An Giang hướng dẫn các biện pháp tăng cường bảo đảm an ninh mạng cho hệ thống thông tin quan trọng về an ninh quốc gia
Theo Thông báo của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an, thời gian qua, tình hình an ninh mạng tại Việt Nam diễn biến hết sức phức tạp. Hoạt động tấn công mạng nhằm vào các hệ thống thông tin trọng yếu của các cơ quan bộ, ngành, tổ chức, doanh nghiệp tại Việt Nam tiếp tục gia tăng về tần suất và mức độ nguy hiểm. Đáng chú ý, hình thức tấn công mạng bằng mã độc mã hóa dữ liệu đòi tiền chuộc (ransomware) đang ngày càng phổ biến và gây thiệt hại lớn về kinh tế và uy tín của cơ quan, tổ chức, doanh nghiệp; ảnh hưởng đến an ninh quốc gia, trật tự an toàn xã hội.
Trong khi đó, các cơ quan bộ, ban, ngành, tổ chức, doanh nghiệp chưa triển khai đầy đủ các biện pháp bảo vệ an ninh mạng cho các hệ thống thông tin theo quy định, gây khó khăn cho công tác điều tra, đấu tranh phòng, chống tội phạm của lực lượng Công an. Qua đó, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an đã ban hành tài liệu “Hướng dẫn các biện pháp tăng cường bảo đảm an ninh mạng cho hệ thống thông tin quan trọng về an ninh quốc gia”.
Nhằm tăng cường công tác bảo đảm an ninh, an toàn các hệ thống thông tin trên địa bàn tỉnh; ngày 05-6, Ủy ban nhân dân tỉnh yêu cầu Thủ trưởng các Sở, ban, ngành tỉnh; Ủy ban nhân dân các huyện, thị xã, thành phố tổ chức quán triệt đến toàn thể cán bộ, đảng viên tài liệu “Hướng dẫn các biện pháp tăng cường bảo đảm an ninh mạng cho hệ thống thông tin quan trọng về an ninh quốc gia” để làm cơ sở đánh giá tổng thể, nghiên cứu cập nhật, bổ sung chính sách quản lý, quy trình quản trị, vận hành, các giải pháp bảo đảm an ninh mạng cho các hệ thống thông tin trọng yếu.
Đồng thời khẩn trương, tổ chức kiểm tra an ninh mạng; rà soát, gỡ bỏ mã độc trên máy tính (nếu có); sao lưu dự phòng dữ liệu quan trọng; tăng cường giám sát an ninh mạng để kịp thời phát hiện hoạt động tấn công mạng. Đồng thời, rà soát việc tuân thủ của bộ phận kỹ thuật, cán bộ, nhân viên, viên chức đối với chính sách quản lý, quy chế bảo đảm an ninh mạng, quy trình quản trị, vận hành, ứng cứu sự cố, kiểm soát truy cập tài khoản quản trị đối với các hệ thống thông tin trọng yếu.
Trao đổi kết quả kiểm tra, đánh giá tổng thể về an ninh mạng; kịp thời báo cáo sự cố an ninh mạng nếu xảy ra trong quá trình vận hành về Công an tỉnh (qua Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) để phối hợp triển khai các biện pháp bảo vệ an ninh mạng, hỗ trợ ứng cứu, khắc phục sự cố.
Quá trình triển khai thực hiện, nếu gặp khó khăn, vướng mắc, yêu cầu các cơ quan, đơn vị liên hệ, trao đổi Công an tỉnh (qua Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao; Đ/c: 44-46, Nguyễn Thị Minh Khai, phường Mỹ Long, TP. Long Xuyên, tỉnh An Giang/ SĐT: 0693.64.05.05) để phối hợp, hướng dẫn kịp thời./.
Nguồn: Công văn số 735/UBND-KGVX ngày 5/6/2024
HƯỚNG DẪN
CÁC BIỆN PHÁP TĂNG CƯỜNG BẢO ĐẢM AN NINH MẠNG CHO
HỆ THÒNG THÔNG TIN QUAN TRỌNG VỀ AN NINH QUỐC GIA
(Ban hành kèm theo Công văn số 735/UBND-KGVX ngày 05 tháng 6 năm 2024 của UBND tỉnh An Giang)
MỤC LỤC
DANH MỤC TỪ VIẾT TẮT................................................................................. 2
- PHẠM VI, ĐỐI TƯỢNG VÀ NGUYÊN TẮC ÁP DỤNG........................... 3
- GIẢI THÍCH THUẬT NGỮ VÀ ĐỊNH NGHĨA........................................... 4
- CÁC BIỆN PHÁP TĂNG CƯỜNG BẢO ĐẢM AN NINH MẠNG......... .6
- Quản lý tài sản phần cứng............................................................................... 6
- Quản lý tài sản phần mềm.............................................................................. 7
- Quản lý tài sản thông tin................................................................................. 9
- Cấu hình an toàn cho thiết bị và phần mềm.................................................. 11
- Quản lý tài khoản và quyền truy cập tài khoản của người dùng................. 13
- Quản lý lỗ hổng bảo mật............................................................................... 15
- Quản lý nhật ký an ninh mạng..................................................................... 16
- Bảo vệ cho trình duyệt web, dịch vụ thư điện tử......................................... 18
- Phòng chống phần mềm độc hại.................................................................. 19
- Sao lưu và khôi phục dữ liệu....................................................................... 20
- Quản lý hạ tầng mạng............................................................................... 21
- Giám sát và phòng thủ an ninh mạng......................................................... 23
- Nâng cao nhận thức và đào tạo kỹ năng an ninh mạng............................. 24
- Quản lý nhà cung cấp dịch vụ..................................................................... 25
- Quản lý an ninh cho phần mềm ứng dụng................................................. 26
- Quản trị ứng phó sự cố an ninh mạng........................................................ 28
- Kiểm thử xâm nhập..................................................................................... 29
DANH MỤC TỪ VIẾT TẮT
STT |
Từ viết tắt |
Giải thích |
1 |
ANQG |
An ninh quốc gia |
2 |
CNTT |
Công nghệ thông tin |
3 |
DHCP |
Dynamic Host Configuration Protocol - là một giao thức cho phép cấp phát địa chỉ IP một cách tự động. |
4 |
DNS |
Domain Name System - là máy chủ chứa cơ sở dữ liệu về địa chỉ IP công khai và các tên máy chủ được liên kết với chúng. |
5 |
DMZ |
