Bạn chưa có tài khoản? Hãy Đăng ký
| Số hiệu | 31/2013/QĐ-UBND |
| Loại văn bản | Quyết định |
| Cơ quan | Tỉnh Thái Nguyên |
| Ngày ban hành | 16/12/2013 |
| Người ký | Nhữ Văn Tâm |
| Ngày hiệu lực | 26/12/2013 |
| Tình trạng | Hết hiệu lực |
| Số hiệu | 31/2013/QĐ-UBND |
| Loại văn bản | Quyết định |
| Cơ quan | Tỉnh Thái Nguyên |
| Ngày ban hành | 16/12/2013 |
| Người ký | Nhữ Văn Tâm |
| Ngày hiệu lực | 26/12/2013 |
| Tình trạng | Hết hiệu lực |
UỶBANNHÂNDÂN | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 31/2013/QĐ-UBND | Thái Nguyên, ngày 16 tháng 12 năm 2013 |
ỦY BAN NHÂN DÂN TỈNH THÁI NGUYÊN
Căn cứ Luật Tổ chức Hội đồng nhân dân và Uỷ ban nhân dân ngày 26 tháng 11 năm 2003;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 06 năm 2006;
Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về việc ứng dụng Công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Nghị định số 26/2007/NĐ-CP ngày 15 tháng 02 năm 2007 của Chính phủ Quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số;
Thực hiện Quyết định số 63/QĐ-TTg, ngày 13 tháng 01 năm 2010 của Thủ tướng Chính phủ về việc Phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020;
Xét đề nghị của Sở Thông tin và Truyền thông tại Tờ trình số 699/TTr-STTTT ngày 13 tháng 11 năm 2013 và ý kiến thẩm định của Sở Tư pháp tại Văn bản số 500/STP-XDVB ngày 12 tháng 11 năm 2013,
QUYẾT ÐỊNH:
Điều1.BanhànhkèmtheoQuyếtđịnhnàyQuychếđảm bảoantoàn,anninh thôngtintronglĩnhvựcứngdụngcôngnghệthôngtincủacáccơquannhànước thuộc tỉnhThái Nguyên.
Điều 2.Quyếtđịnhnàycóhiệulực thi hành sau10ngàykểtừngàyký.
Điều3.ChánhVănphòngUỷ bannhândântỉnh;Giám đốccácsở,ban,ngành; ChủtịchUBNDcáchuyện,thànhphố,thịxãvàThủtrưởngcáccơquan, tổchức,cá nhânliênquanchịutráchnhiệmthihànhQuyết định này./.
| TM. ỦYBAN NHÂNDÂNTỈNH |
ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN THUỘC LĨNH VỰC CÔNG NGHỆ THÔNG TIN TRONG HOẠT ĐỘNG CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH THÁI NGUYÊN
(BanhànhkèmtheoQuyếtđịnh số:31/2013/QĐ/UBND ngày16tháng12năm2013 củaUỷ bannhândântỉnhThái Nguyên)
Quychếnàyquyđịnhvềnộidung,biệnphápđảm bảoantoàn,anninhthôngtin thuộclĩnh vựccông nghệ thôngtinphục vụchocông tác điều hành và quảnlý nhà nước trênđịa bàntỉnhThái Nguyên.
Quychếnàyđượcápdụngđốivớitấtcảcáccơquannhànướctrênđịabàntỉnh Thái Nguyên(kểcả các cơ quanTrungươngđặt tạiđịabàntỉnhThái Nguyên).
Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:
1. Cán bộ chuyên trách Công nghệ thông tin (CNTT): Là cán bộ kỹ thuật hoặc cán bộ quản lý có chuyên môn về lĩnh vực CNTT, trực tiếp tham mưu cho lãnh đạo khai thác, quản lý và thực hiện công tác ứng dụng CNTT tại cơ quan, đơn vị, bảo đảm kỹ thuật và an toàn, an ninh thông tin cho việc khai thác, vận hành hệ thống CNTT tại đơn vị.
2. Tính tin cậy: bảo đảm thông tin chỉ có thể được truy cập bởi những người được cấp quyền sử dụng.
3. Tính toàn vẹn: bảo vệ sự chính xác và đầy đủ của thông tin và các phương pháp xử lý.
4. Tính sẵn sàng: bảo đảm những người được cấp quyền có thể truy cập thông tin và các tài sản liên quan ngay khi có nhu cầu.
5. An toàn, an ninh thông tin (ATANTT): bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng, tính sẵn sàng cao với yêu cầu chính xác và tin cậy. An toàn, an ninh thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu của máy tính và an toàn mạng.
6. TCVN 7562:2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý an toàn thông tin.
7. ISO 17799:2005: Tiêu chuẩn quốc tế cung cấp các hướng dẫn quản lý an toàn, bảo mật thông tin dựa trên những quy phạm công nghiệp tốt nhất (tập quy phạm cho quản lý an toàn bảo mật thông tin).
8. ISO 27001:2005: Tiêu chuẩn quốc tế về quản lý bảo mật thông tin do Tổ chức Chất lượng Quốc tế và Hội đồng Điện tử Quốc tế xuất bản vào tháng 10/2005.
9. Các từ tiếng Anh, từ kỹ thuật, từ chuyên ngành, từ được giải thích, ghi chú tại Phụ lục 2 của Quy chế này.
NỘI DUNG ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN
Điều4.Cácbiệnphápquản lýkỹthuật cơbảnchocôngtác antoàn, an ninh thôngtin
1.Tổchứcmôhìnhmạng:Cài đặt,cấuhình,tổchứchệ thốngmạngtheomôhình Clients/Server, hạnchế sửdụngmôhìnhmạngngang hàng.Đốivớicác sở, ngành, huyện,thànhphố,thịxãcónhiềuphòng,ban,đơnvịtrựcthuộckhôngnằmtrong cùngmộtkhuvực thìcầnthiếtlậpmạngriêngảo(VPN–VirtualPrivate Network) để tăngcườnganninhchohạtầngmạngnộibộ.Khithiếtlậpcácdịchvụtrênmôi trườngmạngInternet,chỉcungcấpnhữngchứcnăngthiếtyếunhấtbảođảm duy trì hoạtđộngcủahệ thốngthôngtin;hạnchế sửdụngchức năng, cổnggiaotiếpmạng, giaothứcvà cácdịchvụkhôngcầnthiết.
2.Quảnlýhệthốngmạngkhôngdây:Khithiếtlậpmạngkhôngdâyđểkếtnối vớimạngcụcbộthôngquacácđiểm truynhập(AccessPoint-AP),cầnthiếtlậpcác thamsốnhư:tên,SSID,mậtkhẩu,mãhóadữliệuvàthôngbáocácthôngtinliên quanđếnAPđểcơquansửdụng,địnhkỳ3thángthayđổimậtkhẩunhằmtăng cườngcông tácbảo mật.
3.Tổchứcquảnlýtàikhoản:Cáctài khoảnvà định danh ngườidùng tronghệ thốngthôngtin, baogồm:tạomới,kíchhoạt, sửađổivà loạibỏcác tàikhoản,đồng thờitổchứckiểm tracáctàikhoảncủahệthốngthôngtinítnhất6tháng1lầnthông quacáccôngcụcủa hệthống.Hủytàikhoản,quyềntruynhậphệthống thông tin,thu hồilạitấtcảcáctàisảnliênquantớihệthốngthôngtin(khóa,thẻnhậndạng,thư mụclưutrữ,...)đốivớicánbộ,nhânviênđãchuyểncôngtác,chấm dứthợpđồnglao động.
4.Quảnlýđăngnhậphệ thống:Cáchệ thốngthôngtincầngiớihạn số lầnđăng nhậpvàohệthống.Hệthốngtựđộngkhóatàikhoảnhoặccôlậptàikhoảnkhiliên tụcđăngnhậpsaivượtquásốlầnquyđịnh.Tổchứctheodõi,giám sáttấtcảcác phươngphápđăngnhậptừ xa(quay số,internet,…), nhấtlàcácđăng nhậpcóchức năngquảntrị, tăngcườngviệcsử dụngVPNkhicónhucầulàm việctừ xa;yêucầu ngườisửdụngđặtmậtkhẩuvớiđộantoàncao,giám sát,nhắcnhởkhuyếncáonên thayđổithườngxuyênmật khẩu.
5.QuảnlýLogfile:Hệthống thông tincầnghinhậncác sựkiện: quátrình đăng nhậpvàohệthống,cácthaotáccấuhìnhhệthống.Thườngxuyênkiểm tra,saolưu (backup)các logfiletheotừngthángđể lưuvếttheo dõi, xác định những sự kiệnđã xảy racủa hệthốngvàhạnchế việc trànlogfile gây ảnhhưởng đếnhoạtđộngcủa hệ thống.
