ddxdcdattt
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.61 MB, 139 trang )
UBND TỈNH QUẢNG TRỊ
SỞ THÔNG TIN VÀ TRUYỀN THÔNG
Số: 1032 /STTTT-BCVT&CNTT
V/v lập hồ sơ thẩm định, trình UBND tỉnh phê
duyệt cấp độ an tồn thơng tin cho các Hệ thống
thơng tin lần 2
CỘNG HÒA XÃ HỘI CHỦ NGĨA VIỆT NAM
Độc lập-Tự do- Hạnh phúc
Quảng Trị, ngày 13 tháng 10 năm 2021
Kính gửi:
- Các Sở, ban ngành cấp tỉnh;
- UBND các huyện, thị xã, thành phố.
Thực hiện Văn bản số 3868/BTTTT-CATTT ngày 05/10/2021 của Bộ Thông
tin và Truyền thông về việc đơn đốc cơng tác xác định cấp độ an tồn hệ thống
thông tin và Văn bản số 4775/UBND-VX ngày 07/10/2021 của UBND tỉnh 2021
về việc xác định cấp độ an tồn hệ thống thơng tin; Sở Thơng tin và Truyền thông
đề nghị các cơ quan, địa phương, đơn vị chủ động xác định cấp độ an tồn hệ thống
thơng tin cho các Hệ thống thông tin do cơ quan, địa phương, đơn vị mình quản lý,
vận hành, khai thác và gửi về Sở Thông tin và Truyền thông thẩm định, trình
UBND tỉnh phê duyệt trước ngày 30/10/2021 (gửi kèm phụ lục các hệ thống thông
tin đã được phê duyệt cấp độ).
Sau thời gian trên, nếu cơ quan, địa phương, đơn vị nào khơng cung cấp hồ
sơ thẩm định, trình UBND tỉnh phê duyệt thì hồn tồn chịu trách nhiệm trước
UBND tỉnh về việc đảm bảo an tồn thơng tin cho các hệ thống thông tin theo cấp
độ.
Thành phần Hồ sơ thẩm định, trình UBND tỉnh phê duyệt gồm:
1. Văn bản đề nghị thẩm định hồ sơ đề xuất cấp độ (có mẫu gửi kèm)
2. Thuyết minh Hồ sơ đề xuất cấp độ cho hệ thống thông tin (Gửi kèm tài
liệu hướng dẫn thuyết minh đề xuất cấp độ cho hệ thống thơng tin)
Việc xác định cấp độ an tồn thơng tin cho các Hệ thống thông tin được quy
định chi tiết tại Điều 7, Điều 8, Điều 9, Điều 10, Điều 11 Nghị định số
85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về Bảo đảm an tồn thơng tin theo
cấp độ và hướng dẫn tại Chương II Thông tư số 03/2017/TT-BTTTT ngày
24/4/2017 của Bộ Thông tin và Truyền thông về Quy định chi tiết và hướng dẫn
một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về
bảo đảm an tồn hệ thống thơng tin theo cấp độ.
Mọi vướng mắc vui lịng liên hệ: Phịng Bưu chính, Viễn thơng - Công nghệ
thông tin, Sở Thông tin và Truyền thông - Điện thoại: 0233.3639789./.