Demilitarized Zone - là vùng mạng trung lập giữa mạng nội bộ và Internet. |
6 |
URL |
Uniform Resource Locator - là vị trí của một trang web trên Internet. |
7 |
OT |
Operation Technology - hay còn được gọi là Công nghệ vận hành, là một khái niệm bao gồm tập hợp các phần cứng và phần mềm đóng vai trò phát hiện những thay đổi trong hệ thống thông qua việc quản lý, giám sát các thiết bị, máy móc, sự kiện trong quy trình vận hành công nghiệp. |
8 |
IoT |
Internet of Things - Internet vạn vật, là mạng kết nối các đồ vật và thiết bị thông qua cảm biến, phần mềm và các công nghệ khác, cho phép các đồ vật và thiết bị thu thập và trao đổi dữ liệu với nhau. |
9 |
AAA |
Xác thực (Authentication), ủy quyền (Authorization) và Kiểm tra (Accounting). |
10 |
VPN |
Virtual Private Network - Mạng riêng ảo, là một mạng riêng để kết nối các máy tính của các đơn vị, tổ chức với nhau thông qua mạng Internet công cộng, |
11 |
API |
Application programming interface - giao diện lập trình ứng dụng, là một giao diện mà một hệ thống máy tính hay ứng dụng cung cấp để cho phép các yêu cầu dịch vụ có thể được tạo ra từ các chương trình máy tính khác để trao đổi dữ liệu. |
I. PHẠM VI, ĐỐI TƯỢNG VÀ NGUYÊN TẮC ÁP DỤNG
Hướng dẫn này đưa ra các biện pháp, yêu cầu quản lý cần thiết để tăng cường bảo đảm an ninh mạng, nâng cao khả năng phòng thủ cho hệ thống thông tin quan trọng về an ninh quốc gia; đồng thời tạo thuận lợi cho công tác của lực lượng chuyên trách bảo vệ an ninh mạng (như: giám sát bảo vệ, điều phối ứng phó sự cố, thẩm định, kiểm tra, đánh giá điều kiện an ninh mạng...) và hoạt động bảo vệ hệ thông của cơ quan chủ quản, bao gồm: (1) Quản lý tài sản phần cứng; (2) Quản lý tài sản phần mềm; (3) Quản lý tài sản thông tin; (4) Cấu hình an toàn cho thiết bị và phần mềm; (5) Quản lý tài khoản và quyền truy cập tài khoản của người dùng; (6) Quản lý lỗ hổng bảo mật; (7) Quản lý nhật ký an ninh mạng; (8) Bảo vệ cho trình duyệt web, dịch vụ thư điện tử; (9) Phòng chống phần mềm độc hại; (10) Sao lưu và khôi phục dữ liệu; (11) Quản lý hạ tầng mạng; (12) Giám sát và phòng thủ an ninh mạng; (13) Nâng cao nhận thức và đào tạo kỹ năng an ninh mạng; (14) Quản lý nhà cung cấp dịch vụ; (15) Quản lý an ninh cho phần mềm ứng dụng; (16) Quản trị ứng phó sự cố an ninh mạng; (17) Kiểm thử xâm nhập.
Hướng dẫn này khuyến cáo áp dụng cho các hệ thống thông tin, gồm:
- Hệ thông thông tin đã được xác định, nằm trong Danh mục Hệ thống thông tin quan trọng về an ninh quốc gia do Thủ tướng Chính phủ phê duyệt hoặc các hệ thông thông tin đã được cấp có thẩm quyền phê duyệt, nộp hồ sơ đề nghị đưa vào Danh mục Hệ thống thông tin quan trọng về an ninh quốc gia.
- Hệ thông thông tin đáp ứng các căn cứ xác lập danh mục hệ thống thông tin quan trọng vê an ninh quốc gia quy định tại Điều 3 Nghị định số 53/2022/NĐ- CP ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng; được chủ quản hệ thống thông tin tự xác định và tuân thủ.
- Hệ thống thông tin đã được xác định cấp độ 4, 5 theo Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ; nhưng cần tham chiếu, bổ sung để tăng cường bảo đảm an ninh mạng khi chưa có Tiêu chuẩn mới, cập nhật thay thế Tiêu chuẩn quốc gia TCVN 11930:2017 yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.
- Khuyến khích áp dụng rộng rãi cho các hệ thống thông tin khác ngoài các trường hợp nói trên.
a) Tuân thủ quy định của pháp luật.
b) Hướng dẫn mang tính chất khuyến cáo áp dụng, không thay thế phương án bảo đảm an toàn hệ thống thông tin đang áp dụng (nếu đã xây dựng, phê duyệt Hồ sơ đề xuất cấp độ an toàn thông tin) mà nhằm giúp chủ quân các hệ thống thông tin rà soát, đổi chiếu để tổ chức triển khai, tăng cường bảo đảm an ninh mạng.
c) Để hiệu quả bảo đảm an ninh mạng ở mức cao nhất, khuyến khích chủ quản của hệ thống thông tin quan trọng về an ninh quốc gia triển khai các biện pháp bảo đằm an ninh mạng đáp ứng toàn bộ các yêu cầu (bao gồm cả các yêu cầu khuyến khích thực hiện).
II. GIẢI THÍCH THUẬT NGỮ VÀ ĐỊNH NGHĨA
1. An ninh mạng: là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyên và lợi ích họp pháp của cơ quan, tổ chức, cá nhân.
2. Hệ thống thông tin quan trọng về an ninh quốc gia
Được quy định tại Khoản 1, Khoản 2 Điều 10 Luật An ninh mạng, bao gồm:
a) Hệ thống thông tin quân sự, an ninh, ngoại giao, cơ yếu;
b) Hệ thống thông tin lưu trữ, xử lý thông tin thuộc bí mật nhà nước;
c) Hệ thống thông tin phục vụ lưu giữ, bảo quản hiện vật, tài liệu có giá trị đặc biệt quan trọng;
d) Hệ thống thông tin phục vụ bảo quản vật liệu, chất đặc biệt nguy hiểm đối với con người, môi trường sinh thái;
đ) Hệ thống thông tin phục vụ bảo quản, chế tạo, quản lý cơ sở vật chất đặc biệt quan trọng khác liên quan đến an ninh quốc gia;
e) Hệ thống thông tin quan trọng phục vụ hoạt động của cơ quan, tổ chức ở trung ương;
g) Hệ thống thông tin quốc gia thuộc lĩnh vực năng lượng, tài chính, ngân hàng, viễn thông, giao thông vận tải, tài nguyên và môi trường, hóa chất, y tể, văn hóa, báo chí;
h) Hệ thống điều khiển và giám sát tự động tại công trình quan trọng liên quan đến an ninh quốc gia, mục tiêu quan trọng về an ninh quốc gia.
3. Trung tâm An ninh mạng quốc gia (National Cyber Security Agency - viết tắt là NCA): là đơn vị trực thuộc thuộc Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an; có chức năng giám sát, phân tích, cảnh báo sớm các nguy cơ đe dọa an ninh mạng quốc gia; tham gia bảo vệ an ninh mạng đối với các cơ quan, đơn vị trọng yếu.
4. Hệ thống thông tin (Information System): Tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin của cơ quan, tổ chức.
