Điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
Nghị định số
53/2022/NĐ-CP ngày 15 tháng 8 năm 2022
của Chính phủ ban hành quy định chi tiết một số điều của Luật An ninh mạng. Nghị
định này có hiệu lực từ ngày 01 tháng 10 năm 2022. Điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh
quốc gia quy định như sau:
Điều kiện về quy định, quy trình, phương án bảo đảm an
ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
Căn cứ vào các
quy định bảo vệ an ninh mạng, bảo vệ bí mật nhà nước, bí mật công tác, tiêu
chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng và các tiêu chuẩn kỹ thuật
chuyên ngành khác có liên quan, chủ quản hệ thống thông tin quan trọng về an
ninh quốc gia xây dựng các quy định, quy trình, phương án bảo vệ an ninh mạng
đối với hệ thống thông tin quan trọng về an ninh quốc gia do mình quản lý.
Nội dung các
quy định, quy trình, phương án về bảo vệ an ninh mạng phải quy định rõ hệ thống
thông tin và thông tin quan trọng cần ưu tiên bảo vệ; quy trình quản lý, kỹ
thuật, nghiệp vụ trong sử dụng, bảo vệ an ninh mạng đối với dữ liệu, hạ tầng kỹ
thuật; điều kiện về nhân sự làm công tác quản trị mạng, vận hành hệ thống, bảo
đảm an ninh, an toàn thông tin mạng và hoạt động soạn thảo, lưu trữ, truyền đưa
bí mật nhà nước qua hệ thống thông tin; trách nhiệm của từng bộ phận, cá nhân
trong quản lý, vận hành, sử dụng; chế tài xử lý những hành vi vi phạm.
Điều kiện về nhân sự vận hành, quản trị hệ thống, bảo
vệ an ninh mạng
Có bộ phận phụ trách về vận hành, quản trị hệ thống và
bảo vệ an ninh mạng.
Nhân sự phụ trách về vận hành, quản trị hệ thống và
bảo vệ an ninh mạng phải có trình độ chuyên môn về an ninh mạng, an toàn thông
tin mạng, công nghệ thông tin; có cam kết bảo mật thông tin liên quan đến hệ
thống thông tin quan trọng về an ninh quốc gia trong quá trình làm việc và sau
khi nghỉ việc.
Có cơ chế hoạt động độc lập về chuyên môn giữa các bộ
phận vận hành, quản trị, bảo vệ an ninh mạng đối với hệ thống thông tin quan
trọng về an ninh quốc gia.
Điều kiện bảo đảm an ninh mạng đối với thiết bị, phần
cứng, phần mềm là thành phần hệ thống
Các thiết bị phần cứng là thành phần hệ thống phải
được kiểm tra an ninh mạng để phát hiện điểm yếu, lỗ hổng bảo mật, mã độc,
thiết bị thu phát, phần cứng độc hại bảo đảm sự tương thích với các thành phần
khác trong hệ thống thông tin quan trọng về an ninh quốc gia. Các thiết bị quản
trị phải được cài đặt hệ điều hành, phần mềm sạch, có các lớp tường lửa bảo vệ.
Hệ thống thông tin xử lý bí mật nhà nước không được kết nối với mạng Internet.
Sản phẩm đã được lực lượng chuyên trách bảo vệ an ninh
mạng, an toàn thông tin mạng cảnh báo, thông báo nguy cơ gây mất an ninh mạng
không được đưa vào sử dụng hoặc phải có biện pháp xử lý, khắc phục điểm yếu, lỗ
hổng bảo mật, mã độc, phần cứng độc hại trước khi đưa vào sử dụng.
Dữ liệu, thông tin ở dạng số được xử lý, lưu trữ thông
qua hệ thống thông tin thuộc bí mật nhà nước phải được mã hóa hoặc có biện pháp
bảo vệ trong quá trình tạo lập, trao đổi, lưu trữ trên mạng Internet theo quy
định của pháp luật về bảo vệ bí mật nhà nước.
Thiết bị công nghệ thông tin, phương tiện truyền
thông, vật mang tin và các thiết bị phục vụ cho hoạt động của hệ thống thông
tin phải được quản lý, tiêu hủy, sửa chữa theo quy định của pháp luật về bảo vệ
bí mật nhà nước, quy định công tác của chủ quản hệ thống thông tin.
Phần mềm hệ thống, phần mềm tiện ích, phần mềm lớp
giữa, cơ sở dữ liệu, chương trình ứng dụng, mã nguồn và công cụ phát triển định
kỳ được rà soát và cập nhật các bản vá lỗi.
Thiết bị di động và các thiết bị có tính năng lưu trữ
thông tin khi kết nối vào hệ thống mạng nội bộ của hệ thống thông tin quan
trọng về an ninh quốc gia phải được kiểm tra, kiểm soát bảo đảm an toàn và chỉ
được phép sử dụng tại hệ thống thông tin quan trọng về an ninh quốc gia.
Thiết bị, phương tiện lưu trữ thông tin khi kết nối,
vận chuyển, lưu trữ phải: Kiểm tra bảo mật trước khi kết nối với hệ thống thông
tin quan trọng về an ninh quốc gia; Kiểm soát việc đấu nối, gỡ bỏ đấu nối thiết
bị thuộc hệ thống thông tin quan trọng về an ninh quốc gia; Triển khai các biện
pháp bảo đảm an toàn khi vận chuyển, lưu trữ và biện pháp bảo vệ đối với thông
tin thuộc bí mật nhà nước được lưu trữ trong đó.
