy chủ. Nhật ký của hệ thống phải được lưu tối thiểu 12 tháng;

c) An toàn ứng dụng:

- Có phương án áp dụng cơ chế xác thực hai chiều khi trao đổi dữ liệu quan trọng qua môi trường mạng;

- Có phương án sử dụng thiết bị lưu trữ chuyên dụng để lưu trữ thông tin xác thực;

- Có phương án lưu nhật ký của ứng dụng lưu tối thiểu 12 tháng;

d) An toàn dữ liệu:

- Có phương án sử dụng kênh riêng khi truyền đưa, trao đổi dữ liệu qua môi trường mạng;

- Có phương án lưu trữ dự phòng các dữ liệu trên hệ thống ở các vị trí địa lý khác nhau;

- Có phương án duy trì ít nhất 02 kết nối mạng từ hệ thống sao lưu dự phòng chính với hệ thống sao lưu dự phòng phụ.

2. Yêu cầu quản lý:

a) Chính sách chung:

Định kỳ 06 tháng hoặc đột xuất khi cần thiết thực hiện rà soát, cập nhật chính sách chung về an toàn thông tin;

b) Chính sách tổ chức, nhân sự:

- Các vị trí công việc khác nhau phải bố trí cán bộ chuyên trách khác nhau, không được sử dụng cán bộ kiêm nhiệm;

- Các vị trí vận hành khai thác quan trọng cần bố trí ít nhất 02 cán bộ cùng tham gia thực hiện;

c) Thiết kế, xây dựng hệ thống:

Sản phẩm, thiết bị được đầu tư trong hệ thống phải được kiểm định an toàn thông tin trước khi đưa vào vận hành khai thác;

d) Quản lý vận hành:

Có kế hoạch và định kỳ 06 tháng tổ chức diễn tập bảo đảm an toàn thông tin cho hệ thống;

đ) Kiểm tra, đánh giá và quản lý rủi ro:

- Định kỳ 06 tháng hoặc theo yêu cầu thực tế hoặc theo yêu cầu, cảnh báo của cơ quan chức năng thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin;

- Việc kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro an toàn thông tin phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép hoặc tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp do chủ quản hệ thống thông tin chỉ định thực hiện theo quy định của pháp luật.

Luật Hoàng Anh

Luật Sư Phạm Thị Thu Hà

Chuyên viên pháp lý Trịnh Thị Chình

Luật Sư Nguyễn Thị Ngàn

Luật Sư Vũ Khánh Hiếu

Luật Sư Nguyễn Thùy Dung

Thạc sĩ kinh tế Nguyễn Mai Hương

Luật Sư Lê Tiến Thành

Chuyên viên pháp lý Nguyễn Thị Diệu Quỳnh

Chuyên viên pháp lý Nguyễn Thị Thu Hiền

Luật Sư Đào Hồng Sơn

Luật sư NGUYỄN ĐÌNH HIỆP - Những con số biết nói

Với 20 năm kinh nghiệm trong lĩnh vực tư vấn pháp lý, Luật sư Nguyễn Đình Hiệp có sự am hiểu sâu sắc hệ thống pháp luật Việt Nam và triển khai thành công rất nhiều các vụ việc như:

2

Tư vấn mở chuỗi kinh doanh nhượng quyền thương mại

2

Tư vấn cấp Giấy phép viễn thông cho doanh nghiệp Việt Nam

8

Tư vấn pháp lý thường xuyên cho các doanh nghiệp Việt Nam, Trung Quốc, Hàn Quốc. Tiêu biểu như Công ty CP Tập đoàn Bình Minh, Công ty CP DV Viễn thông Hải Phòng

10

Tư vấn, xử lý thu hồi công nợ và khởi kiện/khởi tố các đối tượng có nợ khó đòi

10

Tư vấn pháp lý đầu tư, giấy phép, chuyển nhượng các dự án khoáng sản. Tiêu biểu như Dự án khai thác Khoáng sản của Công ty khoáng sản An Vượng tại huyện Đà Bắc tỉnh Hoà Bình (50ha).

15

Tư vấn pháp lý dự án đầu tư mở rộng sản xuất. Tiêu biểu như Dự án sản xuất 50 triệu sản phẩm điện tử thanh toán Công ty TNHH ST Vina (Hàn Quốc); Dự án mở rộng quy mô sản xuất của Công ty TNHH RFTech Việt Nam lên 20 triệu đô la Mỹ;

20

Tư vấn hợp đồng chuyển giao công nghệ và thực hiện thủ tục đăng ký hợp đồng chuyển giao công nghệ (hầu hết là doanh nghiệp có vốn đầu tư nước ngoài)

20

Tư vấn pháp lý dự án đầu tư bất động sản. Tiêu biểu như Dự án khu nghỉ dưỡng tại Vịnh Lan Hạ, thành phố Hải Phòng (30ha); Khu du lịch sinh thái và nghỉ dưỡng Avana Mai Chau Hideway, tỉnh Hòa Bình (32ha)

30

Tư vấn, thành lập các doanh nghiệp 100% vốn đầu tư nước ngoài tại Việt Nam trong các lĩnh vực. Tiêu biểu như Dự án nhà máy sản xuất của Công ty Mass Well Limited, Công ty Modern Shine Limited tại Trung tâm công nghiệp GNP Yên Bình

300

Tư vấn hồ sơ công bố sản phẩm, hồ sơ phòng cháy chữa cháy, hồ sơ an toàn vệ sinh thực phẩm, đăng ký mã số mã vạch, đăng ký/thông báo website…

500

Tư vấn bảo hộ nhãn hiệu (thương hiệu), quyền tác giả, sáng chế

700

Tư vấn, thực hiện các thủ tục, giấy phép con như: Giấy phép lao động cho người nước ngoài, cấp phép tạm trú cho người nước ngoài, Giấy phép trung tâm ngoại ngữ, Giấy phép ngành dược, Giấy phép quảng cáo…

2000

Tư vấn, thành lập các doanh nghiệp mới, chi nhánh, văn phòng đại diện trên cả nước; các thủ tục thay đổi đăng ký doanh nghiệp trên cả nước

3000

Tư vấn các vụ việc ly hôn, chia tài sản, quyền nuôi con; chia thừa kế; tranh chấp đất đai; tố tụng dân sự, tố tụng hình sự và tố tụng hành chính.

Dịch vụ pháp lý

Để nhận tin tức và quà tặng từ Luật Hoàng Anh

Đăng ký email

Số điện thoại nhận tin

© Bản quyền thuộc về -Luật Hoàng Anh- Mọi sự sao chép phải được sự chấp thuận của Luật Hoàng Anh bằng văn bản.
Lên đầu trang zalo.png messenger.png 0908 308 123
Tư vấn miễn phí ngay Chat với luật sư