5. Tài sản công nghệ thông tin: Các trang thiết bị, thông tin thuộc hệ thống CNTT của đơn vị; bao gồm:
a) Tài sản phần cứng: là các thiết bị CNTT, phương tiện truyền thông và các thiết bị phục vụ cho hoạt động của hệ thống CNTT.
b) Tài sản phần mềm: bao gồm các chương trình ứng dụng, phần mềm hệ thống, cơ sở dữ liệu và công cụ phát triển.
c) Tài sản thông tin: là các dữ liệu, tài liệu liên quan đến hệ thống CNTT, được thể hiện bằng vãn bản giấy hoặc dữ liệu điện tử.
6. Phần mềm trái phép (Unauthorized Software): Những phần mềm không nằm trong danh sách phần mềm được phép sử dụng hoặc đã hết thời gian hỗ trợ của nhà cung cấp.
7. An ninh thông tin (Information Security): Sự bảo vệ thông tin, hệ thống thông tin tránh bị truy cập, sừ dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bí mật và tính khả dụng của thông tin.
8. Dữ liệu quan trọng (Important Data): Dữ liệu trong hệ thống, được cơ quan, tổ chức xác định là quan trọng, cần được ưu tiên bảo vệ. Dữ liệu quan trọng bao gôm, nhưng không giới hạn các loại dữ liệu chứa các thông tin sau: thông tin nghiệp vụ, thông tin bí mật nhà nước, thông tin riêng và các loại thông tin quan trọng khác (nếu có).
9. Giám sát hệ thống thông tin (Information System Monitoring): Biện pháp giám sát, theo dõi trạng thái hoạt động của hệ thống để phát hiện, cảnh báo sớm các sự cố có thế gây gián đoạn hoạt động của hệ thống và làm mất tính khả dụng của hệ thống thông tin.
10. Nhật ký hệ thống (System Log): Những sự kiện được hệ thống ghi lại liên quan đến trạng thái hoạt động, sự cố, sự kiện an ninh thông tin và các thông tin khác liên quan đến hoạt động của hệ thống (néu có).
11. Phần mềm độc hại (Malware): Phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.
12. Phương tiện lưu trữ (Media Storage): Các thiết bị, phương tiện được sử dụng để luư trữ, sao chép, trao đổi thông tin giữa các thiết bị, máy tính một cách gián tiếp.
13. Xác thực đa yếu tố (Multi-Factor Authentication): Phương pháp xác thực không chỉ dựa vào một mà là kết họp một số yếu tố liên quan đến người dùng, bao gồm: những thông tin mà người dùng biết (mật khẩu, mã số truy cập...), những thông tin mà người dùng sở hữu (chứng thư số, thẻ thông minh...) hoặc những thông tin về sinh trắc học của người dùng (vân tay, mong mắt...).
14. Tiến trình (Process): Một thực thể chương trình đang được chạy trong hệ thống.
15. Khôi Dhục (Rollback): Thao tác đưa hệ thống về một trạng thái cũ.
16. Kiểm soát (Control): Quá trình thiết lập các tiêu chuẩn đo lường kết quả thực hiện, so sánh ket quả với cac tiêu chuẩn, phát hiện sai lệch và nguyên nhản, tiến hành các điều chỉnh nhằm làm cho kết quả cuối cùng phù họp với mục tiêu đã được xác định.
III. CÁC BIỆN PHÁP TĂNG CƯỜNG BẢO ĐẢM AN NINH MẠNG
1. Quản lý tài sản phần cứng
- Lập danh sách, theo dõi, cập nhật trạng thái của tât cả các tài sản công nghệ thong tin nội bộ và các tài sản không thuộc quyền kiểm soát của tổ chức nhưng có kết nối vào hệ thống nội bộ, xác định danh sách tài sản cần được giám sát, bảo vệ.
- Xác định các tài sản vô chủ, tài sản trái phép để loại bỏ hoặc đưa ra phương án quản lý.
- Thực hiện kiểm kê, rà soát và cập nhật danh sách cho tất cả các tài sản định kỳ tối thiểu 02 lần/năm.
- Khai báo và cập nhật đầy đủ tình trạng tài sản phần cứng trên hệ thống quản lý của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao để phục vụ công tác quản lý, đánh giá an ninh, an toàn, ứng phó sự cố đối với các hệ thống thông tin quan trọng về an ninh quốc gia.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện |
Khuyến cáo ấp dụng |
1.1 |
Thiết lập và duy trì hệ thống quản lý danh mục tài sản phần cứng |
- Danh sách tài sản phần cứng phải bao gồm tối thiểu các thông tin cơ bản sau: tên tài sản, địa chỉ mạng IP (đối với thiết bị đặt địa chỉ IP tĩnh), địa chỉ phần cứng MAC/ mã nhận diện serial, thời gian ngừng hỗ trợ kỹ thuật của hãng (nếu có), vị trí lăp đặt địa lý, vị trí lắp đặt trong hệ thống mạng, mục đích sử dụng, tình trạng sử dụng. Tài sản vật lý phải được giao, gán trách nhiệm cho cá nhân hoặc bộ phận quản lý, sử dụng. - Các thiết bị di động kết nối vào hệ thống mạng nội bộ của tổ chức phải được đăng ký để kiểm soát. Quy định trách nhiệm của cá nhân trong tô chức khi sử dụng thiết bị di động để phục vụ công việc. |
Cần thiết |
1.2 |
Xử lý các tài sản phần cứng chưa được quản lý |
- Có thể lựa chọn loại bỏ, từ chối kết nối hoặc cách ly tài sản trái phép. |
Cần thiết |
1.3 |
Rà soát các tài sản kết nối vào mạng nội bộ |
Thực hiện cập nhật danh sách tài sản dựa trên kết quả rà quét. |
Cần thiết |
1.4 |
Sử dụng DHCP Logging để cập nhật bản kiểm kê tài sản công nghệ thông tin nội bộ |
|
Cần thiết |
1.5 |
Quản lý tài sản thanh lý/ hư hỏng |
Xây dựng, ban hành và bảo đảm tuân thủ quy trình thanh lý/ tiêu hủy tài sản CNTT, bảo đảm xóa không thể khôi phục toàn bộ dữ liệu của cơ quan, tổ chức trước khi tiến hành thanh lý/ tiêu hủy. |
Cần thiết |
2. Quản lý tài sản phần mềm
a) Yêu cầu chung
- Lập danh sách, theo dõi, cập nhật trạng thái của tất cả các tài sản phần niêm của cơ quan, tổ chức, bảo đảm chỉ những phần mềm đã phê duyệt mới được phép cài đặt và sử dụng.
