MỤC LUC
Để chuẩn bị cho chính phủ điện tử, tích hợp, liên thông dữ liệu; Bộ TTTT đã ra nhiều văn bản để đôn đốc hoàn thành hồ sơ đề xuất cấp độ an toàn hệ thống thông tin trong các cơ quan nhà nước.
Hồ sơ đề xuất cấp độ an toàn hệ thống thông tin là gì?
Là hồ sơ trình lên cấp có thẩm quyền để phê duyệt cấp độ an toàn hệ thống thông tin theo quy định tại Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về “Bảo đảm an toàn hệ thống thông tin theo cấp độ”
Theo điều 8 Thông tư 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022, hồ sơ đề xuất cấp độ gồm các thành phần:
a) Thuyết minh tổng quan về hệ thống thông tin;
b) Thuyết minh về việc đề xuất cấp độ;
c) Thuyết minh phương án bảo đảm an toàn thông tin.
Tùy theo cấp độ đề xuất mà có thuyết minh tương ứng
Căn cứ pháp lý
- Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về “Bảo đảm an toàn hệ thống thông tin theo cấp độ”.
- Thông tư 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ Thông tin và Truyền thông về “Quy định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ”.
- Tiêu chuẩn TCVN 11930:2017 về “Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ”.
Các loại hồ sơ đề xuất cấp độ an toàn hệ thống thông tin
Theo Nghị định 85/2016/NĐ-CP thì gần như mọi hệ thống từ hạ tầng, phần cứng, điều khiển công nghiệp… trong cơ quan nhà nước đều phải làm hồ sơ đề xuất cấp độ an toàn thông tin.
Về cấp độ, theo Nghị định 85/2016/NĐ-CP có 5 cấp độ từ 1-5. Trong đó, phổ biến là cấp độ 1-3; cấp độ 4, 5 thường dành cho hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc quốc phòng.
Hướng dẫn xây dựng hồ sơ đề xuất cấp độ an toàn hệ thống thông tin
Phần nhiều dựa vào Thông tư 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ Thông tin và Truyền thông về “Quy định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ” và hồ sơ mẫu của Bộ TTTT.
Một số lưu ý:
- Chỉ đưa lên mô hình những gì liên quan đến hệ thống đề xuất, không nên đưa các thành phần không thuộc hệ thống
- Đối với mỗi thiết bị phải bao gồm các thông tin về thiết bị/chủng loại, vị trí triển khai và mục đích sử dụng của thiết bị đó; trường hợp thiết bị vật lý được chia thành các thiết bị logic thì vị trí triển khai là các vị trí của thiết bị logic. Ví dụ, máy chủ được chia thành máy ảo thì vị trí là vị trí của máy ảo
- Cơ quan nào có Quy chế về đảm bảo an toàn thông tin rồi thì ở Phương án, viết theo nội dung trong Quy chế
- Các nội dung cơ bản có thể tham khảo:
+ Phương án quản lý truy cập, quản trị hệ thống từ xa an toàn: Mô tả thiết kế hệ thống mạng sử dụng thiết bị chuyên dụng hay thiết lập cấu hình chức năng bảo mật trên hệ thống hoặc phương án tương đương khác nếu có để bảo đảm việc truy cập, quản trị hệ thống từ xa an toàn. Ví dụ sử dụng thiết bị VPN chuyên dụng hay cấu hình chức năng VPN trên thiết bị tường lửa…
+ Phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập: Mô tả thiết kế hệ thống mạng sử dụng thiết bị tường lửa hoặc thiết bị có chức năng tương đương để quản lý truy cập và phòng chống xâm nhập giữa các vùng mạng. Chú ý mô tả ngắn gọn các chức năng mà phương án cung cấp để quản lý truy cập và phòng chống xâm nhập giữa các vùng mạng.
+ Phương án cân bằng tải, dự phòng nóng cho các thiết bị mạng: Mô tả phương án thiết kế và triển khai các thiết bị mạng trong hệ thống để thực hiện chức năng cân bằng tải, dự phòng nóng. Ví dụ: mô tả các thiết bị mạng được kết nối với nhau thế nào và được cấu hình HA hay AA…
+ Phương án bảo đảm an toàn cho máy chủ cơ sở dữ liệu: Mô tả phương án sử dụng thiết bị chuyên dụng như tường lửa cơ sở dữ liệu hay phương án tương đương để bảo đảm an toàn cho máy chủ cơ sở dữ liệu. Chú ý mô tả ngắn gọn các chức năng mà phương án cung cấp để bảo đảm an toàn cho máy chủ cơ sở dữ liệu.
+ Có phương án chặn lọc phần mềm độc hại trên môi trường mạng: Mô tả phương án sử dụng thiết bị chuyên dụng hay chức năng trên thiết bị tường lửa hoặc phương án tương đương để phát hiện và ngăn chặn các hành vi mã độc trên môi trường mạng.
