| BỘ THÔNG TIN VÀ | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
| V/v hướng dẫn yêu cầu an toàn thông tin cơ bản đối với hệ thống thông tin kết nối vào mạng TSLCD | Hà Nội, ngày 31 tháng 05 năm 2019 |
Kính gửi:
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;
Căn cứ Thông tư số 27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 của Bộ Thông tin và Truyền thông quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên Mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước.
Bản mềm tài liệu hướng dẫn có thể được tải về từ cổng thông tin điện tử của Bộ Thông tin và Truyền thông tại địa chỉ: http://www.mic.gov.vn.
- Ông Trần Mạnh Thắng, Cục An toàn thông tin, Điện thoại: 0963791366; Thư điện tử: [email protected];
| - Như trên; | KT. BỘ TRƯỞNG |
YÊU CẦU AN TOÀN THÔNG TIN CƠ BẢN ĐỐI VỚI HỆ THỐNG THÔNG TIN KHI KẾT NỐI VÀO MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG
(Kèm theo Công văn số 1694/BTTTT-CATTT ngày 31 tháng 5 năm 2019 của Bộ Thông tin và Truyền thông)
1.1. Phạm vi áp dụng
1.2. Đối tượng áp dụng
Đơn vị chuyên trách về công nghệ thông tin của các cơ quan Đảng, Nhà nước, Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc Trung ương.
a) Mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước là hệ thống thông tin quan trọng quốc gia, được sử dụng riêng trong hoạt động truyền số liệu và ứng dụng công nghệ thông tin của các cơ quan Đảng, Nhà nước (sau đây gọi là mạng truyền số liệu chuyên dùng và viết tắt là “mạng TSLCD”) do Cục Bưu điện Trung ương là chủ mạng, quản lý, điều hành hoạt động của mạng.
c) Mạng TSLCD cấp II là phân hệ của mạng TSLCD kết nối tới các thiết bị đầu cuối tại các Sở/Ban/Ngành cấp tỉnh; các cơ quan cấp huyện bao gồm Quận/Huyện/Thị ủy, Hội đồng nhân dân, Ủy ban nhân dân Quận/Huyện; các cơ quan cấp xã bao gồm Đảng ủy xã/phường, các cơ quan tương đương cấp xã/phường do doanh nghiệp viễn thông cung cấp, quản lý, vận hành và khai thác trên địa bàn.
đ) Cổng kết nối là hệ thống bao gồm các phần cứng, phần mềm cung cấp chức năng bảo vệ và kết nối hệ thống thông tin của cơ quan, tổ chức với mạng TSLCD. Cổng kết nối có thể là một thiết bị chuyên dụng có tích hợp cung cấp nhiều chức năng bảo mật khác nhau, ví dụ như thiết bị tường lửa tích hợp hoặc thiết bị định tuyến có tích hợp các chức năng bảo mật.
YÊU CẦU AN TOÀN THÔNG TIN CƠ BẢN KHI KẾT NỐI VÀO MẠNG TSLCD
Yêu cầu an toàn thông tin đưa ra trong Tài liệu này bao gồm: (1) Yêu cầu an toàn thông tin trong thiết kế Cổng kết nối hệ thống thông tin của cơ quan, tổ chức với mạng TSLCD; (2) Yêu cầu an toàn thông tin trong thiết lập, cấu hình hệ thống; (3) Yêu cầu an toàn thông tin trong kiểm tra, đánh giá an toàn thông tin; (4) Yêu cầu an toàn thông tin trong quản lý vận hành hệ thống.
a) Đối với hệ thống thông tin từ cấp độ 1 đến cấp độ 3 kết nối vào Mạng TSLCD cấp II: Cổng kết nối vào mạng TSLCD có thể sử dụng giải pháp phần cứng, phần mềm hoặc một phần tài nguyên sẵn có của hệ thống hiện tại và đáp ứng các yêu cầu an toàn thông tin theo hướng dẫn này.
c) Đối với hệ thống thông tin cấp độ 4 hoặc cấp độ 5 kết nối vào Mạng TSLCD: Cổng kết nối sử dụng giải pháp phần cứng chuyên dụng, độc lập và đáp ứng các yêu cầu an toàn thông tin theo hướng dẫn này.
đ) Việc thiết lập cấu hình bảo mật trên các thiết bị tại Cổng kết nối đáp ứng các yêu cầu an toàn thông tin tại Phụ lục kèm theo.