- Khai báo và cập nhật đầy đủ tình trạng tài sản phần mềm trên hệ thống quản lý của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao đe phục vụ công tác quản lý, đánh giá an ninh, an toàn, ứng phó sự cố đôi với các hệ thống thông tin quan trọng về an ninh quốc gia.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện |
Khuyến cáo áp dụng |
2.1 |
Thiết lập và duy trì hệ thống quản lý danh mục tài sản phần mềm |
|
Cần thiết |
2.2 |
Thiết lập và duy trì danh sách các tài sản phần mềm được phép sử dụng |
Định kỳ đánh giá và cập nhật danh sách phần mềm được phép sử dụng tối thiểu 02 lần / năm hoặc khi xảy ra các thay đổi trong tổ chức ảnh hưởng đến danh sách. |
Cần thiết |
2.3 |
Đảm bảo toàn bộ các tài sản phần mềm được phép sử dụng đang trong thời gian hỗ trợ của nhà cung cấp |
Thực hiện định kỳ rà soát danh sách tài sản phần mềm được phép sử dụng và danh sách tài sản phần mềm cài đặt trên các tài sản phần cứng đê bảo đảm tất cả tài sản phần mềm đang trong thời gian hỗ trợ của nhà cung cấp, tối thiểu 02 lần / năm. |
Cần thiết |
2.4 |
Xử lý các tài sản phẩn mềm trái phép |
Nhũng phần mềm trái phép không nằm trong danh sách ngoại lệ phải có kế hoạch để xóa/ gỡ bỏ hoàn toàn khỏi các tài sản phần cứng của cơ quan, tố chức trong thời gian sớm nhất. |
Cần thiết |
3. Quản lý tài sản thông tin
a) Yêu cầu chung
Thực hiện quản lý tài sản thông tin và thực hiện các biện pháp kiểm soát để phát hiện, phân loại, xử lý, lưu giữ và loại bỏ tài sản thông tin một cách an toàn.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện |
Khuyến cáo áp dụng |
3.1 |
Thiết lập và duy trì quy trình quản lý tài sản thông tin |
+ Mức 1: Công khai tài sản thông tin công khai không yêu cầu vê bảo mật. + Mức 2: Nội bộ tài sản thông tin nội bộ yêu cầu chỉ những người trong tổ chức mới có quyền truy cập. + Mức 3: Hạn chế tài sản thông tin bị hạn chế yêu cầu quyền truy cập, chỉ những người dùng được cấp quyền mới có thê truy cập vào dữ liệu. Việc tiết lộ tài sản thông tin bị hạn chẽ sẽ ảnh hưởng đến hoạt động của các đơn vị. + Mức 4: Bí mật nhà nước. Thông tin có nội dung quan trọng, do cơ quan, tổ chức có thấm quyền xác định; chưa công khai, nêu bị lộ, bị mất có thể gây nguy hại đến lợi ích quốc gia, dân tộc {thực hiện theo quy định của Luật Bảo vệ bí mật nhà nước).
|
Cần thiết |
3.2 |
Thiết lập và duy trì bản danh sách tài sản thông tin |
|
Cần thiết |
3.3 |
Xây dựng danh sách kiểm soát truy cập tài sản thông tin |
Xây dựng danh sách quyền truy cập của các tài khoản, người dùng đối với từng loại tài sản thông tin. |
Cần thiết |
3.4 |
Mã hoá dữ liệu quan trọng |
- |
Cần thiết |
3.5 |
Tài liệu hoá luồng dữ liệu |
|
Cần thiết |
3.6 |
Tách biệt quá trình xử lý và lưu trữ dữ liệu theo mức độ nhạy cảm |
|
Cần thiết |
3.7 |
Triển khai giải pháp phòng chống thất thoát dừ liệu |
Xây dựng và triển khai giải pháp chống thất thoát dữ liệu đối với dữ liệu có độ nhạy cảm mức 03 trở lên trong toàn tổ chức. |
Cần thiết |
3.8 |
Lưu trữ nhật ký truy cập dữ liệu quan trọng |
|
Cần thiết |
4. Cấu hình an toàn cho thiết bị và phần mềm
a) Yêu cầu chung
Thiết lập và duy trì cấu hình an toàn cho thiết bị (như thiết bị người dùng cuôi bao gôm thiết bị di động và cầm tay, thiết bị mạng, thiết bị OT/IoT, máy chủ) và phần mềm (như hệ điều hành, ứng dụng...).
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện |
Khuyến cáo áp dụng |
4.1 |
Thiết lập và duy trì quy định, quy trình cấu hình an toàn cho tài sản phần cứng và phần mềm |
- Xây dựng, ban hành và bảo đảm tuân thủ quy định, quy trình cấu hình an toàn cho các tài sản phần cứng và phần mềm của cơ quan, tổ chức.
- Đánh giá và cập nhật quy trình quản lý cấu hình an toàn và các tài liệu liên quan tôi thiêu 01 lần/năm hoặc khi có thay đổi xảy ra trong tổ chức ảnh hưởng đến tài liệu. |
Cần thiết |
4.2 |
Cấu hình tự động hóa phiên làm việc trên các tài sản phần cứng và phần mềm |
+ Đối với máy tính người dùng, thời gian này không vượt quá 15 phút. + Đối với các thiết bị mạng, thời gian này không vượt quá 05 phút. + Đối với thiết bị di động, thời gian này không vượt quá 02 phút. + Đối với các phần mềm nghiệp vụ xử lý dữ liệu quan trọng, thời gian này không vượt quá 15 phút.
+ Đối với máy tính xách tay, số lần đăng nhập thất bại tối đa 10 lần. + Đối với điện thoại, số lần đăng nhập thất bại tối đa 10 lần. + Đối với các phần mềm nghiệp vụ xử lý và lưu trữ dữ liệu quan trọng, số lần đăng nhập thất bại tổi đa 05 lần. |
Cần thiết |
4.3 |
Gỡ bỏ hoặc vô hiệu hoá các tính năng, dịch vụ không cần thiết trên các tài sản phần cứng và phần mềm |
Xây dựng, ban hành và bảo đảm tuân thủ quy định gỡ bỏ hoặc vô hiệu hoá các tính năng, dịch vụ không cần thiết trên các tài sản phần cứng và phần mềm. |
Cần thiết |
4.4 |
Cấu hình máy chủ DNS tin cậy |
Thiết lập các cấu hình máy chủ DNS tin cậy trên các tài sản phần cứng nếu có. |
Tuỳ chọn |
4.5 |
Thiết lập khả năng xoá sạch dữ liệu từ xa trên thiết bị di động cấp cho người dùng |
Xây dựng và triển khai giải pháp xoá sạch dữ liệu từ xa trên thiết bị di động cấp cho người dùng. |
Cần thiết |
4.6 |
Phân tách các không gian làm việc riêng biệt trên các thiết bị di động cấp cho người dùng |
|
Tuỳ chọn |
5. Quản lý tài khoản và quyền truy cập tài khoản của nguôi dùng
- Thiết lập, tuân thủ và duy trì quy trình, công cụ để chỉ định và quản lý việc câp quyền tài khoản người dùng bao gồm tài khoản quản trị, tài khoản dịch vụ trên các tài sản công nghệ thông tin và phần mềm
- Xây dựng và thực thi quy trình tạo, gán, quản lý, thu hồi đặc quyền và quyền truy cập đối với các tài khoản người dùng, tài khoản quản trị và tài khoản dịch vụ cho tài sản công nghệ thông tin và phần mềm. Quyền truy cập của tài khoản người dùng, quản trị viên và dịch vụ phải nhất quán dựa trên vai trò và các yêu cầu cụ thể, bảo đảm người dùng chỉ có quyền truy cập vào dữ liệu, tài sản phù hợp.