6.Chốngmãđộc,virútmáytính:Lựachọn,triểnkhaicácphầnmềmchốngvi rútmáy tính,thưrác trêncácmáychủ,cácthiếtbịdiđộngtrongmạngvànhữnghệ thống thôngtinxungyếunhư:Cổngthông tin điện tử, thưđiệntử,mộtcửađiện tử,… đểpháthiện,loạitrừnhữngđoạnmãđộchại(Virútmáytính,trojan,worms…)và hỗtrợngườisửdụngcàiđặtcácphầnmềmnàytrênmáytrạm.Thườngxuyêncập nhậtcácphiên bản(Version)mới,cácbảnvá lỗicủacác phầnmềm chống virútmáy tính để bảođảmchương trìnhquétvirútmáytínhcủacơquantrêncácmáychủ,máy trạm luônđượccậpnhậtmớinhất,thiếtlậpchếđộquétthườngxuyênítnhấtlàhằng tuần.
7.Tổchứcquảnlýtàinguyên:Kiểm tra,giám sátchứcnăngchiasẻthôngtin (NetworkFileandFolderSharing).Tổchứccấppháttàinguyêntrênmáy chủtheo danhmụcthưmụcchotừngphòng/ban;khuyếncáongườisửdụngcânnhắcviệc chiasẻtàinguyêncụcbộtrênmáyđangsửdụng,tuyệtđốikhôngđượcchiasẻtoàn bộổcứng.Khithực hiệnviệcchia sẻtàinguyêntrênmáychủhoặctrênmáycụcbộ nên sử dụngmật khẩu đểbảo vệthôngtin.
8.Cácbiệnphápkỹthuậtđảm bảoantoànchoTrangthông tinđiệntử/Cổng thôngtinđiện tử(gọitắtlà trangweb):
a)Xácđịnhcấu trúc thiếtkếtrangweb:Quảnlýtoànbộcác phiênbảncủamã nguồn,phốihợpvới đơnvịthựchiệndịchvụhostingtổchứcmôhìnhtrangwebhợp lý tránhkhả năngtấncông leothang đặc quyền.Yêucầu đơn vịcungcấp dịchvụ hostingphảicài đặtcáchệ thốngphòng vệ như tườnglửa (firewall),thiết bịphát hiện/phòng chống xâm nhập (IDS/IPS) ở mức ứng dụng web (WAF- Web ApplicationFirewall);
b)Vậnhànhứngdụngwebantoàn:Các trangwebkhi đưa vào sửdụng hoặc khi bổsungthêm cácchứcnăng,dịchvụcôngmớicầnliênhệvớiTrungtâm Côngnghệ thông tinvàTruyền thôngTháiNguyên hoặcliênhệ vớicác tổchứcanninhmạng đánhgiákiểmđịnhnhằmtránhđượccáclỗibảomậtthườngxảyratrênứngdụng webnhư:SQL Injection,Cross-SiteScripting(xss), BrokenAuthenticationand SessionManagement,InsecureDirectObjectReferences, CrossSiteRequestForgery (CSRF),Security Misconfiguration,FailuretoRestrictURLAccess,Insecure Cryptographic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects andForwards...;
c) Thiếtlậpvà cấuhìnhcơ sởdữ liệu(CSDL) an toàn:
-Luôncậpnhậtbảnválỗimớinhấtchohệquảntrịcơsởdữliệu;sửdụngcông cụđể đánhgiá, tìmkiếmlỗhổngtrênmáychủcơ sởdữ liệu;
- Gỡ bỏcác cơ sở dữliệukhôngsử dụng;
-Cócáccơchế saolưudữliệu, tàiliệuhóaquátrìnhthay đổicấutrúc bằngcách xây dựngnhậtkýCSDLvớicácnộidungnhư:nộidungthay đổi, lýdothay đổi,thời gian, vịtríthayđổi...
d)Phốihợpvớicác nhàcungcấpdịchvụhostingxây dựngphươngánphụchồi trangweb,trongđóchúýmỗithángthựchiệnviệcbackuptoànbộnộidungtrang web1 lần bao gồm mãnguồn,cơ sở dữliệu,dữliệu phicấu trúc,... để bảo đảmkhicó sựcốcóthểkhắc phục lạingaytrongvòng24giờ.
9. Thiếtlậpcơ chế sao lưu vàphụchồimáychủ,máytrạm:
a)Đốivớimáy trạm,máychủ:Thực hiện việcsaolưu dữliệu nhưhệđiều hành, cácphầnmềm ứngdụngvănphòng,phầnmềm chuyênngành...bằngcácphầnmềm như Pqmagic, FinalData, Symantec Ghost, ZAR (ZeroAssumptionRecovery), NovaBackupProfessional, NeroBackItUp&Burn, DigitalRescuePremium... Sau khisaolưumỗimáy được lưuvàocácthiếtbịlưutrữnhưCD, ổcứngngoài...và thực hiệnviệcđánhsố,dánnhãnđểtránhnhầmlẫnnhằmphụcvụchocôngtácphụchồi dữliệumộtcáchnhanhnhất;
b)Đốivớimáychủ:CàiđặtcácdịchvụMirror,Raid,Clusteringbảođảmthiết lậpcơchế saolưuvà phụchồihệthốngcủamáy chủ.Đốivớicácmáy chủcàiđặthệ điềuhànhWindowssửdụngchứcnăngSystem Restoređểcóthểdễdàngkhôiphục lạitoànbộmáychủhoặc các tậptin,thưmục đượclựa chọnphục hồi.
10.Xử lýkhẩncấp:Khipháthiện hệthống bịtấncông,thông quacác dấuhiệu như luồngtin(traffic)tănglênbấtngờ, nộidung trangchủbịthay đổi, hệthốnghoạt độngrấtchậmkhácthường,...cầnthựchiệncácbước cơbản sau:
a) Bước 1: Ngắt kếtnốimáychủra khỏimạng;
b)Bước2:Saochéplogfilevàtoànbộdữliệucủahệthốngrathiếtbịlưutrữ (phụcvụchocôngtác phântích);
c)Bước3:Khôiphụchệthốngbằngcáchchuyểndữliệubackupmớinhất đểhệ thốnghoạtđộng;
d) Bước4:Thựchiệncác côngviệc của khoản2Điều8.
Điều 5. Các biện pháp quản lý vận hành trong công tác an toàn, an ninh thông tin
1. Đốivớicác cơ quan,đơn vị:
a)Phổbiến, hướngdẫnthựchiệncácquychếchungliênquanđếncôngtácứng dụngCNTT đãđược Ủy ban nhândân(UBND)tỉnhbanhành nhưQuychếquảnlý, vậnhành và sửdụng hệ thốngthưđiện tửdùngchungtỉnhTháiNguyên(theoQuyết địnhsố957/QĐ-UBNDngày22/5/2013củaỦybannhândântỉnhTháiNguyên), QuychếquảnlýhoạtđộngvàcungcấpthôngtincủaCổngthôngtinđiệntửtỉnh TháiNguyên(theoQuyết địnhsố40/2012/QĐ-UBND ngày 06/11/2012củaỦyban nhândântỉnhThái Nguyên),...
b)Kiểm traviệcthựchiệncácnộidungcủaĐiều4vềcácbiệnphápquảnlýkỹ thuậtcơ bảnchocôngtácantoàn, anninhthôngtincủacán bộchuyêntráchcông nghệthôngtin;
c)Tổchứcđàotạotạiđơnvịhoặccửcánbộtham giacáclớpđàotạođểtrangbị cáckiến thức vềantoànthông tincơbảnchocán bộ,côngchức, viênchức trướckhi cho phép truynhập,vậnhành, khaithácvàsử dụng hệ thốngthôngtin;
d)Xácđịnhvàphânbổkinhphíchithườngxuyêncầnthiếtchocáchoạtđộng liênquan đếnviệc bảo vệ hệ thốngthôngtin,thôngquaviệc đầutưcác thiết bị tường lửa,các chươngtrìnhchốngSpam,Virút máytínhtrêncác máytrạm,máychủ...