Nơi nhận:
- Như trên;
- UBND tỉnh (báo cáo);
- Lưu: VT, BCVT&CNTT
KT. GIÁM ĐỐC
PHÓ GIÁM ĐỐC
Nguyễn Thị Huyền
Phụ lục
Danh mục các hệ thống thông tin đã được phê duyệt cấp độ
(Kèm theo văn bản số 1032 /STTTT-BCVT&CNTT ngày 13 tháng 10 năm 2021
của Sở Thông tin và Truyền thông Quảng Trị)
STT
Tên Hệ thống thông tin
Cơ quan quản lý
Cấp độ phê duyệt
1
Trang thông tin điện tử Sở Xây
dựng
Sở Xây dựng
1
2
Trang thông tin điện tử Sở
Thông tin và Truyền thơng
Sở Thơng tin và
Truyền thơng
1
3
Hệ thống truyền hình hội nghị
UBND thành phố Đông Hà
UBND thành phố
Đông Hà
2
4
Trung tâm Điều hành thông minh
thành phố Đông Hà
UBND thành phố
Đông Hà
2
5
Hệ thống Cổng thông tin điện tử
Khoa học và Công nghệ Quảng
Trị
Sở Khoa học và
Cơng nghệ
2
6
Hệ thống phịng họp trực tuyến
huyện Vĩnh Linh
UBND huyện Vĩnh
Linh
2
7
HTTT CSDL GIS nền trên mạng
internet
Sở Thông tin và
Truyền thông
2
8
Cổng thông tin điện tử huyện
Triệu Phong
UBND huyện
Triệu Phong
1
Mẫu văn bản đề nghị thẩm định hồ sơ đề xuất cấp độ
(Kèm theo văn bản số
/STTTT-BCVT&CNTT ngày
tháng 10 năm 2021
của Sở Thông tin và Truyền thông Quảng Trị)
(TÊN CƠ QUAN, TỔ
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
CHỨC)
Độc lập - Tự do - Hạnh phúc
--------------------Số: ………..
V/v đề nghị thẩm định hồ
sơ đề xuất cấp độ
….., ngày ... tháng ... năm ...
Kính gửi: (Đơn vị chun trách về an tồn thơng tin)
Căn cứ Luật an tồn thơng tin mạng ngày 19 tháng 11 năm 2015;
(Căn cứ các văn bản hướng dẫn thi hành Luật an tồn thơng tin mạng và các
văn bản liên quan);
(Tên cơ quan, tổ chức) đề nghị (Cơ quan thẩm định) thẩm định hồ sơ đề xuất
cấp độ với các nội dung sau:
Phần 1. Thông tin chung
1. Tên hệ thống thông tin:
2. Đơn vị vận hành hệ thống thơng tin:
3. Địa chỉ:
4. Cấp độ an tồn hệ thống thông tin đề xuất:
Phần 2. Hồ sơ kèm theo
1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.
2. Tài liệu thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài
liệu có giá trị tương đương.
3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo
quy định của pháp luật.
4. Tài liệu thuyết minh phương án bảo đảm an tồn thơng tin theo cấp độ
tương ứng.
5. Ý kiến về mặt chuyên môn của đơn vị chun trách về an tồn thơng tin
của chủ quản hệ thống thông tin (đối với hệ thống thông tin đề xuất cấp độ 4 hoặc
cấp độ 5).
(Tên cơ quan, tổ chức) đề nghị (Cơ quan thẩm định) cho ý kiến thẩm định hồ
sơ đề xuất cấp độ an toàn hệ thống thông tin đối với (Tên hệ thống thông tin)./.
Nơi nhận:
ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
- Như trên;
(Ký, ghi rõ họ tên, chức danh và đóng dấu)
PHỤ LỤC
TÀI LIỆU HƯỚNG DẪN THUYẾT MINH HỒ SƠ ĐỀ XUẤT CẤP ĐỘ
CHO HỆ THỐNG THÔNG TIN TỪ CẤP ĐỘ 1 ĐẾN CẤP ĐỘ 3
(Kèm theo văn bản số
/STTTT-BCVT&CNTT ngày
tháng 10 năm 2021
của Sở Thông tin và Truyền thông Quảng Trị)
PHẦN I: HƯỚNG DẪN CHUNG
Tài liệu này hướng dẫn chi tiết một số nội dung tại Công văn số 713/CATTTTĐQLGS ngày 25/7/2019 của Cục An tồn thơng tin về việc hướng dẫn xác định
và thực thi bảo vệ hệ thống thông tin theo cấp độ. Nội dung hướng dẫn tập trung
vào việc thuyết minh Hồ sơ đề xuất cấp độ (HSĐXCĐ) và các HSĐXCĐ mẫu đối
với hệ thống thông tin có cấp độ từ cấp độ 1 đến 3.
