Nhân sự nào sẽ phụ trách việc bảo vệ an ninh mạng?

07/11/2018 11:41 am

(Không gian mạng) - Dự thảo Nghị định quy định chi tiết về một số điều của Luật An ninh mạng đang được đăng trên Cổng thông tin điện tử của Bộ Công an cùng với dự thảo Quyết định của Thủ tướng Chính phủ ban hành Danh mục hệ thống thông tin quan trọng về an ninh quốc gia để lấy ý kiến đóng góp của nhân dân trong thời gian 1 tháng từ 02/11-02/12. Trong đó, đáng chú ý là điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia (mục 3, chương 2) với các điều:

Ảnh minh họa

Ảnh minh họa

Điều 12. Điều kiện về quy định, quy trình, phương án bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

1. Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia xây dựng các quy định, quy trình, phương án bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia do mình quản lý, căn cứ vào các quy định bảo vệ an ninh mạng, bảo vệ bí mật nhà nước, tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng và các tiêu chuẩn kỹ thuật chuyên ngành khác có liên quan.

2. Nội dung các quy định, quy trình, phương án về bảo vệ an ninh mạng phải quy định rõ hệ thống thông tin và thông tin quan trọng cần ưu tiên bảo vệ; quy trình quản lý, kỹ thuật, nghiệp vụ trong sử dụng, bảo vệ an ninh mạng đối với dữ liệu, hạ tầng kỹ thuật; điều kiện về nhân sự, nhất là nhân sự làm công tác quản trị mạng, vận hành hệ thống, bảo đảm an ninh, an toàn thông tin mạng và hoạt động soạn thảo, lưu trữ, truyền đưa bí mật nhà nước qua hệ thống thông tin; trách nhiệm của từng bộ phận, cá nhân trong quản lý, vận hành, sử dụng và có chế tài xử lý nghiêm những hành vi vi phạm.

Điều 13. Điều kiện về nhân sự vận hành, quản trị hệ thống, bảo vệ an ninh mạng

1. Có bộ phận phụ trách về vận hành, quản trị hệ thống và bảo vệ an ninh mạng.

2. Nhân sự phụ trách về vận hành, quản trị hệ thống và bảo vệ an ninh mạng phải được đánh giá về phẩm chất đạo đức thông qua lý lịch, lý lịch tư pháp; có trình độ chuyên môn về an ninh mạng, an toàn thông tin mạng, công nghệ thông tin phù hợp với vị trí công tác; được huấn luyện, đào tạo, phổ biến các quy định về an ninh mạng; có cam kết bảo mật thông tin liên quan đến hệ thống thông tin quan trọng về an ninh quốc gia trong quá trình làm việc và sau khi nghỉ việc.

3. Thiết lập cơ chế hoạt động độc lập của bộ phận nhân sự thực hiện nhiệm vụ quản trị với vận hành hệ thống thông tin; kiểm tra an ninh mạng với phát triển, quản trị, vận hành hệ thống thông tin.

Điều 14. Điều kiện bảo đảm an ninh mạng đối với trang thiết bị, phần cứng, phần mềm là thành phần hệ thống

1. Được kiểm tra an ninh mạng để phát hiện điểm yếu, lỗ hổng bảo mật, mã độc, bảo đảm sự tương thích với các thành phần khác trong hệ thống thông tin quan trọng về an ninh quốc gia.

2. Không sử dụng sản phẩm hoặc phải có biện pháp xử lý, khắc phục điểm yếu, lỗ hổng bảo mật, mã độc trước khi đưa vào sử dụng đã được lực lượng chuyên trách bảo vệ an ninh mạng cảnh báo nguy cơ gây mất an ninh mạng.

3. Dữ liệu, thông tin ở dạng số được xử lý, lưu trữ thông qua hệ thống thông tin thuộc bí mật nhà nước phải được mã hóa hoặc có biện pháp bảo vệ theo quy định của pháp luật trong quá trình tạo lập, trao đổi, lưu trữ.

4. Thiết bị công nghệ thông tin, phương tiện truyền thông, vật mang tin và các thiết bị phục vụ cho hoạt động của hệ thống thông tin phải được quản lý chặt chẽ theo quy định của chủ quản hệ thống thông tin.

5. Phần mềm hệ thống, phần mềm tiện ích, phần mềm lớp giữa, cơ sở dữ liệu, chương trình ứng dụng, mã nguồn và công cụ phát triển định kỳ được rà soát và cập nhật các bản vá lỗi.

6. Thiết bị di động khi kết nối vào hệ thống mạng nội bộ của hệ thống thông tin quan trọng về an ninh quốc gia phải được kiểm tra, kiểm soát bảo đảm an toàn và chỉ được phép sử dụng tại hệ thống thông tin quan trọng về an ninh quốc gia.

7. Thiết bị, phương tiện lưu trữ thông tin phải được:

a) Kiểm tra bảo mật trước khi kết nối thiết bị, phương tiện lưu trữ thông tin với hệ thống thông tin quan trọng về an ninh quốc gia.

b) Kiểm soát việc đấu nối, gỡ bỏ thiết bị, phương tiện lưu trữ thông tin với thiết bị thuộc hệ thống thông tin quan trọng về an ninh quốc gia.

c) Triển khai các biện pháp bảo đảm an toàn thiết bị, phương tiện lưu trữ thông tin khi vận chuyển, lưu trữ.

d) Thực hiện biện pháp bảo vệ đối với thông tin bí mật được lưu trữ trong thiết bị, phương tiện lưu trữ thông tin.