2. ĐốivớiCán bộchuyên tráchCNTT:
a)Triểnkhai,thựchiệncácnộidungcủaĐiều4vềcácbiệnphápquảnlýkỹ thuậtcơbảnchocông tác antoàn,anninhthôngtin;
b)Thammưuchuyênmônvàvậnhànhantoànhệthốngthôngtincủađơnvị, triểnkhaicácbiệnphápđảm bảoantoàn,anninhthôngtinchotấtcảcánbộ,công chức, viênchứctrongđơnvịmình;
c)NắmvữngvàthựchiệnnghiêmtúcPháplệnhbảovệbímậtNhànướcngày 28/12/2008. Thườngxuyêntựcậpnhậtcáckiếnthức vềantoàn,anninhthôngtin, nguycơtiềm ẩncóthểgâymấtmátthôngtinvàcác biệnphápphòngtránhkhitiến hànhcác hoạtđộngquảnlý haykỹthuậtnghiệpvụ;
d)Thựchiệnviệcđánhgiá,báocáocácrủirovàmứcđộnghiêmtrọngcủacác rủirođó.Cácrủirođócóthểxảyradosựtruycậptráiphép, sửdụngtráiphép,mất, thayđổihoặcphá hủythôngtinvàhệ thốngthôngtin;
e)Phối hợpchặtchẽ vớicơquanCôngan trongcông tác phòngngừa,đấutranh, ngănchặncáchoạtđộngxâmphạman toàn,anninhthôngtin.
3. Đốivớicán bộ,côngchức, viênchức:
a)Thườngxuyêncập nhậtnhữngchính sách,thủ tụcantoànthôngtincủa đơnvị cũngnhưthực hiệnnhững hướng dẫn về an toàn,anninhthông tincủa cán bộchuyên tráchnhưmột phầncủa côngviệc chuyênmôn;
b)Hạnchế việcsử dụngchứcnăngchia sẻtàinguyên(sharing), khisửdụngchức năngnày cầnbậtthuộctínhbảomậtbằngmậtkhẩuvàthựchiệnviệcthuhồichức năngnàykhiđã sửdụngxong;
c)Cácmáytínhkhikhôngsửdụngtrongthờigiandài(quá2giờlàmviệc)cần tắtmáyhoặcngưngkếtnốimạng, đểtránh bịcáchackerlợi dụng, sửdụngchứcnăng điềukhiển từ xa dùngmáytínhcủa mìnhtấncông vàocác hệthốngthôngtinkhác;
d) Sử dụng chức năng mã hóa ở mức hệ điều hành bảo đảm các dữ liệu nhạy cảm như tài khoản, mật khẩu, các tập tin văn bản… được mã hóa trước khi truyền trên môi trường mạng. Các tập tin gửi đính kèm bởi thư điện tử hoặc được tải xuống từ Internet hay các thiết bị lưu trữ gắn vào hệ thống cần được kiểm tra để phòng chống lây nhiễm vi rút máy tính hoặc phần mềm gián điệp gây mất mát thông tin.
Điều 6. Xâydựngquychế nộibộđảmbảoan toàn chohệ thốngthôngtin
1.Thủtrưởngcáccơquan,đơn vị đượcquy địnhtạiĐiều2của Quychếnàyphải ban hànhquychế nộibộ, bảođảmquyđịnhrõcác vấnđề sau:
a)Mụctiêuvàphươnghướngthựchiệncôngtácđảm bảoantoànanninhchohệ thốngthôngtin;
b)Nguyêntắcphânloại vàquảnlýmứcđộưutiênđốivớicác tài nguyêncủahệ thốngthôngtin(phầnmềm,dữliệu,trangthiếtbị,…);
c)Quảnlýphânquyềnvàtráchnhiệmđốivớitừngcánhânkhitham giasửdụng hệ thốngthôngtin;
d)Quảnlý và điều hànhmáychủ,thiết bị mạng,thiết bị bảovệ mạngmộtcáchan toàn;
e)Kiểm tra,ràsoátvàkhắcphụcsựcốantoànanninhcủahệ thốngthôngtinsử dụngcácbiệnpháptrongĐiều4, Điều5và Điều7của Quychế này;
f)Nguyêntắcchungsửdụngantoànvàhiệuquảđốivớitoànbộcánhântham giasử dụnghệ thốngthôngtin;
g) Tổchức thực hiện.
2.Cáccơquan,đơnvịxây dựngquy chếantoànanninhchođơnvịcăncứcác tiêuchuẩnkỹthuậtquảnlýantoàncủabộtiêuchuẩnTCVN7562:2005vàISO/IEC 17799:2005 tạiPhụ lục 1 để có sựlựa chọnápdụng phù hợpvớicơ quanmình.
Điều7.Xâydựngvàápdụngquytrìnhđảm bảoantoàn, anninhchohệ thốngthôngtin
1.Cáccơquannhànướcphảixây dựngvàápdụngquy trìnhđảm bảoantoàn,an ninhchohệthốngthôngtinnhằm giảm thiểucácnguycơgây rasựcố,tạođiềukiện choviệckhắc phục và truyvếttrong trường hợpcó sựcố xảyra.
Nộidungcủaquytrìnhnênchialàmcác bước cơ bản sau:
a) Lậpkế hoạch bảovệ antoàn,anninh chohệ thốngthôngtin;
b) Xâydựnghệ thốngbảovệ antoàn,anninhthôngtin;
c) Quảnlý vàvận hànhhệ thốngbảovệ antoàn,anninhthông tin;
d) Kiểmtra đánhgiá hoạtđộngcủa hệthốngbảo vệantoàn,an ninhthôngtin;
e) Bảotrìvànângcấp hệthốngbảovệ antoàn,an ninhthôngtin.
2.Cáccơquan,đơnvịtham khảocácbướccơbảnđểxây dựngkhungquy trình đảm bảoantoàn,anninhthôngtinchohệthốngthôngtintại Phụ lục 3 củaQuychế nàyvà tiêuchuẩnquốc tế ISO27001.
TRÁCH NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN
Điều 8.Trách nhiệmcủacác cơ quan,đơn vị
1.Thủtrưởngcáccơquan,đơnvịcótráchnhiệm thựchiệnĐiều6vàĐiều7của Quychếnày vàchịutráchnhiệm thựchiệncácquyđịnhcủaphápluậttrongcôngtác bảo vệ antoànhệ thốngthôngtincủa đơnvị.
2.Khicósựcốhoặcnguy cơmấtantoànthôngtin,kịpthờiápdụngmọibiện phápđể khắcphụcvàhạnchếthiệthại,ưutiênsửdụnglựclượngkỹ thuậtanninh thông tin củađơnvị vàlập biên bảnbáocáobằng văn bảnchocơquancấptrên quản lý trựctiếp và Sở ThôngtinvàTruyềnthôngtheo biểumẫutạiPhụ lục 4 của Quy chế này.
Trườnghợpcósựcốnghiêm trọngvượtquákhảnăngkhắcphụccủađơnvị, phải báocáongaychocơ quancấptrênquảnlýtrựctiếpvàSởThôngtinvàTruyềnthông để cùng phốihợp xử lý.
3.Tạođiềukiệnthuậnlợichocáccơquanchứcnăngthamgiakhắcphụcsựcố và thực hiệnđúngtheo hướng dẫn.
4.PhốihợpvớiĐoànkiểm trađểtriểnkhaicôngtáckiểm tra,khắcphụcsựcố đượcnhanhchóngvà đạthiệuquả;đồngthờicungcấpđầy đủcác thôngtin khiĐoàn kiểmtra yêucầuxuấttrình.
5.Địnhkỳ hằngQuý,lậpbáocáotìnhhìnhantoàn,anninhthôngtintheobiểumẫutạiPhụ lục 5 củaQuychếnày vàgửivềSởThôngtinvà Truyềnthôngquahộp thư điệntử vanthu.sotttt@thainguyen.gov.vn.Riêng báocáothuộcQuýIV củanăm yêucầucác đơnvịgửi về Sở ThôngtinvàTruyền thôngbằngvăn bản.
Điều 9. Trách nhiệm của cán bộ công chức, viên chức và người lao động trong các cơ quan, đơn vị
1.Nghiêm chỉnhchấphànhcácquyđịnhvềbảovệbímậtnhànước,quychếnội bộ,quytrìnhvềantoàn,anninhthôngtincủacơquan,đơnvịcũngnhưquyđịnh kháccủaphápluật,nângcaoýthứccảnhgiácvàtráchnhiệmđảmbảoantoàn,an ninhthôngtintại đơnvị.
2.Khipháthiệnsựcốphảibáongayvớicơquancấptrênvàbộphậnchuyên tráchCNTTđể kịpthờingănchặn,xử lý.