Nội dung hướng dẫn bao gồm:
1. Thuyết minh thông tin tổng quan;
2. Hướng dẫn thuyết minh các yêu cầu về quản lý;
3. Hướng dẫn thuyết minh các yêu cầu kỹ thuật;
4. Hồ sơ đề xuất cấp độ mẫu hệ thống thông tin cấp độ 1 tại Phụ lục I.
5. Hồ sơ đề xuất cấp độ mẫu hệ thống thông tin cấp độ 2 tại Phụ lục II.
6. Hồ sơ đề xuất cấp độ mẫu hệ thống thông tin cấp độ 3 tại Phụ lục III.
Trong đó, HSĐXCĐ mẫu đối với hệ thống thông tin cấp độ 3, được cập nhật
tại hướng dẫn này.
PHẦN II: HƯỚNG DẪN THUYẾT MINH THÔNG TIN TỔNG QUAN
1. Sơ đồ logic
Sơ đồ logic đưa ra thiết kế tổng thể của hệ thống bao gồm các vùng mạng
chức năng và thành phần thiết bị có trong hệ thống.
Các vùng mạng trong hệ thống được đặt tên tương ứng theo yêu cầu về thiết
kế tại Tiêu chuẩn TCVN:11930:2017, bao gồm các vùng mạng Vùng mạng nội bộ;
Vùng mạng biên; Vùng DMZ; Vùng máy chủ nội bộ; Vùng mạng không dây (nếu
có) tách riêng, độc lập với các vùng mạng khác; Vùng mạng máy chủ cơ sở dữ liệu;
Vùng quản trị; Vùng quản trị thiết bị hệ thống. Số lượng các vùng mạng phụ thuộc
vào cấp độ của mỗi hệ thống cụ thể.
Thành phần thiết bị trên sơ đồ logic bao gồm các thành phần thiết bị mạng,
thiết bị bảo mật, máy chủ, các thiết bị khác có trong hệ thống. Mỗi thiết bị phải
được đặt tên và tên này sẽ được sử dụng để tham chiếu các yêu cầu an toàn về kỹ
thuật sẽ được thuyết minh trong HSĐXCĐ.
Trường hợp số lượng thiết bị nhiều và có cùng chức năng thì trên sơ đồ logic
có thể vẽ tên đại diện của nhóm thiết bị và bổ sung một bảng tham chiếu các thiết
bị cụ thể trong nhóm ở một bảng riêng.
2. Sơ đồ vật lý
Sơ đồ vật lý mô tả đầy đủ các thành phần thiết bị, kết nối vật lý giữa các thiết
bị trong hệ thống. Trường hợp số lượng thiết bị trong hệ thống lớn thì có thể tách
sơ đồ vật lý ra thành nhiều sơ đồ hợp phần khác nhau.
Việc đặt tên các thiết bị trong sơ đồ vật lý phải thống nhất với sơ đồ logic.
Thông tin về thành phần thiết bị và kết nối vật lý giữa các thiết bị được sử dụng để
kiểm tra xem các yêu cầu an tồn về kỹ thật có đáp ứng khơng. Ví dụ yêu cầu về
phương án cân bằng tải và dự phịng nóng cho các thiết bị mạng chính.v.v.
3. Cung cấp danh mục thiết bị sử dụng trong hệ thống:
Danh mục thiết bị sử dụng trong hệ thống là liệt kê và mô tả các thiết bị đã
được thể hiện trên sơ đồ vật lý, sơ đồ logic. Tên của mỗi thiết bị phải thống nhất
với tên trong sơ đồ vật lý, sơ đồ logic.