- Ghi nhật ký và giám sát tài khoản người dùng.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện |
Khuyến cáo áp dụng |
5.1 |
Thiết lập và duy trì hệ thống quản lý tài khoản |
- Lập danh sách, theo dõi và cập nhật tất cả các tài khoản trên các tài sản phần cứng và phần mềm của tổ chức.
- Danh sách tài khoản phải được rà soát định kỳ 01 lần/quý. |
Cần thiết |
5.2 |
Xây dựng và tuân thủ quy định sử dụng mật khẩu |
- Xây dựng, ban hành và bảo đảm tuân thủ quy định sử dụng mật khẩu an toàn trong tô chức, đáp ứng các yêu cầu sau: + Sử dụng mật khẩu duy nhất cho mỗi tài sản. + Thay đổi mật khẩu định kỳ 01 lần/ 02 tháng. + Đối với các hệ thống sử dụng xác thực đa yếu tố, quy định mật khẩu có tối thiểu 08 ký tự. + Đối với các hệ thống không sử dụng xác thực đa yếu tố, quy định mật khẩu có tối thiểu 14 ký tự, bao gồm ký tự viết thường, ký tự viết hoa, ký tự đặc biệt, chữ số. + Mật khẩu mới không được trùng với 10 mật khẩu trước đó. |
Cần thiết |
5.3 |
Xây dựng và tuân thủ quy định quản lý tài khoản |
- Xây dựng, ban hành và bảo đảm tuân thủ quy định quản lý tài khoản trong tổ chức đáp ứng các yêu cầu sau: + Quản lý tài khoản tập trung. + Quản lý tài khoản mặc định trên phần mềm, thiết bị (như tài khoản root, administrator, tài khoản cấu hình sẵn của nhà cung cấp dịch vụ). + Quản lý tách biệt giữa các loại tài khoản: tài khoản người dùng, tài khoản quản trị và tài khoản dịch vụ. + Xoá hoặc vô hiệu hoá các tài khoản không hoạt động sau 45 ngày hoặc ngay khi có thay đổi về nhân sự quản lý tài khoản. |
Cần thiết |
5.4 |
Xây dựng và tuân thủ quy định quản lý truy cập |
+ Nguyên tắc cấp quyền tối thiếu và phân tách nhiệm vụ đối với mọi loại tài khoản. + Tài liệu hóa các quyền truy cập cần thiết tương úng với các chức danh, bộ phận trong cơ quan, tổ chức. + Yêu cầu xác thực đa yếu tố đối với các ứng dụng có kết nối ra bên ngoài tổ chức, kết nối đến đối tác/ bên thứ ba, kết nối internet; các truy cập từ xa đến hệ thống mạng nội bộ và các tài khoản có quyền quản trị hệ thống. + Định kỳ rà soát và cập nhật quy định quản lý truy cập và các tài liệu liên quan tôi thiêu 01 lân / năm. |
Cần thiết |
5.5 |
Xây dựng và tuân thủ quy trình cấp mới, thay đổi và thu hồi quyền truy cập |
|
Cần thiết |
6. Quản lý lỗ hống bảo mật
- Xây dựng, phát triển kế hoạch đánh giá và theo dõi các lỗ hổng bảo mật thường xuyên để khắc phục và giảm thiểu nguy cơ bị tấn công.
- Theo dõi, cập nhật thông tin về các mối đe doạ, lỗ hổng bảo mật mới từ nhiều nguồn.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện
|
Khuyến cáo áp dụng |
6.1 |
Thiết lập, tuân thủ và duy trì quy trình quản lý lỗ hổng bảo mật |
- Xây dựng, ban hành và bảo đảm tuân thủ quy trình quản lý lỗ hổng bảo mật cho các tài sản công nghệ thông tin của tổ chức. Các nội dung tối thiểu bao gồm: + Phát hiện lỗ hổng bảo mật: Xây dựng và triển khai các giải pháp để rà quét lỗ hổng bảo mật cho các tài sản phần cứng và phần mềm của cơ quan, tổ chức. Định kỳ thực hiện rà soát tổng thể hệ thống tối thiểu 01 lần/quý và rà soát đối với các tài sản quan trọng tối thiêu 01 lân / tháng. + Đánh giá mức độ nghiêm trọng của lỗ hổng: Xây dựng và triển khai phương pháp đánh giá mức độ nghiêm trọng của lô hổng, từ đó xác định mức độ ưu tiên của việc khắc phục lỗ hổng. + Báo cáo/ chia sẻ thông tin lỗ hổng: Chia sẻ thông tin về lỗ hổng bảo mật với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao và các bên liên quan. Thiết lập và duy trì cơ chế để chia sẻ thông tin, tiếp nhận và phản hồi báo cáo lỗ hổng bảo mật từ bên liên quan hoặc các nguồn công khai khác. + Triển khai các biện pháp khắc phục: Xây dựng phương án, kế hoạch khắc phục cho các lỗ hổng đã phát hiện theo thứ tự ưu tiên và các bước đánh giá lại hệ thống để bảo đảm lỗ hổng đã được khắc phục hoàn toàn. - Rà soát và cập nhật quy trình tối thiểu 01 lần / năm hoặc khi xảy ra thay đổi trong tổ chức ảnh hưởng đến quy trình này. |
Cần thiết |
6.2 |
Thiết lập, tuân thủ và duy trì quy trình quản lý bản vá |
- Xây dựng, ban hành và bảo đảm tuân thủ quy trình quản lý bản vá. Các nội dung tối thiểu bao gồm: + Xây dựng và triển khai máy chủ quản lý bản vá tập trung cho toàn bộ tài sản phần cúng và phần mềm của cơ quan, tổ chức. + Đánh giá tác động, tiến hành kiểm thử và xây dựng phương án phục hồi trước khi triển khai bản vá trên các hệ thống thông tin có xử lý hoặc lưu trữ dữ liệu quan trọng. + Thực hiện cập nhật bản vá hệ điều hành, ứng dụng cho toàn bộ máy tính, thiết bị di động cấp cho người dùng tối thiểu 01 lần/tháng. + Giám sát và duy trì hệ thống để bảo đảm không có lỗ hổng mới xuất hiện và các bản vá vẫn hoạt động tốt. |
Cần thiết |
7. Quản lý nhật ký an ninh mạng
a) Yêu cầu chung
- Có chính sách thu thập, phân tích, giám sát và lưu trữ nhật ký an ninh mạng để phát hiện sớm và ứng phó sự cố tấn công mạng.
