Đối với hệ thống thông tin cấp độ 3, kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng phải tuân thủ như thế nào?
- Chính sách và quy trình quản lý an toàn mạng trong hệ thống thông tin cấp độ 3 quy định ra sao?
- Đối với hệ thống thông tin cấp độ 3, kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng phải tuân thủ như thế nào?
- Quy định về tổ chức bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 3 ra sao?
Chính sách và quy trình quản lý an toàn mạng trong hệ thống thông tin cấp độ 3 quy định ra sao?
Tại Mục 7.1.5.1 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định về quản lý an toàn mạng thực hiện theo các chính sách, quy trình quản lý an toàn mạng sau:
- Quản lý, vận hành hoạt động bình thường của hệ thống;
- Cập nhật, sao lưu dự phòng và khôi phục hệ thống sau khi xảy ra sự cố;
- Truy cập và quản lý cấu hình hệ thống;
- Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác.
Hệ thống thông tin cấp độ 3 (Hình từ Internet)
Đối với hệ thống thông tin cấp độ 3, kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng phải tuân thủ như thế nào?
Theo Mục 7.2.2.2 và Mục 7.2.3.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định thì:
Bảo đảm an toàn máy chủ
...
7.2.2.2 Kiểm soát truy cập
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa;
b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng;
c) Thay đổi cổng quản trị mặc định của máy chủ;
d) Giới hạn địa chỉ mạng được phép truy cập, quản trị máy chủ từ xa.
...
7.2.3 Bảo đảm an toàn ứng dụng
...
7.2.3.2 Kiểm soát truy cập
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị ứng dụng từ xa;
b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng;
c) Giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị ứng dụng từ xa;
d) Phân quyền truy cập, quản trị, sử dụng tài nguyên khác nhau của ứng dụng với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau;
đ) Giới hạn số lượng các kết nối đồng thời (kết nối khởi tạo và đã thiết lập) đối với các ứng dụng, dịch vụ máy chủ cung cấp.
Theo đó, cần nắm rõ các quy định về kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng đối với hệ thống thông tin cấp độ 3.
Quy định về tổ chức bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 3 ra sao?
Theo Mục 7.1.2 Tiêu chuẩn quốc gia TCVN 11930:2017, tổ chức bảo đảm an toàn thông tin được quy định như sau:
Tổ chức bảo đảm an toàn thông tin
7.1.2.1 Đơn vị chuyên trách về an toàn thông tin
a) Thành lập hoặc chỉ định đơn vị/bộ phận chuyên trách về an toàn thông tin trong tổ chức;
b) Phân định vai trò, trách nhiệm, cơ chế phối hợp của các bộ phận, cán bộ trong đơn vị chuyên trách về an toàn thông tin.
7.1.2.2 Phối hợp với những cơ quan/tổ chức có thẩm quyền
a) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin;
b) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin;
c) Tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩm quyền.
7.1.3 Bảo đảm nguồn nhân lực
7.1.3.1 Tuyển dụng
a) Cán bộ được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng;
b) Có quy định, quy trình tuyển dụng cán bộ và điều kiện tuyển dụng cán bộ.
7.1.3.2 Trong quá trình làm việc
a) Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống;
b) Có kế hoạch và định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng;
c) Định kỳ hàng năm, tổ chức đào tạo các kỹ năng cơ bản về an toàn thông tin cho người sử dụng.
7.1.3.3 Chấm dứt hoặc thay đổi công việc
a) Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức;
b) Có quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc;
c) Có cam kết giữ bí mật thông tin liên quan đến tổ chức sau khi nghỉ việc.
Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.
- Người thuê nhà ở công vụ có được đề nghị đơn vị quản lý vận hành nhà ở sửa chữa kịp thời hư hỏng của nhà ở công vụ không?
- Giám đốc quản lý dự án hạng 2 của Ban quản lý dự án đầu tư xây dựng một dự án phải đáp ứng điều kiện năng lực như thế nào?
- Tổ chức, cá nhân không niêm yết giá hàng hóa, dịch vụ trong kinh doanh bị xử phạt bao nhiêu tiền từ 12/7/2024?
- Dấu dưới hình thức chữ ký số có phải là dấu của doanh nghiệp? Làm giả con dấu của doanh nghiệp bị phạt bao nhiêu tiền?
- Chủ hàng hóa quá cảnh có phải nộp lệ phí hải quan và các loại phí khác cho hàng hóa quá cảnh của mình không?