Đối với mỗi thiết bị phải bao gồm các thông tin về thiết bị/chủng loại, vị trí
triển khai và mục đích sử dụng của thiết bị đó; trường hợp thiết bị vật lý được chia
thành các thiết bị logic thì vị trí triển khai là các vị trí của thiết bị logic. Ví dụ về
danh mục mơ tả các thiết bị có trong hệ thống:
Tên thiết bị/
STT
1
Chủng loại
FW01/ASA5505
Vị trí triển
khai
Vùng DMZ
Mục đích sử dụng
Quản lý truy cập vào/ra và bảo
vệ vùng mạng DMZ.
4. Danh mục máy chủ sử dụng trong hệ thống
Danh mục các máy chủ có trong hệ thống bao gồm các máy chủ ảo và máy
chủ vật lý. Tên máy chủ phải đặt thống nhất với sơ đồ logic và vật lý.
Mỗi máy chủ phải được mô tả, bao gồm các thông tin về thiết bị/chủng loại, vị
trí triển khai và mục đích sử dụng của thiết bị đó. Ví dụ danh mục máy chủ sử dụng
trong hệ thống:
STT
Tên thiết bị/
Chủng loại
Vị trí triển
khai
Mục đích sử dụng
1
Server 11/HP DL580
Vùng máy
chủ DB
Lưu trữ dữ liệu…
5. Danh mục các ứng dụng/dịch vụ cung cấp bởi hệ thống
Liệt kê và mô tả các ứng dụng được thiết lập trên hệ thống (Quản lý văn bản,
Cổng thông tin nội bộ, Dịch vụ công trực tuyến …). Mỗi ứng dụng/dịch vụ có trên
hệ thống phải bao gồm Tên dịch vụ; Máy chủ triển khai/Vị trí triển khai/Hệ điều
hành máy chủ; Mục đích sử dụng dịch vụ để có cơ sở thuyết minh phương án bảo
đảm an toàn cho từng ứng dụng. Ví dụ danh mục mơ tả các ứng dụng có trên hệ
thống:
STT
1
Tên dịch vụ
Cổng thông
tin nội bộ
Máy chủ/Ứng dụng cài đăt/Vùng
mạng/HĐH
Mục đích sử
dụng
Cung
cấp
1) Server1/Cài đặt Web-App /Vùng
thơng tin cơng
DMZ/HĐH Centos7
khai cho người
2) Server11/Cài đặt BD/Vùng
sử dụng nội
DB/HĐH Win2k8
bộ.
PHẦN III: THUYẾT MINH PHƯƠNG ÁN BẢO ĐẢM
AN TỒN THƠNG TIN VỀ QUẢN LÝ
Yêu cầu quản lý được thuyết minh trong HSĐXCĐ sẽ được ban hành thành
Quy chế bảo đảm an tồn thơng tin của cơ quan, tổ chức, sau khi HSĐXCĐ được
phê duyệt nhằm bảo đảm an tồn thơng tin cho hệ thống trong quá trình quản lý
vận hành.
Mỗi phương án quản lý được thuyết minh cần làm rõ 03 nội dung như sau:
- Hiện trạng: Đáp ứng hay chưa đáp ứng. Đáp ứng có nghĩa là nội dung quản
lý đã được quy định để thực hiện (Ví dụ Quy chế bảo đảm an tồn thơng tin đã
được ban hành). Trường hợp đã đáp ứng thì phải chỉ rõ nội dung đó đã được quy
định cụ thể ở điều, khoản nào, văn bản nào.
- Nội dung quy định: Căn cứ vào từng yêu cầu an toàn cụ thể, HSĐXCĐ cần
đưa ra quy định phù hợp để đáp ứng yêu cầu (tham khảo trong HSĐXCĐ mẫu gửi
kèm theo).
- Phương án thực hiện: Trường hợp hiện trạng là chưa đáp ứng thì phần này
cần đưa ra cách thức thực hiện và thời điểm dự kiến hồn thành cụ thể. Ví dụ để
đáp ứng yêu cầu thì cần xây dựng mới hoặc cập nhật quy chế bảo đảm an tồn
thơng tin đã ban hành; thời gian thực khiện là trong 06 tháng sau khi HSĐXCĐ
được ban hành.