- Chia sẻ dữ liệu nhật ký an ninh mạng với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao để hỗ trợ phát hiện, cảnh báo và khắc phục sự co tấn công mạng đối với các hệ thống thông tin quan trọng về an ninh quốc gia.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện |
Khuyến cáo áp dụng |
7.1 |
Thiết lập, tuân thủ và duy trì một quy trình quản lý nhật ký an ninh mạng |
+ Quy định về cách thức ghi nhật ký. + Quy định về việc thu thập, kiểm tra, lưu trữ nhật ký. + Quy định các loại nhật ký được thu thập. Thu thập tối thiểu các loại nhật ký sau: nhật ký truy cập hệ thống, nhật ký tiến trình hoạt động, nhật ký ứng dụng, nhật ký cảnh báo của các thiết bị bảo mật. + Đảm bảo việc thu thập nhật ký được áp dụng trên toàn bộ tài sản CNTT chứa dữ liệu nhạy cảm của tổ chức. + Đảm bảo duy trì không gian lưu trữ nhật ký tối thiểu 18 tháng. Triển khai hệ thống theo dõi tránh tình trạng đầy không gian lưu trữ, dẫn tới thất thoát dữ liệu. + Định kỳ thực hiện rà soát nhật ký an ninh mạng tối thiểu 01 lần / tuần.
|
Cần thiết |
7.2 |
Thu thập nhật ký an ninh mạng của nhà cung cấp dịch vụ |
Thực hiện thu thập nhật ký an ninh mạng của các nhà cung cấp dịch vụ đối các dịch vụ mà tổ chức sử dụng. |
Tuỳ chọn |
7.3 |
Bảo vệ nhật ký an ninh mạng |
đổi, xóa bỏ. |
Cần thiết |
8. Bảo vệ cho trình duyệt web, dịch vụ thư điện tử
a) Yêu cầu chung
Tăng cường bảo vệ và phát hiện các mối đe doạ từ dịch vụ thư điện tử, trình duyệt web.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện |
Khuyến cáo áp dụng |
8.1 |
Quản lý trình duyệt web và dịch vụ thư điện tử |
|
Cần thiết |
8.2 |
Sử dụng dịch vụ lọc tên miền (DNS Filtering) |
Triển khai sử dụng dịch vụ lọc tên miền DNS Filtering trong toàn cơ quan, tổ chức để ngăn chặn các tên miền giả mạo và độc hại. |
Cần thiết |
8.3 |
Thực thi và cập nhật các bộ lọc URL |
Triển khai và định kỳ cập nhật các bộ lọc URL để hạn chế tài sản doanh nghiệp kết nối với các trang web độc hại tiềm ẩn hoặc không được chấp thuận. |
Cần thiết |
8.4 |
Kiểm soát việc sử dụng các tiện ích mở rộng trong trình duyệt web và ứng dụng thư điện tử |
|
Cần thiết |
8.5 |
Triển khai giải pháp xác thực email |
- Triển khai giải pháp xác thực email DMARC (Domain-based Authentication, Reporting & Conformance) để tăng cường bảo mật và ngăn chặn các cuộc tấn công lừa đảo, giả mạo đối với các tên miền tổ chức. |
Cần thiết |
8.6 |
Quản lý các loại tệp được phép đính kèm trong trong thư điện tử |
|
Cần thiết |
8.7 |
Triển khai và duy trì biện pháp bảo vệ mã độc đối với máy chủ thư điện tử |
Xây dựng và triển khai các phương án bảo vệ mã độc đối với máy chủ thư điện tử |
Cần thiết |
9. Phòng chống phần mềm độc hại
- Xây dựng quy định để quản lý, phòng chống, khắc phục việc cài đặt, lây lan, thực thi các phần mềm và đoạn mã độc hại trong cơ quan, tổ chức.
- Triển khai hệ thống phòng chống mã độc trên tất cả các tài sản và các điểm kết nối giữa những hệ thống thông tin (bao gồm cả kết nối nội bộ và kết nối ra bên ngoài tổ chức). Hệ thống phòng chống mã độc phải phù hợp và tương thích với các hệ thống thông tin của cơ quan, tổ chức, đồng thời có khả năng tự động dò quét, ngăn chặn khi phát hiện mã độc, cập nhật kịp thời các mẫu nhận diện mã độc mới và tích hợp với quy trình quản lý lỗ hổng và ứng phó sự cố.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện |
Khuyến cáo áp dụng |
9.1 |
Triển khai và duy trì phần mềm, giải pháp phòng chống mã độc |
|
Cần thiết |
9.2 |
Thực hiện phòng, chống mã độc đổi với các thiết bị lưu trữ ngoài |
Triển khai rà quét mã độc và vô hiệu hoá tính năng tự động thực thi đối với các phương tiện luư trữ di động như ổ cứng, thẻ nhớ, USB... |
Cần thiết |
9.3 |
Quản lý tập trung các phần mềm phòng, chống mã độc |
Triển khai giải pháp quản trị tập trung phần mềm phòng, chống mã độc trong toàn cơ quan, tổ chức. |
Cần thiết |
9.4 |
Kích hoạt tính năng phòng chổng khai thác lỗ hổng |
Kích hoạt các tính năng phòng chống khai thác lỗ hổng trên các tài sản phần cứng và phần mềm như Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG), Apple® System Integrity Protection (SIP), Gatekeeper™... |
Cần thiết |
9.5 |
Xây dựng và triển khai giải pháp phòng chống mã độc theo hành vi |
Triển khai giải pháp phòng và chống mã độc dựa trên hành vi (EDR - Endpoint Detection and Response). |
Cần thiết |
10. Sao lưu và khôi phục dữ liệu
a) Yêu cầu chung
Triển khai và duy trì phương án sao lưu, phục hồi dữ liệu, bảo đảm khôi phục các tài sản về trạng thái tin cậy trước khi có sự cố.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện
|
Khuyến cáo áp dụng |
10.1 |
Xây dựng và tuân thủ quy định sao lưu và khôi phục dữ liệu |
+ Xác định tần suất sao lưu và khôi phục tương ứng với từng loại dữ liệu đã định nghĩa. + Xác định phương pháp sao lưu và khôi phục tương ứng với từng loại dữ liệu đã định nghĩa. + Quản lý vùng lưu trữ dữ liệu sao lưu, bảo đảm tính toàn vẹn của dữ liệu và khôi phục dữ liệu một cách nhanh chóng và hiệu quả. + Định kỳ thực hiện khôi phục dữ liệu đã sao lưu dựa trên mức độ nhạy cảm và tầm quan trọng của dữ liệu. - Rà soát và cập nhật quy định tối thiểu 01 lần/năm hoặc khi xảy thay đôi trong tổ chức ảnh hưởng đến quy định. |
Cần thiết |
10.2 |
Thực hiện sao lưu dữ liệu tự động |
|
Cần thiết |
10.3 |
Bảo vệ dữ liệu khôi phục |
|
Cần thiết |
10.4 |
Thiết lập và duy trì hạ tầng lưu trữ tách biệt cho dữ liệu khôi phục |
Các dữ liệu khôi phục cần phải được định danh, quản lý phiên bản và lưu trữ ở những hạ tầng tách biệt với môi trường vận hành. |
Cần thiết |
10.5 |
Kiểm tra khả năng khôi phục dữ liệu |
Kiểm tra khả năng khôi phục bản sao lưu tối thiểu 01 lần/03 tháng. |
Cần thiết |
11. Quản lý hạ tầng mạng
Thiết lập, thực thi và quản lý các thiết bị mạng để phòng ngừa tin tặc khai thác lỗ hổng dịch vụ mạng và các điểm truy cập dễ bị tấn công.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện
|
Khuyến cáo áp dụng |
11.1 |
Thiết lập, duy trì các sơ đồ kiến trúc hệ thống mạng và kiến trúc mạng an toàn |
+ Tổng quan kiến trúc hệ thống mạng; + Sơ đồ cấp chi tiết của hệ thống mạng; + Ghi chú các tài liệu đặc tả kỹ thuật, tài liệu thống kê...; + Tài liệu mô tả phương án bảo đảm an ninh mạng.