+ Phương án phòng chống tấn công từ chối dịch vụ: Mô tả phương án sử dụng giải pháp chuyên dụng hay thuê dịch vụ hoặc phương án tương đương khác để phòng chống tấn công từ chối dịch vụ cho hệ thống (chỉ yêu cầu đối với các hệ thống có kết nối mạng Internet). Chú ý cần mô tả ngắn gọn chức năng và năng lực xử lý tấn công từ chối dịch vụ của phương án sử dụng.
+ Phương án giám sát hệ thống thông tin tập trung: Mô tả phương án sử dụng giải pháp chuyên dụng (ArcSight, Splunk, QRadar, LogRhythm) hay giải pháp tương đương khác để thực hiện giám sát hệ thống thông tin tập trung. Chú ý mô tả ngắn gọn chức năng và năng lực xử lý của hệ thống giám sát tập trung.
+ Phương án giám sát an toàn hệ thống thông tin tập trung: Mô tả phương án sử dụng giải pháp chuyên dụng (HP OpenView, Solarwinds…) hay giải pháp tương đương khác (Cacti, Nagios, MRTG…) để thực hiện giám sát hoạt động của hệ thống mạng, bảo đảm tính sẵn sàng của hệ thống. Chú ý mô tả ngắn gọn chức năng giám sát mà giải pháp cung cấp để đáp ứng yêu cầu.
+ Phương án quản lý sao lưu dự phòng tập trung: Mô tả phương án quản lý sao lưu dự phòng tập trung sử dụng giải pháp chuyên dụng hoặc giải pháp tương đương sử dụng các giải pháp như SAN, NAS…Chú ý mô tả ngắn gọn thông tin về giải pháp sử dụng và năng lực của giải pháp.
+ Phương án quản lý phần mềm phòng chống mã độc trên các máy chủ/máy tính người dùng tập trung: Mô tả phương án quản lý tập trung các phần mềm phòng chống độc hại được cài đặt trên các máy tính /máy chủ gửi sử dụng thông qua một máy chủ quản lý tập trung. Chú ý: mô tả thông tin ngắn gọn, bao gồm thông tin về giải pháp sử dụng, năng lực và chức năng của giải pháp cung cấp để đáp ứng yêu cầu.
+ Phương án phòng, chống thất thoát dữ liệu: Mô tả phương án phòng, chống thất thoát dữ liệu sử dụng trong hệ thống. Chú ý: mô tả thông tin ngắn gọn, bao gồm thông tin về giải pháp sử dụng, năng lực và chức năng của giải pháp cung cấp để đáp ứng yêu cầu.
+ Phương án duy trì ít nhất 02 kết nối mạng Internet: từ các ISP sử dụng hạ tầng kết nối trong nước khác nhau (nếu hệ thống buộc phải có kết nối mạng Internet);
+ Phương án bảo đảm an toàn cho mạng không dây: Mô tả phương án bảo mật cho mạng không dây sử dụng giải pháp chuyên dụng hoặc việc thiết lập cấu hình bảo mật trên hệ thống để bảo đảm an toàn cho mạng không dây. Chú ý: mô tả thông tin ngắn gọn, bao gồm thông tin về giải pháp sử dụng, năng lực và chức năng của giải pháp cung cấp để đáp ứng yêu cầu.
+ Phương án quản lý tài khoản đặc quyền: Mô tả phương án quản lý tài khoản đặc quyền cho phép quản lý tập trung việc xác thực, phân quyền, giám sát hành vi và các chức năng bảo mật khác để quản lý các tài khoản quản trị trong hệ thống. Chú ý: mô tả thông tin ngắn gọn, bao gồm thông tin về giải pháp sử dụng, năng lực và chức năng của giải pháp cung cấp để đáp ứng yêu cầu.
+ Phương án dự phòng hệ thống ở vị trí địa lý khác nhau: Cung cấp thông tin ngắn gọn về hệ thống dự phòng như: ở vị trí địa lý nào? Chức năng chính của hệ thống dự phòng và nguyên lý hoạt động cơ bản của hệ thống để thực hiện chức năng dự phòng.+ Phương án dự phòng cho kết nối mạng giữa hệ thống chính và hệ thống dự phòng: Mô tả phương án kết nối mạng giữa hệ thống chính và hệ thống dự phòng để thực hiện đồng bộ dữ liệu và dự phòng nóng khi hệ thống chính xảy ra sự cố.
Các hồ sơ đề xuất cấp độ an toàn hệ thống thông tin mẫu chuẩn
Tham khảo hồ sơ mẫu của Bộ TTTT tại đây