Chú ý: Các yêu cầu chưa đáp ứng có thể đưa ra phương án chung nếu các
phương án xử lý là giống nhau. Ví dụ: “Đối với những yêu cầu quản lý chưa đáp
ứng các yêu cầu an toàn trong Thuyết minh này, Đơn vị vận hành sẽ cập nhật, bổ
sung trình Chủ quản hệ thống thơng tin ban hành trong vịng 06 tháng, kể từ khi
HSĐXCĐ được phê duyệt”.
Ví dụ đối với yêu cầu quản lý đã đáp ứng:
Yêu cầu
Thành lập hoặc chỉ định đơn vị/bộ phận chun trách về an tồn
thơng tin trong tổ chức
Hiện trạng
Đáp ứng. Đã được quy định tại Khoản … Điều … Quyết định số
…./QĐ-UBND của UBND Tỉnh A ngày …. Về Quy chế an tồn
thơng tin
Nội
dung UBND tỉnh ban hành Quyết định giao Đơn vị A là đơn vị chun
trách về an tồn thơng tin, trình Chủ tịch UBND tỉnh A ban hành.
quy định
Phòng CNTT hoặc bộ phận chuyên trách CNTT dự thảo Quyết định
trình giảm đốc Đơn vị A là giao nhiệm vụ là bộ phận chuyên trách
về an tồn thơng tin.
Phương án Rà sốt, cập nhật yêu cầu đã ban hành (nếu cần) cho phù hợp với
yêu cầu thực tế của hệ thống hiện tại.
thực hiện
Ví dụ đối với yêu cầu quản lý chưa đáp ứng:
Yêu cầu
Thành lập hoặc chỉ định đơn vị/bộ phận chuyên trách về an tồn
thơng tin trong tổ chức
Hiện trạng
Chưa đáp ứng.
Nội
dung UBND tỉnh ban hành Quyết định giao Đơn vị A là đơn vị chun
trách về an tồn thơng tin, trình Chủ tịch UBND tỉnh A ban hành.
quy định
Phòng CNTT hoặc bộ phận chuyên trách CNTT dự thảo Quyết định
trình giảm đốc Đơn vị A giao nhiệm vụ là bộ phận chun trách về
an tồn thơng tin.
Phương án Xây dựng Quy chế bảo đảm an tồn thơng tin trình Chủ quản hệ
thống thơng tin ban hành. Thời gian hồn thiện trong vòng 06
thực hiện
tháng kể từ khi HSĐXCĐ được phê duyệt.
PHẦN IV: THUYẾT MINH PHƯƠNG ÁN BẢO ĐẢM
AN TỒN THƠNG TIN VỀ KỸ THUẬT
Phương án kỹ thuật đưa ra các yêu cầu an toàn liên quan đến việc thiết kế,
thiết lập hệ thống để đáp ứng các yêu cầu an toàn cơ bản theo quy định. Do đó,
việc thuyết minh các yêu cầu an toàn kỹ thuật cần chú ý như sau:
1. Về thiết kế
Hệ thống được thiết kế bao gồm tối thiểu các vùng mạng, được đặt tên và mô
tả thống nhất với các vùng mạng được yêu cầu trong tiêu chuẩn TCVN
11930:2017, theo từng cấp độ tương ứng. Trường hợp có vùng mạng nào khơng sử
dụng thì phải thuyết minh lý do phù hợp như vùng mạng không dây.
2. Mô tả các phương án bảo vệ cần được thuyết minh, làm rõ như sau:
Mỗi phương án cần được mô tả được triển khai trên thiết bị nào, máy chủ nào
để đáp ứng các yêu cầu. Chú ý là không mô tả chung chung giải pháp mà không
gắn với thiết bị, máy chủ nào trên sơ đồ logic hoặc vật lý.