Điều kiện về biện pháp kỹ thuật để giám sát, bảo vệ an
ninh mạng
Môi trường vận
hành của hệ thống thông tin quan trọng về an ninh quốc gia phải đáp ứng yêu
cầu: Tách biệt với các môi trường phát triển, kiểm tra và thử nghiệm; Áp dụng
các giải pháp bảo đảm an toàn thông tin; Không cài đặt các công cụ, phương tiện
phát triển ứng dụng; Loại bỏ hoặc tắt các tính năng, phần mềm tiện ích không sử
dụng, không cần thiết trên hệ thống thông tin.
Dữ liệu của hệ
thống thông tin quan trọng về an ninh quốc gia phải có phương án tự động sao
lưu dự phòng phù hợp ra phương tiện lưu trữ ngoài với tần suất thay đổi của dữ
liệu và bảo đảm nguyên tắc dữ liệu phát sinh phải được sao lưu trong vòng 24
giờ. Dữ liệu sao lưu dự phòng phải được kiểm tra, bảo đảm khả năng khôi phục
định kỳ 6 tháng một lần.
Hệ thống mạng phải đáp ứng yêu cầu sau:
Chia tách thành các vùng mạng khác nhau theo đối tượng
sử dụng, mục đích sử dụng, tối thiểu: có phân vùng mạng riêng cho máy chủ của
hệ thống thông tin; có phân vùng mạng trung gian (DMZ) để cung cấp dịch vụ trên
mạng Internet; có phân vùng mạng riêng để cung cấp dịch vụ mạng không dây; có
phân vùng mạng riêng đối với máy chủ cơ sở dữ liệu;
Có thiết bị, phần mềm thực hiện chức năng kiểm soát
các kết nối, truy cập vào ra các vùng mạng quan trọng;
Có giải pháp kiểm soát, phát hiện và ngăn chặn kịp
thời các kết nối, truy cập không tin cậy, xâm nhập trái phép;
Có phương án ứng phó tấn công từ chối dịch vụ và các
hình thức tấn công khác phù hợp với quy mô, tính chất của hệ thống thông tin
quan trọng về an ninh quốc gia.
Có biện pháp,
giải pháp để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng về mặt kỹ thuật
của hệ thống mạng và những kết nối, thiết bị, phần mềm cài đặt bất hợp pháp vào
mạng.
Ghi và lưu trữ
nhật ký về hoạt động của hệ thống thông tin và người sử dụng, các lỗi phát
sinh, các sự cố an toàn thông tin tối thiểu 3 tháng theo hình thức tập trung và
sao lưu tối thiểu một năm một lần.
Kiểm soát truy cập đối với người sử dụng, nhóm người
sử dụng thiết bị công cụ sử dụng: Đăng ký, cấp phát, gia hạn và thu hồi quyền
truy cập của thiết bị, người sử dụng; Mỗi tài khoản truy cập hệ thống phải được
gán cho một người sử dụng duy nhất; trường hợp chia sẻ tài khoản dùng chung để
truy cập hệ thống thông tin quan trọng về an ninh quốc gia thì phải được phê
duyệt bởi cấp có thẩm quyền và xác định được trách nhiệm cá nhân tại mỗi thời
điểm sử dụng; Giới hạn và kiểm soát các truy cập sử dụng tài khoản có quyền
quản trị: (i) Thiết lập cơ chế kiểm soát việc tạo tài khoản có quyền quản trị
để bảo đảm không một tài khoản nào sử dụng được khi chưa được cấp có thẩm quyền
phê duyệt; (ii) Phải có biện pháp giám sát việc sử dụng tài khoản có quyền quản
trị; (iii) Việc sử dụng tài khoản có quyền quản trị phải được giới hạn đảm bảo
chỉ có 1 truy cập quyền quản trị duy nhất, tự động thoát khỏi phiên đăng nhập
khi không có hoạt động trong khoảng thời gian nhất định; Quản lý, cấp phát mã
khóa bí mật truy cập hệ thống thông tin; Rà soát, kiểm tra, xét duyệt lại quyền
truy cập của người sử dụng; Yêu cầu, điều kiện an toàn thông tin đối với các
thiết bị, công cụ sử dụng để truy cập.
Điều kiện về an ninh vật lý
Hệ thống thông tin quan trọng về an ninh quốc gia được
bố trí, lắp đặt tại các địa điểm an toàn và được bảo vệ để giảm thiểu những rủi
ro trước các mối đe dọa, hiểm họa từ môi trường và xâm nhập trái phép.
Hệ thống thông tin quan trọng về an ninh quốc gia được
bảo đảm về nguồn điện và các hệ thống hỗ trợ khi nguồn điện chính bị gián đoạn;
có biện pháp chống quá tải hay sụt giảm điện áp, chống sét lan truyền; có hệ
thống tiếp địa; có hệ thống máy phát điện dự phòng và hệ thống lưu điện bảo đảm
thiết bị hoạt động liên tục.
Hệ thống thông tin quan trọng về an ninh quốc gia có
phương án, biện pháp bảo vệ, chống sự xâm nhập thu thập thông tin của các thiết
bị bay không người lái.
Trung tâm dữ liệu của hệ thống thông tin quan trọng về
an ninh quốc gia được kiểm soát ra vào 24/7.