2.3. Yêu cầu an toàn thông tin cơ bản khi kết nối vào Mạng TSLCD cấp I
b) Các yêu cầu an toàn thông tin cơ bản đối với hệ thống có kết nối vào Mạng TSLCD cấp I được đánh dấu là “x” và yêu cầu đối với hệ thống thông tin cấp 4 hoặc cấp 5 được đánh dấu là “xx” tại Phụ lục của hướng dẫn này.
a) Hệ thống khi kết nối vào Mạng TSLCD cấp II đáp ứng các yêu cầu an toàn thông tin cơ bản tương ứng với yêu cầu đối với Mạng TSLCD cấp II tại Phụ lục của hướng dẫn này.
2.5. Yêu cầu an toàn đối với hệ thống của doanh nghiệp viễn thông cung cấp kết nối Mạng TSLCD cấp II
HƯỚNG DẪN BẢO ĐẢM AN TOÀN THÔNG TIN KHI KẾT NỐI VÀO MẠNG TSLCD
3.1.1. Xây dựng phương án kết nối
b) Đối với hệ thống kết nối vào Mạng TSLCD cấp I, đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin (đơn vị chuyên trách về an toàn thông tin), Cục An toàn thông tin (ATTT), Cục Bưu điện Trung ương (BĐTW) đánh giá, cho ý kiến về mặt chuyên môn đối với phương án bảo đảm an toàn thông tin khi kết nối. Chủ quản hệ thống thông tin căn cứ vào ý kiến chuyên môn của các đơn vị được gửi xin ý kiến ở trên, để phê duyệt phương án trước khi kết nối vào mạng TSLCD.
d) Đối với hệ thống mạng của doanh nghiệp cung cấp kết nối Mạng TSLCD cấp II khi kết nối vào Mạng TSLCD cấp I, đơn vị chuyên trách về an toàn thông tin, Cục ATTT, Cục BĐTW đánh giá, cho ý kiến chuyên môn đối với phương án bảo đảm an toàn thông tin khi kết nối. Chủ quản hệ thống thông tin căn cứ vào ý kiến chuyên môn của các đơn vị được gửi xin ý kiến để phê duyệt phương án trước khi kết nối vào mạng TSLCD.
a) Đơn vị sử dụng xây dựng kế hoạch và hồ sơ triển khai thực hiện kết nối theo phương án đã được phê duyệt trước khi thực hiện kết nối.
c) Kế hoạch và hồ sơ triển khai được thống nhất giữa đơn vị sử dụng, đơn vị đầu mối của Cục BĐTW (kết nối vào Mạng TSLCD cấp I) và đầu mối của doanh nghiệp cung cấp hạ tầng cho Mạng TSLCD cấp II (kết nối vào Mạng TSLCD cấp II).
3.1.3. Kiểm thử và đưa vào vận hành khai thác
b) Đơn vị sử dụng và đơn vị đầu mối của Cục BĐTW (kết nối vào Mạng TSLCD cấp I) hoặc doanh nghiệp cung cấp hạ tầng cho Mạng TSLCD cấp II (kết nối vào Mạng TSLCD cấp II) phối hợp kiểm tra, đánh giá hoạt động của môi trường thử nghiệm, các yêu cầu an toàn đã đáp ứng theo phương án được phê duyệt.
d) Trường hợp chưa đạt thì hai bên tiếp tục phối hợp, xử lý để hoàn thiện theo phương án phê duyệt.
3.2.1. Cục Bưu điện Trung ương
3.2.2. Cục An toàn thông tin
3.2.3. Cơ quan, tổ chức có hệ thống thông tin kết nối vào mạng TSLCD
3.2.4. Doanh nghiệp viễn thông cung cấp kết nối Mạng TSLCD cấp II
3.3. Quản lý vận hành hệ thống
a) Đơn vị có hệ thống thông tin kết nối vào mạng TSLCD căn cứ vào các yêu cầu an toàn theo quy định của pháp luật và tại Tài liệu hướng dẫn này xây dựng quy định về việc kết nối và sử dụng mạng TSLCD, trình chủ quản hệ thống thông tin ban hành.
c) Thực hiện công bố, phổ biến quy định cho các đối tượng tại khoản 2 Điều này khi quy định này được ban hành.
a) Đơn vị sử dụng và đơn vị cung cấp kết nối mạng TSLCD cung cấp đầu mối phối hợp trong quá trình thiết lập, quản lý vận hành hệ thống.
c) Thiết lập kênh liên lạc, chia sẻ thông tin giữa các bên tại khoản 2 Điều này, bảo đảm tính kịp thời và an toàn.
a) Đơn vị sử dụng và doanh nghiệp cung cấp kết nối Mạng TSLCD cấp II thực hiện giám sát an toàn hệ thống thông tin, bao gồm và không giới hạn ở các hoạt động: (1) Giám sát hoạt động của hệ thống để có được thông tin trạng thái hoạt động của hệ thống về hiệu năng, trạng thái tăng/giảm (Up/Down), băng thông kết nối; (2) Giám sát an toàn thông tin để phát hiện và cảnh báo sớm tấn công mạng và các nguy cơ mất an toàn thông tin.
c) Nội dung, phương thức, hệ thống kỹ thuật phục vụ công tác giám sát, cơ quan, tổ chức thực hiện theo quy định tại Điều 5 Thông tư số 31/2017/TT-BTTTT.