3. Tham gia các chương trình đào tạo, hội nghị về an toàn, an ninh thông tin do Sở Thông tin và Truyền thông tổ chức.
Điều 10.Trách nhiệmcủaCông an tỉnhTháiNguyên
1.ThammưuchoỦy bannhândântỉnhchỉđạo, tổchức triểnkhai,thựchiệncác Chỉthị, NghịquyếtcủaĐảng,phápluậtNhà nước vềcôngtácbảomệbímậtnhà nước,bảo vệanninhchính trịnội bộ,anninhkinh tế,anninhthôngtin,antoàncơ sở hạtầng,bảovệcôngtrìnhquantrọngliênquanđếnanninhquốcgia,trậttựantoàn cơquan;xây dựng, banhànhdanhmụcbảovệbímậtNhànước,cácquy địnhvềtiêu chuẩn, quy chuẩnkỹ thuậtantoàn,anninhthôngtintrongvậnhành,khaithácmạng lưới, dịchvụ,cáccôngcụ phầncứng,chương trình virut,phầnmềmgián điệp để phát tánthưrác,đánhcắp,sửdụngtráiphépmậtkhẩu,khóamậtmã,lưutrữ,pháttán thôngtin,tàiliệutráiphápluật,xâm phạmantoàn,anninhthôngtin,viphạm thuần phongmỹtục;thực hiệnquyền,nghĩa vụ, tráchnhiệmbảo vệanninhchínhtrịnội bộ, anninh thông tin truyềnthông,bảo vệ bímậtNhà nước,antoàncơsở hạ tầng,trật tự antoàncơquan;làm tốtcôngtácchínhtrịtưtưởng,côngtácquảnlýnộibộnhằm nângcaoýthứctráchnhiệm chocánbộcôngnhânviên;xây dựngphongtrào“ Toàn dân bảovệ anninhTổquốc”.
2. TraođổikịpthờichoSở Thôngtin và Truyền thôngvà các cơ quan,đơn vị trên địa bàntỉnhTháiNguyênvềâmmưu,phương thức,thủ đoạn hoạtđộngcủacácthế lựcthùđịchvàtộiphạmtrênlĩnhvựcviễnthôngvàcôngnghệthôngtin;nhằm phòngngừa, ngănchặnhoạtđộngcủacácthế lựcthùđịchvà tộiphạm;nângcaotinh thầncảnhgiácvà ýthức tráchnhiệmcủa cán bộ,côngnhânviên.
3.Chỉ đạocácphòngnghiệpvụvàCôngancáchuyện, thànhphố,thị xã tăng cườngtuyêntruyềnvậnđộngnhândâncác xã, phường, thịtrấncóhệthốngthôngtin điqua nêucaotinhthầntráchnhiệm,ýthứccảnhgiác, kịpthờingănchặn, pháthiện, tốgiácnhữnghànhvigây nguy hạiđếncôngtrìnhmạnglướiviễnthông,côngnghệ thôngtin.Triểnkhaicôngtácđảm bảoanninhtrậttự,phòngchốngtộiphạm vàcác hànhviviphạm kháctronglĩnhvựcviễnthôngvàcôngnghệthôngtin.Saukhitiếp nhậntinbáovềtộiphạm xâm phạm anninhtrậttựtronglĩnhvựcviễnthôngvàcông nghệthôngtinphảikhẩntrươngtổchứcxácminh,điềutralàm rõnguyênnhân, phươngthứcthủ đoạn,hoạt độngcủa đối tượng,kịpthờiđưa rađểxửlýtheopháp luật.
4.Khipháthiệncácthôngtin,tàiliệu,dữliệu, đồvậtliênquanđếnhoạtđộng xâm phạm anninhquốcgiatheoquyđịnhtạiĐiều3Nghịđịnh số151/2005/NĐ- CP,ngày14/12/2005củaChínhphủ quyđịnhquyềnhạn,tráchnhiệm củacơquan vàcánbộchuyêntrách bảovệanninhquốc gia,thực hiệnngay cácbiệnphápsau đây:
a)Yêucầutổchức,cánhâncungcấpcácthôngtin dữliệu, sốliệu, tàiliệu,đồvật liênquan;
b)Thựchiệntheothẩm quyềncácbiệnpháplưugiữ,saochépthôngtin,dữ liệu, tàiliệu,đồvật,một phầnhoặctoànbộhệ thốngthiếtbịliênquan;
c) Ngăncảnviệc truynhậphệ thốngthiếtbị,mạng lướivà sử dụngdịchvụ; d) Thựchiệncácnhiệmvụ,quyềnhạnkhác theoquyđịnhcủaphápluật.
Điều 11.Trách nhiệmcủaSở ThôngtinvàTruyền thông
1.Tham mưuUBNDtỉnhvề côngtácđảm bảoantoàn,anninh thông tin vàchịu tráchnhiệm trướcUBNDtỉnhtrongviệcđảm bảoantoàn,anninhchocáchệthống thôngtincấptỉnh.
2.Xâydựngkếhoạch,dựtoánnguồnkinhphíđểtriểnkhaicôngtácantoànvà anninhthôngtin phụcvụchoviệc vậnhànhcác hệ thốngthôngtinđượcUBNDtỉnh giaoquảnlývàlưukýcáctrangthôngtinđiệntửcủacácsởngành,huyện,thành phố, thịxã.
3.ThànhlậpĐoànkiểm traantoàn,anninhthôngtinvàtiếnhànhkiểm tratheo địnhkỳ hoặcđộtxuấtkhipháthiệncócác dấuhiệu, hànhviviphạm antoàn,anninh thôngtin.Kếtthúcđợtkiểm traphảicóvănbảnbáocáoUBNDtỉnhvềtìnhhìnhan toàn,anninhthôngtinthuộctỉnh và cónhữngđề xuất phù hợp.
4.Xâydựngvà triển khaicác chương trình đào tạo, hội nghịtuyên truyềnantoàn, anninh thông tin trongcôngtácquảnlýnhànướcthuộctỉnh nhằm phổ biến,cậpnhật kiếnthứcvề antoànanninhthôngtinvàoQuýIIIhằngnăm.
5.Tùy theomứcđộsựcố,phốihợpTrungtâm Ứngcứukhẩncấpmáy tínhViệt Nam(VNCERT)vàcácđơnvịcóliênquanhướngdẫnxửlý,ứngcứucácsựcố thôngtin.
6.Hướngdẫn,giámsátcácđơnvịxâydựngQuychếđảmbảoantoàn,anninh cho hệthốngthôngtintheoquyđịnhcủa nhà nước.
CÔNG TÁC THANH TRA, KIỂM TRA AN TOÀN, AN NINH THÔNG TIN
Điều 12.Kế hoạchkiểmtrahằngnăm
1.SởThôngtinvàTruyềnthôngchủtrì,phốihợpVănphòngUBNDtỉnh,Công antỉnhvàcácđơnvịcóliênquantiếnhànhcôngtáckiểm traantoàn,anninhthông tintạitấtcảcácđơnvịhànhchínhcấptỉnh,huyện,thànhphố,thịxãđịnhkỳhằng nămtốithiểu1lầnvàoquýIII,kiểmtratạicơsởcấpphường/xãtheokếhoạchcủa Sở Thôngtinvà Truyềnthông.
2.Tiếnhànhkiểm trađộtxuấtcáccơquannhànướckhicódấuhiệuviphạm an toàn,anninhthôngtin.
Điều13.Quanhệphốihợpvàtráchnhiệmcủacáccơquanchứcnăngliênquan
1. Sở Thôngtinvà Truyềnthông
a)Chịu trách nhiệm chínhtrong việcchủ trì vàphối hợpvớicáccơ quanchức năngliênquanđểthànhlậpĐoànkiểm travàtriểnkhai,báocáocôngtáckiểm traan toàn,anninhthôngtin trênquymô toàntỉnh;
b) Phối hợpvớiCôngantỉnhthực hiện xửlýcác hànhvivi phạman toàn,anninh thôngtingây thiệthạichohệthốngthôngtinthuộccáccơquan,đơnvịnhànước thuộc tỉnh.
2. Văn phòngUBNDtỉnh:
a)Cửbộphậnchuyêntráchan toàn,anninhthông tin phối hợp vớiSở Thông tin và Truyềnthôngkiểmtra,đánhgiá côngtác antoàn,anninhthôngtin;
b)Phốihợpxây dựngcáctiêuchívàquy trìnhkỹ thuậtkiểm tracôngtácantoàn, anninhthôngtin.
3.Tráchnhiệmcủa Côngantỉnh:
a) Phối hợp Sở Thông tin và Truyền thông kiểm tra công tác an toàn, an ninh thông tin;
b) Tham mưu UBND tỉnh ban hành, sửa đổi, bổ sung các quy định của pháp luật có liên quan đến công tác an toàn, an ninh thông tin;
c) Thường xuyên thông báo cho các cơ quan, đơn vị về phương thức, thủ đoạn mới của các loại tội phạm xâm phạm an toàn, an ninh thông tin để có biện pháp phòng ngừa, đấu tranh, ngăn chặn;
d) Điều tra và xử lý các trường hợp vi phạm an toàn, an ninh thông tin theo thẩm quyền.