|
Cần thiết |
11.2 |
Quản lý an toàn cơ sở hạ tầng mạng |
|
Cần thiết |
11.3 |
Quản lý tập trung việc xác thực, cấp quyền và kiểm toán mạng. |
Triển khai hệ thống AAA để quản lý tập trung việc xác thực, cấp quyền và kiểm toán cho toàn cơ quan, tổ chức. |
Cần thiết |
11.4 |
Sử dụng các giao thức truyền thông và quản trị mạng an toàn |
Sử dụng các giao thức truyền thông và quản trị mạng an toàn. |
Cần thiết |
11.5 |
Xây dựng và áp dụng chính sách quản lý truy cập từ xa |
- Xây dựng và áp chính sách quản lý truy cập từ xa đáp ứng yêu cầu sau: + Sử dụng mạng riêng ảo VPN cho việc truy cập từ xa vào hệ thống. + Yêu cầu người dùng xác thực đa yếu tố để VPN và các dịch vụ xác thực khác trước khi truy cập vào hệ thống. + Các thiết bị được phép truy cập từ xa phải bảo đảm các yêu cầu về bảo mật: cài đặt phần mêm phòng chống mã độc, cấu hình bảo mật theo chính sách an toàn đã ban hành của tổ chức. |
Cần thiết |
11.6 |
Thiết lập và duy trì tài nguyên hệ thống dành riêng cho công tác quản trị |
Thiết lập và duy trì các nguồn tài nguyên dành riêng, tách biệt về mặt vật lý và logic; được phân tách với mạng chính của hệ thống và không kết nối với Internet. |
Cần thiết |
12. Giám sát và phòng thủ an ninh mạng
- Xây dựng, vận hành các quy trình và công cụ để thiết lập, duy trì giám sát mạng toàn diện vả bảo vệ hệ thống mạng khỏi các mối đe doạ.
- Kết nối các hệ thống quan trọng với hệ thống chỉ huy giám sát an ninh mạng của Trung tâm An ninh mạng quốc gia để triển khai giám sát, phát hiện và xử lý sự cố.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện |
Khuyến cáo áp dụng |
12.1 |
Quản lý tập trung các cảnh báo và sự kiện an ninh mạng |
|
Cần thiết |
12.2 |
Thiết lập và sử dụng tính năng về tường lửa, cảnh báo phát hiện và ngăn chặn xâm nhập của hệ điều hành và hệ thống |
Thiết lập và sử dụng tính năng về tường lửa, cảnh báo phát hiện, ngăn chặn xâm nhập của hệ điều hành và hệ thống (nếu có). |
Cần thiết |
12.3 |
Triền khai giải pháp, thiết bị chuyên dụng để bảm mật hệ thống mạng của cơ quan, tổ chức |
Triển khai các giải pháp, thiết bị chuyên dụng có chức năng lọc gói tin giữa các phân đoạn mạng, lọc tầng úng dụng, cảnh báo phát hiện và ngăn chặn xâm nhập trong hệ thống mạng của cơ quan, tổ chức. |
Cần thiết |
12.4 |
Thiết lập cấu hình kiểm soát truy cập các cổng kết nối mạng |
Thiết lập cấu hình trên các thiết bị mạng để kiểm soát truy cập các cổng kết nối mạng nếu thiết bị hỗ trợ. |
Cần thiết |
12.5 |
Thu thập thông tin dữ liệu mạng |
Thu thập nhật ký luồng dữ liệu mạng và/ hoặc dữ liệu lưu lượng từ các thiết bị mạng để rà soát và đưa ra các cảnh báo. |
Tuỳ chọn |
12.6 |
Điêu chỉnh các ngưỡng cảnh báo sự kiện an ninh mạng |
Điều chỉnh ngưỡng cảnh báo sự kiện an ninh mạng tối thiểu 01 lần/tháng. |
Tuỳ chọn |
12. Nâng cao nhận thức và đào tạo kỹ năng an ninh mạng
a) Yêu cầu chung
Thiết lập và duy trì chương trình đào tạo nâng cao nhận thức an ninh mạng và
kỹ năng an ninh mạng.
b) Yêu cầu chì tiết
STT |
Yêu cầu |
Nội dung thực hiện |
Khuyến cáo áp đụng |
13.1 |
Thiết lập và duy trì chương trình đào tạo nâng cao nhận thức và kỳ năng an ninh mạng. |
|
Cần thiết |
13.2 |
Thực hiện đào tạo nhận thức và kỹ năng bảo mật theo từng vị trí, vai trò cụ thể |
|
Cần thiết |
13.3 |
Xây dựng lực lượng chuyên biệt vận hành, bảo vệ an ninh mạng cho hệ thống thông tin quan trọng về ANQG |
|
Cần thiết |
14. Quản lý nhà cung cấp dịch vụ
a) Yêu cầu chung
- Xây dựng, phát triển và duy trì một quy trình để đánh giá các nhà cung cấp dịch vụ lưu trữ, xử lý dữ liệu nhạy cảm hoặc chịu trách nhiệm về các quy trình, nền tảng quan trọng của hệ thống.