3.3.4. Kiểm tra đánh giá an toàn thông tin
b) Nội dung, phương án kiểm tra đánh giá an toàn thông tin thực hiện theo quy định tại Điều 13 Thông tư số 03/2017/TT-BTTTT ngày 24/04/2017 quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01/7/2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
3.3.5. Xây dựng phương án ứng cứu sự cố an toàn thông tin mạng
b) Phương án ứng cứu sự cố an toàn thông tin mạng bao gồm nhưng không giới hạn các nội dung: Phân nhóm sự cố an toàn thông tin; Phương án tiếp nhận, phát hiện, phân loại và xử lý thông tin; Kế hoạch, phương án ứng phó sự cố an toàn thông tin theo quy định tại Quyết định 05/2017/QĐ-TTg; Giám sát, phát hiện và cảnh báo sự cố an toàn thông tin; Quy trình ứng cứu sự cố an toàn thông tin thông thường và sự cố an toàn thông tin nghiêm trọng; Cơ chế phối hợp trong việc xử lý, khắc phục sự cố an toàn thông tin; Diễn tập phương án xử lý sự cố an toàn thông tin.
YÊU CẦU AN TOÀN KHI KẾT NỐI VÀO MẠNG TSLCD
| Yêu cầu an toàn | Mạng TSLCD cấp II | Mạng TSDLCD cấp I | Mạng DNVT | ||
|
x | x | x | |||
|
x | x | x | |||
|
x | x | x | |||
|
xx | xx | x | |||
|
xx | x | x | |||
|
xx | xx | x | |||
|
xx | xx | x | |||
|
xx | xx | x | |||
|
x | x | x | |||
|
xx | xx | x | |||
|
x | x | x | |||
|
xx | x |
| |||
|
x | x | x | |||
|
xx | xx | x | |||
|
xx | x | x | |||
|
x |
|
| |||
|
| x |
| |||
|
xx | xx | x | |||
|
xx | x | x | |||
|
xx | x | x | |||
|
xx | x | x | |||
|
xx | x | x | |||
|
x | x | x | |||
|
x | x | x | |||
|
x | x | x | |||
|
xx | xx | x | |||
|
xx | xx | x | |||
|
xx | x | x | |||
|
|
|
| |||
|
x |
|
| |||
|
| x | x | |||
|
x | x | x | |||
|
xx | x | x | |||
|
|
|
| |||
|
x |
|
| |||
|
xx | x | x | |||
|
xx | xx |
| |||
|
x |
|
| |||
|
xx | x |
| |||
|
xx | xx |
| |||
|
x |
|
| |||
|
xx | xx |
| |||
|
x |
| x | |||
|
xx | xx | xx | |||
|
xx | x | x | |||
|
xx | xx | xx | |||
|
x |
|
| |||
|
xx | x | x | |||
|
xx | xx | xx | |||
|
x |
|
| |||
|
xx | x |
| |||
|
xx | xx |
| |||
Từ khóa: Công văn 1694/BTTTT-CATTT, Công văn số 1694/BTTTT-CATTT, Công văn 1694/BTTTT-CATTT của Bộ Thông tin và Truyền thông, Công văn số 1694/BTTTT-CATTT của Bộ Thông tin và Truyền thông, Công văn 1694 BTTTT CATTT của Bộ Thông tin và Truyền thông, 1694/BTTTT-CATTT
File gốc của Công văn 1694/BTTTT-CATTT năm 2019 hướng dẫn yêu cầu an toàn thông tin cơ bản đối với hệ thống thông tin kết nối vào mạng TSLCD do Bộ Thông tin và Truyền thông ban hành đang được cập nhật.
Công văn 1694/BTTTT-CATTT năm 2019 hướng dẫn yêu cầu an toàn thông tin cơ bản đối với hệ thống thông tin kết nối vào mạng TSLCD do Bộ Thông tin và Truyền thông ban hành
Tóm tắt
| Cơ quan ban hành | Bộ Thông tin và Truyền thông |
| Số hiệu | 1694/BTTTT-CATTT |
| Loại văn bản | Công văn |
| Người ký | Nguyễn Thanh Hùng |
| Ngày ban hành | 2019-05-31 |
| Ngày hiệu lực | 2019-05-31 |
| Lĩnh vực | Công nghệ thông tin |
| Tình trạng | Còn hiệu lực |