Hằngnăm,SởThôngtinvàTruyềnthôngdựatrênkếtquả kiểmtra,đánhgiá, báocáocôngtácantoàn,anninhthôngtincủacáccơ quan, đơnvịđểxác lậpbảngxếphạngantoàn,anninhthôngtin;trêncơsởđóđềxuấtUBNDtỉnhxem xétkhen thưởngchocáccánhân,đơnvịcóthànhtíchđảm bảoantoàn,anninhthôngtintheo quyđịnhhiệnhành.
Tổchứccánhâncóhànhviviphạm quychếnày thìtùy theotínhchất,mứcđộvi phạmmàbịxửlýkỷ luật,xửphạthànhchínhhoặcbịtruycứutráchnhiệm hìnhsự quyđịnhcủaphápluậthiện hành.
Điều 16.SởThôngtinvàTruyềnthôngchủtrì,phối hợpvớicácsở, ban,ngành, UBNDcáchuyện,thànhphố, thịxãvàcáccơquancó liên quantriểnkhaithựchiện Quychế này.
Trongquátrìnhthựchiện,nếucóvướngmắc,đềnghịcơquan,tổchức,cánhân cóliênquan phảnánhvềSởThôngtinvàTruyềnthôngtổng hợptrìnhUBND tỉnh xemxét,giảiquyết./.
10 NỘI DUNG CHÍNH CỦA ISO/IEC 17799:2005 DÙNG ĐỂ XÂY DỰNG QUY CHẾ NỘI BỘ ĐẢM BẢO AN TOÀN, AN NINH CHO HỆ THỐNG THÔNG TIN
(BanhànhkèmtheoQuyếtđịnh số:31/2013/QĐ/UBND ngày16tháng12năm2013 củaUỷ bannhândântỉnhThái Nguyên)
1.Chínhsáchantoànthôngtin:Chỉthịvàhướngdẫnvề antoànthôngtin.
2. Anninhtổchức:
a) Hạ tầnganninhthôngtin:quảnlýanninhthôngtintrongtổchức;
b)Anninhđốivớibêntruycậpthứ ba:Duy trìanninhchocácphươngtiệnxửlý thôngtincủa tổchức và tàisảnthôngtinchocác bênthứba truynhập.
3.Phânloạivà kiểmsoáttàisản:
a) Tráchnhiệmgiảitrìnhtàisản:duytrì bảo vệtài sản;
b) Phânloạithôngtintàisản:bảođảmmỗi loạitàisảncómức bảovệ thíchhợp.
4. Anninhcánhân:
a) An ninh trongđịnhnghĩa côngviệc và nguồnnhânlực:giảmrủirodocác hành visaisótcủa conngười;
b)Đàotạongườisửdụng:bảođảmngườisửdụngnhậnthứcđượccácmốiđe dọa và các vấnđề liênquan đếnanninhthôngtin;
c)Đốiphócácsựcốanninh:Giảmthiểuthiệthạitừcác hỏnghóc, trụctrặcvàsự cốanninh, theodõivà rútkinhnghiệm.
5. Anninhmôi trường vậtlý:
a)Phạmvianninh:ngănngừaviệctruycập,gâyhạivàcanthiệptráiphépvào vùnganninh vàthôngtinnghiệpvụ;
b) Anninhthiết bị:để tránhmấtmát,lỗihoặc cácsựcốkhác liênquan đếntàisản gâyảnh hưởng đếncác hoạtđộngnghiệpvụ;
c)Kiểmsoátchung:ngănngừalàmhạihoặcđánhcắpthôngtinvàcácphương tiệnxửlýthôngtin.
6. Quảnlý truyềnthôngvàhoạtđộng:
a)Thủtụcvậnhànhvàtráchnhiệmvậnhànhhệthống:bảođảmcácphươngtiện xử lýthôngtinhoạtđộngđúngvà antoàn;
b) Lậpkế hoạchhệ thốngvà côngnhận:giảmthiểurủirovề lỗihệ thống;
c)Bảovệchốnglạiphầnmềmcốýgâyhại:bảovệtínhtoànvẹncủaphầnmềm hệ thốngvà thôngtin;
d)Côngviệcquảnlý:duytrìtínhtoànvẹnvàsẵnsàngcủadịchvụtruyềnđạtvà xử lýthôngtin;
e)Quảntrịmạng:bảođảmviệcantoànthôngtintrênmạngvàbảovệcơsởhạ tầngkỹthuật;
g)Traođổithôngtin:Ngănngừamấtmát,thayđổihoặcsửdụngsaithôngtin được traođổigiữa các đơn vị.
7. Kiểm soát truy cập:
a) Các yêu cầu nghiệp vụ đối với kiểm soát truy nhập: kiểm soát truy nhập thông tin;
b) Quản lý truy nhập của người dùng: Để tránh các truy nhập không được cấp phép vào hệ thống;
c) Trách nhiệm của người dùng: để tránh các truy nhập của người dùng không được cấp phép;
d) Kiểm soát truy nhập mạng: bảo vệ các dịch vụ mạng;
e) Kiểm soát truy nhập hệ điều hành: tránh truy nhập vào các máy tính không được phép;
g) Kiểmsoáttruynhậpứngdụng: tránhcáctruynhập tráiphépvàohệ thống;
h)Giámsáttruynhậphệthốngvàgiámsátsửdụnghệthống:đểpháthiệncác hoạtđộngkhông được cấpphép;
i)Kiểmsoáttruynhậptừxa:bảođảmanninhthôngtinkhisửdụngcácphương tiệndiđộng.
8.Phát triểnvà duytrì hệthống:
a)Yêucầuanninhđốivớicáchệthống:đểbảođảmcácyêucầuanninhđược đưa vàotrongquá trìnhxâydựnghệ thống;
b)Anninhtronghệthốngứngdụng:đểngănngừamấtmát,thayđổihoặclạm dụng dữ liệungườisửdụngtrongcáchệ thốngứngdụng;
c)Cáckiểmsoátmậtmã,mãhóa:đểbảovệtínhtincậy,xácthựchoặctoànvẹn củathôngtin;
d)Anninhcáctệphệthống:BảođảmrằngcácdựánCNTTvàcáchoạtđộnghỗ trợđược quảnlýmộtcáchantoàn;
e)Anninhquátrìnhhỗtrợvàpháttriển:duytrìanninhcủaphầnmềmvàthông tinhệ thốngứngdụng.
9.Quảnlýliêntụctrongkinhdoanh:chốnglạisựgián đoạntrongcáchoạtđộng kinhdoanh.
10.Sự tuânthủ:
a)Tuânthủcácyêucầupháplý:đểtránhcácviphạmcủacácBộluậthìnhsựvà dân sự,cácnghĩa vụcótínhluậtpháp, nguyên tắc;
b)Chínhsáchanninhvàyêucầukỹthuậtcủahệthốngphảibảođảmviệctuân thủcác chínhsách vàtiêuchuẩnanninhcủa quốc gia;
c)Xemxétkiểmtrahệthống:đểtốiưutínhhiệulựcnhằmgiảmthiểusựcan thiệpquytrìnhkiểmtra hệ thốngđó.
GIẢI THÍCH, GHI CHÚ TỪ TIẾNG ANH, TỪ KỸ THUẬT CHUYÊN NGÀNH
(BanhànhkèmtheoQuyếtđịnh số:31/2013/QĐ/UBND ngày16tháng12năm2013 củaUỷ bannhândântỉnhThái Nguyên)
1. Clients/Server: Mô hình mạng máy con - máy chủ.
2. AP - AcessPoint: Điểm truy cập không dây được cấu hình đặc biệt các nút trên mạng cục bộ không dây (WLAN). Các điểm truy cập hoạt động như một máy phát trung tâm và nhận tín hiệu radio WLAN.
3. SSID - Service set identification: Tên định danh dịch vụ của mạng. Thông thường nếu trong mạng của bạn chỉ có nhiều Access Point (AP) thì khi bạn truy cập vào AP nào bạn sẽ chọn SSID tương ứng. Nói chung SSID là tên đặt cho mạng Wireless của mình để nhận dạng.
4. Logfile: Được hiểu là một tập tin để lưu trữ thông điệp được tạo ra bởi một ứng dụng, dịch vụ, hoặc hệ điều hành. Các thông điệp này được sử dụng để theo dõi các hoạt động được hoặc đã thực hiện. Các tệp tin nhật ký thường là các tập tin văn bản đơn giản (mã ASCII) và thường có một phần mở rộng là “.log”.