Điều 15. Điều kiện về biện pháp kỹ thuật để giám sát, bảo vệ an ninh mạng

1. Môi trường vận hành của hệ thống thông tin quan trọng về an ninh quốc gia phải đáp ứng yêu cầu:

a) Tách biệt với các môi trường phát triển, kiểm tra và thử nghiệm;

b) Áp dụng các giải pháp bảo đảm an toàn thông tin.

c) Không cài đặt các công cụ, phương tiện phát triển ứng dụng.

d) Loại bỏ hoặc tắt các tính năng, phần mềm tiện ích không sử dụng trên hệ thống thông tin.

2. Dữ liệu của hệ thống thông tin quan trọng về an ninh quốc gia phải có phương án tự động sao lưu dự phòng phù hợp, ra phương tiện lưu trữ ngoài với tần suất thay đổi của dữ liệu và bảo đảm nguyên tắc dữ liệu phát sinh phải được sao lưu trong vòng 24 giờ. Dữ liệu sao lưu dự phòng phải được kiểm tra, bảo đảm khả năng khôi phục định kỳ 6 tháng một lần.

3. Hệ thống mạng phải đáp ứng yêu cầu sau:

a) Chia tách thành các vùng mạng khác nhau theo đối tượng sử dụng, mục đích sử dụng, tối thiểu: có phân vùng mạng riêng cho máy chủ của hệ thống thông tin; có phân vùng mạng trung gian (DMZ) để cung cấp dịch vụ trên mạng Internet; có phân vùng mạng riêng để cung cấp dịch vụ mạng không dây;

b) Có thiết bị, phầm mềm thực hiện chức năng kiểm soát các kết nối, truy cập vào ra các vùng mạng quan trọng;

c) Có thiết bị, phần mềm thực hiện chức năng kết nối, phát hiện, phòng chống xâm nhập từ mạng không tin cậy vào hệ thống thông tin quan trọng về an ninh quốc gia;

d) Có giải pháp kiểm soát, phát hiện và ngăn chặn kịp thời các kết nối, truy cập trái phép vào hệ thống thông tin quan trọng về an ninh quốc gia;

đ) Có phương án cân bằng tải và phương án ứng phó tấn công từ chối dịch vụ và các hình thức tấn công khác phù hợp với quy mô, tính chất của hệ thống thông tin quan trọng về an ninh quốc gia.

4. Có biện pháp, giải pháp để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng về mặt kỹ thuật của hệ thống mạng và những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.

5. Ghi và lưu trữ nhật ký về hoạt động của hệ thống thông tin và người sử dụng, các lỗi phát sinh, các sự cố an toàn thông tin tối thiểu 3 tháng theo hình thức tập trung và sao lưu tối thiểu một năm một lần.

6. Kiểm soát truy cập đối với người sử dụng, nhóm người sử dụng thiết bị công cụ sử dụng:

a) Đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập của thiết bị, người sử dụng;

b) Mỗi tài khoản truy cập hệ thống phải được gán cho một người sử dụng duy nhất; trường hợp chia sẻ tài khoản dùng chung để truy cập hệ thống thông tin quan trọng về an ninh quốc gia thì phải được phê duyệt bởi cấp có thẩm quyền và xác định được trách nhiệm cá nhân tại mỗi thời điểm sử dụng;

c) Giới hạn và kiểm soát các truy cập sử dụng tài khoản có quyền quản trị: (i) Thiết lập cơ chế kiểm soát việc tạo tài khoản có quyền quản trị để bảo đảm không một tài khoản nào sử dụng được khi chưa được cấp có thẩm quyền phê duyệt; (ii) Phải có biện pháp giám sát việc sử dụng tài khoản có quyền quản trị; (iii) Việc sử dụng tài khoản có quyền quản trị phải được giới hạn đảm bảo chỉ có 1 truy cập quyền quản trị duy nhất, tự động thoát khỏi phiên đăng nhập khi không có hoạt động trong khoảng thời gian nhất định;

d) Quản lý, cấp phát mã khóa bí mật truy cập hệ thống thông tin;

đ) Rà soát, kiểm tra, xét duyệt lại quyền truy cập của người sử dụng;

e) Yêu cầu, điều kiện an toàn thông tin đối với các thiết bị, công cụ sử dụng để truy cập.

Điều 16. Điều kiện về an ninh vật lý

1. Được bố trí, lắp đặt tại các địa điểm an toàn và được bảo vệ để giảm thiểu những rủi ro do các đe dọa, hiểm họa từ môi trường và các xâm nhập trái phép.

2. Được bảo đảm về nguồn điện và các hệ thống hỗ trợ khi nguồn điện chính bị gián đoạn; có biện pháp chống quá tải hay sụt giảm điện áp, chống sét lan truyền; có hệ thống tiếp địa; có hệ thống máy phát điện dự phòng và hệ thống lưu điện bảo đảm thiết bị hoạt động liên tục.

3. Có phương án, biện pháp bảo vệ, chống sự xâm nhập thu thập thông tin của các thiết bị bay không người lái – UAV.

4. Trung tâm dữ liệu phải có người kiểm soát và bảo vệ 24/7.

Ban biên tập

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Tags:

Mạng chia sẻ