b) Yêu cầu chi tiết
STT |
Yêu cầu
|
Nội dung thực hiện |
Khuyến cáo áp dụng |
14.1 |
Thiết lập và duy trì bản kiểm kê các nhà cung cấp dịch vụ |
|
Cần thiết |
14.2 |
Thiết lập và duy trì quy định quản lý nhà cung cấp dịch vụ |
- Xây dựng, ban hành và bảo đảm tuân thủ quy định quản lý các nhà cung cấp dịch vụ. |
Cần thiết |
|
|
- Xem xét và cập nhật quy định tối thiểu 01 lần/năm hoặc khi xảy ra thay đôi ảnh hưởng đến quy định này. |
|
14.3 |
Đảm bảo các hợp đồng cung cấp dịch vụ có kèm theo các yêu cầu bảo mật |
|
Cần thiết |
14.4 |
Thực hiện theo dõi các nhà cung cấp dịch vụ |
Giám sát các nhà cung cấp dịch vụ thực hiện quy định quản lý cung cấp dịch vụ của tổ chức. |
Cần thiết |
14.5 |
Rà soát vấn đề bảo mật khi kết thúc hợp đồng với các nhà cung cấp dịch vụ |
Rà soát vấn đề bảo mật khi kết thúc hợp đồng với các nhà cung cấp dịch vụ. |
Cần thiết |
14.6 |
Cấp phép hoặc kiểm tra an ninh đối với cá nhân, nhà cung cấp dịch vụ |
Các cá nhân, nhà cung cấp dịch vụ cho chủ quản hệ thống thông tin quan trọng về ANQG phải được Bộ Công an thẩm tra lý lịch nhân sự. |
Cần thiết |
15. Quản lý an ninh cho phần mềm ứng dụng
a) Yêu cầu chung
Quản lý vòng đời bảo mật của các phần mềm ứng dụng để phòng ngừa, phát hiện và xử lý các điểm yếu, lỗ hổng bảo mật.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện |
Khuyến cáo áp dụng |
15.1 |
Thiết lập và duy trì quy trình phát triển ứng dụng an toàn |
|
cần thiết |
15.2 |
Thiết lập và duy trì quy trình tiếp nhận và xử lý các lỗ hổng bảo mật phần mềm |
|
Cần thiết |
15.3 |
Thực hiện phân tích nguyên nhân cốt lõi của các lỗ hổng bảo mật |
Thực hiện phân tích nguyên nhân cốt lõi của các lỗ hổng bảo mật. |
Cần thiết |
15.4 |
Thiết lập và quản trị hệ thống kiểm kê các cấu thành phần mềm của bên thứ ba |
|
Cần thiết |
15.5 |
Tách biệt môi trường cho các hoạt động phát triển, kiểm thử và vận hành |
Duy trì việc tách biệt môi trường vận hành chính thức (Production), môi trường kiểm thử (Testing) và môi trường phát triển ứng dụng (Development). |
Cần thiết |
15.6 |
Đào tạo về bảo mật và lập trình an toàn |
|
Cần thiết |
15.7 |
Kết hợp các nguyên tắc bảo mật |
Kết hợp các nguyên tắc bảo mật trong quá trình xây dựng kiến trúc ứng dụng. |
Cần thiết |
|
trong kiến trúc ứng dụng |
|
|
15.8 |
Tận dụng các mô- đun hoặc dịch vụ đã được kiểm chứng cho các thành phần bảo mật ứng dụng |
|
Cần thiết |
15.9 |
Tiến hành kiểm thử xâm nhập các ứng dụng |
Kiểm thử xâm nhập và khắc phục các lỗ hổng trước khi đưa vào vận hành chính thức. |
Cần thiết |
16. Quản trị ứng phó sự cố an ninh mạng
a) Yêu cầu chung
Xây dựng kế hoạch, chương trình để phát triển và duy trì khả năng ứng phó sự cố bao gồm chính sách, kế hoạch, thủ tục, vai trò, đào tạo, kênh liên lạc.
b) Yêu cầu chi tiết
STT |
Yêu cầu |
Nội dung thực hiện |
Khuyến cáo áp dụng |
16.1 |
Thành lập lực lượng ứng phó sự cố an ninh mạng |
|
Cần thiết |
16.2 |
Thiết lập và duy trì quy trình nội bộ để báo cáo sự cố an ninh mạng |
|
Cần thiết |
16.3 |
Thiết lập và duy trì quy trình ứng phó sự cố an ninh mạng |
|
Cần thiết |
16.4 |
Thiết lập cơ chế (kênh kỹ thuật) liên lạc trong quá trình xử lý sự cố |
|
Cần thiết |
16.5 |
Thực hiện đánh giá sau sự cố an ninh mạng |
Thực hiện đánh giá sau sự cố an ninh mạng. |
Cần thiết |
16.6 |
Định kỳ diễn tập ứng phó sự cố an ninh mạng |
Lập kế hoạch và thực hiện diễn tập các kịch bản ứng phó sự cố định kỳ tối thiểu 01 lần/năm. |
Cần thiết |
16.7 |
Triển khai và duy trì các ngưỡng sự cố an ninh mạng |
|
Tuỳ chọn |
17. Kiểm thử xâm nhập
a) Yêu cầu chung
Xác định tính hiệu quả trong năng lực phòng vệ và khả năng phục hồi của các tài sản, đặc biệt là hệ thống thông tin quan trọng về an ninh quốc gia thông qua việc khai thác các điểm yếu trong quy trình kiểm soát về con người, quy trình, công nghệ; mô phỏng lại các mục tiêu và hành động của kẻ tấn công.
b) Yêu cầu chi tiết
STT |
Yêu câu |
Nội dung thực hiện |
Khuyến cáo áp dụng |
17.1 |
Thiết lập và duy trì một chương trình kiểm thử xâm nhập |
- Thiết lập và duy trì một chương trình kiểm thử xâm nhập phù hợp với quy mô mức độ phức tạp và trạng thái của tô chức. - Chương trình kiểm thử xâm nhập cần đáp ứng một số nội dung sau:
|
Cần thiết |
17.2 |
Định kỳ thực hiện kiểm thử xâm nhập từ bên ngoài |
|
cần thiết |
17.3 |
Khắc phục các tồn tại phát hiện được qua việc kiểm thử xâm nhập |
Khắc phục các tồn tại phát hiện được qua kiểm thử xâm nhập dựa trên chính sách của tổ chức về phạm vi và mức độ ưu tiên khắc phục. |
Cần thiết |
17.4 |
Rà soát các biện pháp bảo mật |
Kiểm tra các biện pháp bảo mật sau mỗi lần thực hiện kiểm thử xâm nhập. |
Tuỳ chọn |
17.5 |
Định kỳ thực hiện kiểm thử xâm nhập từ bên trong |
|
Cần thiết |