5. VPN - Virtual Private Network: Mạng riêng ảo, là một mạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng Internet công cộng.
6. Network File and Folder Sharing: Chức năng chia sẻ thông tin trên hệ điều hành.
7. Mã hóa ở mức hệ điều hành: Dùng các công cụ có sẵn của hệ điều hành cung cấp để tiến hành mã hóa và giải mã.
8. Backup (Sao lưu): Sao lưu dữ liệu được dùng để khôi phục lại dữ liệu tại thời điểm tiến hành sao lưu khi hệ điều hành bị hỏng.
9. Trojan (Vius Trojan) : một chương trình dạng vi rút, một kẻ làm nội gián trong máy tính của bạn đã giúp cho tên tin tặc (hacker) điều khiển máy tính của bạn, Trojan giúp tên tin tặc lấy những thông tin quý báu của bạn, thậm chí hắn có thể xóa hoặc định dạng lại cả ổ cứng của bạn nữa. Trojan có thể nhiễm vào máy của bạn qua tập tin gắn kèm thư điện tử mà bạn đã vô tình tải về và chạy thử, hoặc có lẫn trong những chương trình trò chơi, nhưng chương trình mà bạn không rõ nguồn gốc...
10. Worms (Sâu dữ liệu): giống như virus ngoài trừ việc nó có thể tự tái tạo. Nó không chỉ có thể nhân rộng mà không cần đến việc phải “đột kích” vào “bộ não” của file và nó cũng rất ưa thích sử dụng mạng để lây lan đến mọi ngóc ngách của hệ thống. Điều này có nghĩa là một computer worm có đủ khả năng để làm thiệt hại nghiêm trọng cho toàn thể mạng lưới, trong khi một virus chỉ thường nhắm đến các tập tin trên máy bị nhiễm.
11. Hosting (Dịch vụ cho thuê máy chủ): là một loại hình lưu trữ trên Internet cho phép các cá nhân, tổ chức truy cập được website của họ thông qua World Wide Web.
12. Firewall: Tường lửa - Là hệ thống rào chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ.
13. IDS/IPS: Thiết bị phát hiện/phòng chống xâm nhập.
14. WAF- Web Application Firewall: Mức ứng dụng web.
15. SQL Injection (lỗi nhúng mã): Xảy ra trong các ứng dụng như SQL, LDAP khi sử dụng dữ liệu không xác thực được gửi tới hệ thống biên dịch như một phần mã lệnh. Những dữ liệu này của kẻ tấn công có thể lừa hệ thống biên dịch thực hiện những mã lệnh độc hại hoặc giúp những kẻ tấn công thâm nhập đến dữ liệu quan trọng một cách trái phép.
16. Cross-Site Scripting (xss) (Thực thi mã Script xấu) : Xảy ra khi một ứng dụng tiếp nhận những dữ liệu không đáng tin cậy và gửi chúng đến cho trình duyệt web mà không qua xử lý và kiểm duyệt. XSS cho phép kẻ tấn công thực hiện những mã lệnh độc trên trình duyệt của người bị tấn công và lợi dụng ăn cắp phiên truy cập để mạo danh hoặc hủy hoại trang web hoặc lừa người sử dụng đi đến những trang web độc hại khác.
17. Broken Authentication and Session Management (Hư hỏng cơ chế chứng thực và quản lý phiên làm việc) : Những đoạn chương trình kiểm tra danh tính và quản lý phiên làm việc của người sử dụng thường được làm qua loa không đúng cách. Điều này giúp kẻ thâm nhập có thể ăn cắp mật mã, khóa, mã của các phiên làm việc (session tokens) hoặc tận dụng những lỗi khác để giả mạo danh tính người sử dụng.
18. Insecure Direct Object References (đối tượng tham chiếu thiếu an toàn): Xảy ra khi người phát triển để lộ một tham chiếu đến những đối tượng trong hệ thống như các tập tin , thư mục, hay chìa khóa dữ liệu. Nếu chúng ta không có một hệ thống kiểm tra truy cập, kẻ tấn công có thể lợi dụng những tham chiếu này để truy cập dữ liệu một cách trái phép.
19. Cross Site Request Forgery (CSRF) (Giả mạo yêu cầu): Kiểu tấn công này ép buộc trình duyệt web của một người dùng đã đăng nhập gửi những yêu cầu giao thức web (HTTP) tới một trang web bị lỗi, bao gồm cookie của phiên truy cập và những thông tin tự động khác như thông tin đăng nhập. Cách thức này cho phép kẻ tấn công buộc trình duyệt web tạo ra những yêu cầu cho ứng dụng lỗi mà ứng dụng này không thể biết được đây là những yêu cầu giả mạo của kẻ tấn công.
20. Security Misconfiguration (Lỗi cấu hình bảo mật, sai sót cấu hình an ninh): Một cơ chế an ninh tốt cần phải hiệu chỉnh về an ninh và triển khai nó cho các ứng dụng , khuôn mẫu, máy chủ ứng dụng, máy chủ web,máy chủ dữ liệu và các ứng dụng nền tảng. Tất cả những thiết lập nên được định nghĩa, thực hiện bảo trì vì rất nhiều thứ không được triển khai với thiết lập an toàn mặc định. Các hiệu chỉnh cũng bao gồm cập nhật phần mềm và những thư viện được sử dụng bởi ứng dụng.
21. Failure to Restrict URL Access (Sai sót hạn chết truy cập) : Nhiều ứng dụng web kiểm tra quyền thực thi địa chỉ truy cập (URL) trước khi dựng các liên kết và nút nhấn được bảo vệ. Tuy nhiên ứng dụng cũng phải thực hiện kiểm tra tương tự mỗi khi những trang thông tin được truy cập trực tiếp, nếu không kẻ tấn công có thể giả mạo URL để truy cập vào những trang thông tin ẩn này.
Insecure Cryptographic Storage(Lưu trữ mật mã thiếu an toàn) : Nhiều ứng dụng web không bảo vệ những dữ kiệu nhạy cảm như thẻ tín dụng, số chứng minh nhân dân và những mã xác thực thông tin bằng phương thức mã hóa hay băm. Kẻ tấn công có thể ăn cắp hay thay đổi những dữ liệu nhạy cảm này và tiến hành hành vi trộm cắp, gian lận thẻ tín dụng, v.v…
22. Insufficient Transport Layer Protection (thiếu bảo vệ lớp vận chuyển): Các ứng dụng thường xuyên mắc sai lầm trong việc kiểm tra định danh, mã hóa và bảo vệ sự tuyệt mật và tính toàn vẹn của những thông tin nhạy cảm trên mạng lưới liên kết. Nó thường được bảo vệ bởi những thuật toán yếu, sử dụng những chứng nhận đã hết hiệu lực hoặc không sử dụng đúng cách.
23. Unvalidated Redirects and Forwards (Chuyển hướng và chuyển tiếp thiếu thẩm tra): Ứng dụng web thường xuyên đưa người dùng đến những liên kết qua các website khác và sử dụng những thông tin thiếu tin cậy để xác định đích đến. Nếu không được kiểm tra một cách cẩn thận, kẻ tấn công có thể lợi dụng để đưa nạn nhân
đến những trang web lừa đảo hay phần mềm độc hại, hoặc chuyển tiếp để truy cập các website trái phép.
24. Mirror : là một liên kết đến một bản sao của nội dung mà bạn đang nói về, chủ yếu là lưu trữ trên một máy chủ khác nhau để dự phòng.
RAID: là hình thức ghép nhiều ổ đĩa cứng vật lý thành một hệ thống ổ đĩa cứng có chức năng gia tăng tốc độ đọc/ghi dữ liệu hoặc nhằm tăng thêm sự an toàn của dữ liệu chứa trên hệ thống đĩa hoặc kết hợp cả hai yếu tố trên.
Clustering: Là một kiến trúc nhằm đảm bảo nâng cao khả năng sẵn sàng cho hệ thống mạng máy tính. Clustering cho phép sử dụng nhiều máy chủ kết hợp với nhau tạo thành một cụm có khả năng chịu đựng hay chấp nhận sai sót (fault - tolerant) nhằm nâng cao độ sẵn sàng của hệ thống mạng.
25. Trafic: Luồng dữ liệu.
26. Sharing: Chia sẻ tài nguyên.
27. Hacker: Được hiểu là người có thể viết hay chỉnh sửa phần mềm, phần cứng máy tính bao gồm lập trình, quản trị và bảo mật. Những người này hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính và dùng kiến thức bản thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau.
28. Internet: Là hệ thống thông tin toàn cầu sử dụng giao thức Internet và tài nguyên Internet để cung cấp các dịch vụ và ứng dụng khác nhau cho người sử dụng dịch vụ viễn thông.
CÁC BƯỚC CƠ BẢN ĐỂ XÂY DỰNG KHUNG QUY TRÌNH ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN CHO HỆ THỐNG THÔNG TIN
(BanhànhkèmtheoQuyếtđịnh số:31/2013/QĐ/UBND ngày16tháng12năm2013 củaUỷ bannhândântỉnhThái Nguyên)
Bước 1: Lập kế hoạch bảo vệan toànanninh chohệ thốngthôngtin:
a) Thànhlậpbộ phận quảnlýantoàn,anninhthôngtin;
b)Xây dựngđịnhhướngcơbảnchocôngtácđảm bảoantoàn,anninhthôngtin, trongđóchỉrõ:
- Mụcđíchngắnhạnvà dàihạn;
- Phươnghướngvà văn bảnphápquy,tiêuchuẩncầntuânthủvà thamkhảo;
- Ước lượngnhân lựcvà kinhphíđầutư.
c) Lậpkế hoạch xâydựng hệthống bảovệantoàn, anninhthôngtin:
- Xác định vàphânloạicácnguycơ gâysựcốantoàn,anninhthôngtin;
-Ràsoátvà lập danh sáchcácđốitượngcầnđược bảo vệvớinhữngmôtảđầyđủ về: nhiệm vụ;chứcnăng;mứcđộquantrọngvàcácđặcđiểm đốitượng(Đốitượngở đây cóthể làmộtphầnmềm,cácmáy chủ,quy trình tác nghiệpthuộccơquanđơnvị…);
-Xây dựngphươngánđảm bảoantoànchocácđốitượngtrongdanhsáchcần đượcbảovệ:nguyêntắcquảnlý,vậnhành:cácgiảiphápbảovệvàkhắcphụcsự cố…
-LiênlạcvàhợptácchặtchẽTrungtâmCôngnghệthôngtinvàTruyềnthông- SởThôngtin vàTruyềnthôngcũng nhưcáccơquan,tổchức nghiêncứuvàcungcấp dịchvụtoànmạng;
- Lập kếhoạch dựtrùkinhphíđầu tưchohệ thốngbảo vệ.
Bước 2: Xâydựnghệ thốngbảovệ an toàn an ninh thôngtin:
-Tổchứcđộingũnhânviênchuyêntrách,đủnănglựcđảm bảoantoàn,anninh cho hệthốngthôngtin;
- Xâydựnghệ thốngbảo vệ antoànanninhthôngtintheokếhoạch.
Bước 3: Quảnlývà vận hành hệ thốngbảovệ ATANTT:
- Vận hành vàquảnlýchặtchẽtrangthiết bị,phần mềmtheoquyđịnhđã đặtra;
-Khiphát hiệnsựcốcầnnhanhchóngxácđịnhnguyênnhân,tìm biệnphápkhắc phụcvà báocáosựcốchocác cơ quanchức năng;
-Càiđặtđầyđủ,thườngxuyêncậpnhậtphầnmềm,cácbảnválỗitheohướng dẫncủanhàcungcấp,thườngxuyênthay đổimậtkhẩu,sử dụngmậtkhẩuvớiđộan toàncao.
Bước 4: Kiểmtrađánh giáhoạt độngcủahệ thốngbảo vệ ATANTT:
-Thườngxuyênkiểm tragiám sátcáchoạtđộngcủahệthống bảovệantoàn,an ninhthôngtinnóiriêngcũngnhưtoànbộhệ thống thôngtinnóichung;
- Báocáotổngkếttìnhhìnhtheođịnhkỳ.
Bước 5: Bảotrìvànângcấp hệ thốngbảo vệ ATANTT:
-Thườngxuyênkiểm trabảotrìhệ thốngbảovệan toànanninhthôngtin.Cần nhanhchóngmở rộng,nângcấphoặc thaythếkhicần thiết.
MẪU BÁO CÁO SỰ CỐ
(BanhànhkèmtheoQuyếtđịnh số:31/2013/QĐ/UBND ngày16tháng12năm2013 củaUỷ bannhândântỉnhThái Nguyên)
Đơnvị:……………….. | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
| Ngày …….tháng …..năm ………. |
BÁO CÁO SỰ CỐ
1.Thông tin chung:
Đạidiệnlãnhđạo:............................................................................................
Têncơ quan:....................................................................................................
Email(cơ quan):..............................................................................................
Điệnthoại(cơquan):.......................................................................................
2.Thông tin về sự cố:
Số lượngmáychủ bịsựcố:..........Máy
Tên và chức năngchínhcủatừngmáychủ:
Tên máychủ 1:……………………………………………………………..
Hệ điều hành:
□ Windows Phiênbản (Version):……………………..…….……..
□ Linux Phiênbản (Version):………………….………………
□ Ubutu Phiênbản (Version):………………….………...……
□ Khác: …………………………………………………….…………….…
Chức năng:………………………………………………………………….
Thờigianxảyra sựcố:…/…../…./…./…./(giờ/phút/ngày/tháng/năm)
Môtảsơ bộ vềsựcố:………………………………………………………
…………………………………………………………………………………..
CácdịchvụcótrênMáychủ(Đánhdấunhữngdịchvụđượcsửdụngtrênhệ thống)
□ Web server | □ Mail server | □ Databaseserver |
□ FPTserver | □ Proxyserver | □ Applicationserver |
□ Dịchvụkhác, đólà:………………………………………………………
Địa chỉIP của hệ thống:
□ P nội bộvớiđịa chỉ:……… - ……… -…………- ……………...……..
□ IP ngoàivớiđịa chỉ:……… - ……… -…………-…………….….……
Các tên miền củahệthống:
…………………………………………………………….…………………
Cách thức phát hiện: (Đánh dấunhữnghìnhthức pháthiệnkhicó sựcố)
□ Ngườidùngcuốibáo □ Quảntrịhệ thống
□ Qua hệthốngIDS/IPS □ Kiểmtra LogFile
□ Kiểmtra đườngtruyền □ Công ty,tổchức tưvấn
□ Khác, đó là………………………………………………………………..
Các biện pháp đãxửlýkhi gặp sựcố:
□ Khônglàmgìcả □ Tựxửlý
□ Báocáocấp trên □ Yêucầuhỗ trợtừnơi khác
□ Hỗ trợtừ VNCERT □ Báocáocảnhsátmạng
□ Khác, đó là………………………………………………………………..
Đốivớimỗibiệnpháp,đềnghịmôtảcụthể cáchthức xử lý:
.........................................................................................................................
.........................................................................................................................
Tên máychủ 2:……………………………………………………………..
Hệ điều hành:
□ Windows Phiênbản (Version):…………….……………………
□ Linux Phiênbản (Version):……………….…………………
□ Ubutu Phiênbản (Version):………................………………
□ Khác:…………………………………….…………….…………………
Chức năng:………………………………………………………………….
Thờigianxảyra sựcố:…/…../…./…./…./(giờ/phút/ngày/tháng/năm)
Môtảsơ bộ vềsựcố:………………………………………………………
……………………………………………………………………………….
CácdịchvụcótrênMáychủ(Đánhdấunhữngdịchvụđượcsửdụngtrênhệ thống)
□ Web server | □ Mail server | □ Databaseserver |
□ FPTserver | □ Proxyserver | □ Applicationserver |
□ Dịchvụkhác, đólà:………………………………………………………
Địa chỉIP của hệ thống:
□ IP nội bộvớiđịa chỉ:……… - ……… -…………- …………..………..
□ IP ngoàivớiđịa chỉ:……… - ……… -…………-……………..………
Các tên miền củahệthống:
……………………………………………………………….………………
Cách thức phát hiện: (Đánhdấunhữnghìnhthứcpháthiệnkhicó sựcố)
□ Ngườidùngcuốibáo □ Quảntrịhệ thống
□ Qua hệthốngIDS/IPS □ Kiểmtra LogFile
□ Kiểmtra đườngtruyền □ Công ty,tổchức tưvấn
□ Khác, đó là………………………………………………………………..
Các biện pháp đãxửlýkhi gặp sựcố:
□ Khônglàmgìcả □ Tựxửlý
□ Báocáocấp trên □ Yêucầuhỗ trợtừnơi khác
□ Hỗ trợtừ VNCERT □ Báocáocảnhsátmạng
□ Khác, đó là………………………………………………………………..
.........................................................................................................................
Tên máychủ 3:……………………………………………………………..
Hệ điều hành:
□ Windows Phiênbản (Version):……………..……………...……
□ Linux Phiênbản (Version):……………….…………………
□ Ubutu Phiênbản (Version):……................…………………
□ Khác: ……….……………………………………….……………………
Chức năng:………………………………………………………………….
Thờigianxảyra sựcố:…/…../…./…./…./(giờ/phút/ngày/tháng/năm)
Môtảsơ bộ vềsựcố:………………………………………………………
CácdịchvụcótrênMáychủ(Đánhdấunhữngdịchvụđượcsửdụngtrênhệ thống)
□ Web server | □ Mail server | □ Databaseserver |
□ FPTserver | □ Proxyserver | □ Applicationserver |
□ Dịchvụkhác, đólà:………………………………………………………
Địa chỉIP của hệ thống:
□ IP nội bộvớiđịa chỉ:……… - ……… -…………- ………………..…..
□ IP ngoàivớiđịa chỉ:……… - ……… -…………-………………..……
Các tên miền củahệthống:.
…………………………………………………………………….…………
Cách thức phát hiện: (Đánhdấunhữnghìnhthứcpháthiệnkhicó sựcố)
□ Ngườidùngcuốibáo □ Quảntrịhệ thống
□ Qua hệthốngIDS/IPS □ Kiểmtra LogFile
□ Kiểmtra đườngtruyền □ Công ty,tổchức tưvấn
□ Khác, đó là………………………………………………………………..
Các biện pháp đãxửlýkhi gặp sựcố:
□ Khônglàmgìcả □ Tựxửlý
□ Báocáocấp trên □ Yêucầuhỗ trợtừnơi khác
□ Hỗ trợtừ VNCERT □ Báocáocảnhsátmạng
□ Khác, đó là………………………………………………………………..
MẪU BÁO CÁO TÌNH HÌNH AN TOÀN, AN NINH THÔNG TIN
(BanhànhkèmtheoQuyếtđịnh số:31/2013/QĐ/UBND ngày16tháng12năm2013 củaUỷ bannhândântỉnhThái Nguyên)
Đơnvị:……………….. | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
| Ngày …….tháng…..năm………. |
BÁO CÁO TÌNH HÌNH AN TOÀN, AN NINH THÔNG TIN
I. Đánh giáhiện trạngvàdựkiến
1. Về chínhsách,quản lý
Đơnvị:
+ Đã xâydựngkế hoạchđể bảođảmATANTTchotổchức?
Rồi (đề nghịgửikèmvănbản) Chưa
+ Cócácbiệnphápvậnhànhliêntụcvà khôi phục sựcốkhông?
Có Không
+ Cóthườngxuyêncậpnhậtcôngnghệ bảo đảmATANTThaykhông?
Có Không
2. Về đầu tư
Đơnvị:
+Phầntrămngânsáchtrongtổngsốngânsáchchocôngnghệthôngtinđểđầu tưvàoviệcđảmbảoantoànthôngtin…….%
+ Đã và dự kiếnđầutưvàolĩnhvực nào,nămnào dướiđây
Lĩnh vực | 2013 | Dựkiến năm 20..... | Môtảnội dung |
1. Xâydựngchínhsách/hướngdẫn/thủtục | □ | □ |
|
2.Sửdụngdịchvụ | □ | □ |
|
3. Yêucầu tưvấn | □ | □ |
|
4.Muathiết bịantoànthôngtin | □ | □ |
|
5. Nghiên cứu sử dụng phần mềm mã nguồnmở | □ | □ |
|
6. Đàotạonguồnnhân lực | □ | □ |
|
7.Các vấnđề khác:……………………….. …………………………………………….. |
|
|
|
+ Đã và dự kiến sửdụngnhữngcôngcụnào,nămnàođể bảođảmATANTT?
Côngcụ | 2012 | Dựkiến 20… | Môtảnội dung |
1.CôngcụdiệtVirútmáytính (AntiVirútmáytính) | □ | □ |
|
2.Mậtkhẩu | □ | □ |
|
3. Tườnglửa | □ | □ |
|
4.Côngcụlọcthưrác | □ | □ |
|
5.Côngcụmã hóa tậptin | □ | □ |
|
6.CôngcụchốngDDos | □ | □ |
|
7.Chữ kýđiện tử | □ | □ |
|
8.Mạngriêngảo(VPN) | □ | □ |
|
9. Hệ thốngpháthiệnxâmnhập | □ | □ |
|
10. Nhữngcôngcụkhác:………………….. ...................................................................... |
|
|
|
3. Về tình hình an ninh mạng vàxử lý sựcố
+ Tổng kết về các sự cố an ninh mạng đã xảy ra trong năm 20… đối với đơn vị.
Sựcố | Đơnvịtính | Số lượng |
1. Virútmáytính |
|
|
2. Lừa đảo(Phishing) |
|
|
3. Thưrác (Spammail) |
|
|
4.Spyware/Adware |
|
|
5. Tấncông từchốidịchvụ(Dos, Ddos) |
|
|
6. Nội dung Website đơnvị bị thay đổi (deface website) |
|
|
7.Sựcốkhác: …………………………………………….... |
|
|
+ Mức độthiệthạiước tính trongnăm20...docácsựcốATANTTgâyra.
□ Thiệt hạigiántiếp:………………………………… triệuđồng
□ Thiệt hại trựctiếp:…………………………………triệuđồng
□ Chiphíkhắc phục:…………………………………triệuđồng
+ Biện pháp xử lýđãápdụngkhigặpsựcố.
Phươngpháp | Sốlần |
1. Không làmgìcả |
|
2. Tựxửlý |
|
3.Báocáocấptrên trực tiếp |
|
4. Yêucầuhỗtrợ từnơikhác |
|
5.Báocảnhsátmạng |
|
6.Phươngphápkhác,đólà:……………………………... ……………………………………………………………. |
|
+Chobiếtcôngviệcmàcơquanđãthựchiệnsaukhikhắcphụcđượcsựcố trong nămqua:
□ Sửa đổichínhsách/ hướngdẫn/thủtục
□ Nângcaoýthức
□ Tăngcườngthiếtbị
□ Rà soátlạihệ thống
□ Mở rộnglạiliênkếtvớicác đơnvịhoạtđộngtronglĩnhvựcantoànthôngtin
□ Việc khácđólà:
………………………………………….……………………………………
4.Tổchức nhânlựcvàbồidưỡngnghiệpvụ
+ Đơnvịcó bộ phậnphụtrách vềbảo đảmATANTTkhông?
Có Không
+ Nếucó,bộphậncóngười phụ tráchlà?
Lãnhđạocơ quan Giámđốc CNTT(CIO)
Cán bộchuyêntráchCNTT Khác:…………………
+ Nếuchưa có, thì đơn vịcódự kiếntổchức bộphậnđókhông?
Có Không
Dự kiến sẽ triểnkhaithành lập vào tháng…năm………, vớisố lượngcán bộlà…… người.
+ Đơnvịcónhucầubồi dưỡngnghiệpvụATANTT?
□ Dànhcho lãnhđạovà cán bộquảnlý, sốlượng dựkiến:… người
□ Cơ bản/Nângcaovề ATANTTchoCBkỹthuật, số lượng:…người
□ KỹnăngATANTTchongườidùng,Số lượngdự kiến: …… người
+Đơnvịđãcódựtrùkinhphíchohuấnluyệnnghiệpvụ,đàotạopháttriển nguồnnhânlực bảođảman ninhthôngtincủađơn vị haychưa?
Có Chưa
+ Nếu tự đánhgiá,mức độATANTTcủa đơn vị trongnăm20xx là:
Kém | Trung bình | Tốt | Rấttốt | ||
0 | 1 | 2 | 3 | 4 | 5 |
|
|
|
|
|
|
II.Ýkiến phản hồivàgóp ýthêm.
………………………………………………………………….……………
Chúý:
- Điềnthôngtinđầyđủvàocác câuhỏi:
- Để lựachọnđánhdấu X
-Câuhỏivớikýhiệu trướcmốilựachọnthìchỉđượcphépđánhdấumộtkết quả(chọnmột)
-Câuhỏivớikýhiệu trướcmỗilựachọnthìcóthểđánhdấutừkhôngtới nhiềukếtquả(chọnnhiều)
-Ký,ghitênvàđóngdấuđầyđủvàocuốibáocáovàgửivềtheođườngcông văncho SởThôngtinvàTruyềnthông.
| Số hiệu | 31/2013/QĐ-UBND |
| Loại văn bản | Quyết định |
| Cơ quan | Tỉnh Thái Nguyên |
| Ngày ban hành | 16/12/2013 |
| Người ký | Nhữ Văn Tâm |
| Ngày hiệu lực | 26/12/2013 |
| Tình trạng | Hết hiệu lực |
Văn bản gốc đang được cập nhật
Văn bản Tiếng Việt đang được cập nhật