Ví dụ:
STT Yêu cầu
1
Phương án quản lý
truy cập giữa các
vùng mạng và phịng
chống xâm nhập
P/A
Ghi chú/Mơ tả
Có
Truy cập giữa các vùng mạng được quản lý
và phòng chống xâm nhập sử dụng các thiết
bị tường lửa FW01, FW02, FW03,
FW04,… có tích hợp chức năng phịng
chống xâm nhập.
Ở ví dụ trên FW01, FW02, FW03, FW04 phải là các thiết bị tường lửa được
đặt tên trên sơ đồ logic, vật lý và được mô tả cụ thể trong bảng danh mục thiết bị.
Mỗi phương án được mô tả để đáp ứng yêu cầu về thiết kế cần làm rõ như sau:
+ Phương án quản lý truy cập, quản trị hệ thống từ xa an tồn: Mơ tả thiết kế
hệ thống mạng sử dụng thiết bị chuyên dụng hay thiết lập cấu hình chức năng bảo
mật trên hệ thống hoặc phương án tương đương khác nếu có để bảo đảm việc truy
cập, quản trị hệ thống từ xa an tồn. Ví dụ sử dụng thiết bị VPN chuyên dụng hay
cấu hình chức năng VPN trên thiết bị tường lửa…
+ Phương án quản lý truy cập giữa các vùng mạng và phịng chống xâm
nhập: Mơ tả thiết kế hệ thống mạng sử dụng thiết bị tường lửa hoặc thiết bị có chức
năng tương đương để quản lý truy cập và phòng chống xâm nhập giữa các vùng
mạng. Chú ý mô tả ngắn gọn các chức năng mà phương án cung cấp để quản lý
truy cập và phòng chống xâm nhập giữa các vùng mạng.
+ Phương án cân bằng tải, dự phịng nóng cho các thiết bị mạng: Mô tả
phương án thiết kế và triển khai các thiết bị mạng trong hệ thống để thực hiện chức
năng cân bằng tải, dự phịng nóng. Ví dụ: mơ tả các thiết bị mạng được kết nối với
nhau thế nào và được cấu hình HA hay AA…
+ Phương án bảo đảm an toàn cho máy chủ cơ sở dữ liệu: Mô tả phương án
sử dụng thiết bị chuyên dụng như tường lửa cơ sở dữ liệu hay phương án tương
đương để bảo đảm an toàn cho máy chủ cơ sở dữ liệu. Chú ý mô tả ngắn gọn các
chức năng mà phương án cung cấp để bảo đảm an toàn cho máy chủ cơ sở dữ liệu.
+ Có phương án chặn lọc phần mềm độc hại trên môi trường mạng: Mô tả
phương án sử dụng thiết bị chuyên dụng hay chức năng trên thiết bị tường lửa hoặc
phương án tương đương để phát hiện và ngăn chặn các hành vi mã độc trên mơi
trường mạng.
+ Phương án phịng chống tấn công từ chối dịch vụ: Mô tả phương án sử dụng
giải pháp chuyên dụng hay thuê dịch vụ hoặc phương án tương đương khác để
phịng chống tấn cơng từ chối dịch vụ cho hệ thống (chỉ yêu cầu đối với các hệ
thống có kết nối mạng Internet). Chú ý cần mơ tả ngắn gọn chức năng và năng lực
xử lý tấn công từ chối dịch vụ của phương án sử dụng.
+ Phương án giám sát hệ thống thông tin tập trung: Mô tả phương án sử dụng
giải pháp chuyên dụng (ArcSight, Splunk, QRadar, LogRhythm) hay giải pháp
tương đương khác để thực hiện giám sát hệ thống thông tin tập trung. Chú ý mô tả
ngắn gọn chức năng và năng lực xử lý của hệ thống giám sát tập trung.
+ Phương án giám sát an tồn hệ thống thơng tin tập trung: Mô tả phương án
sử dụng giải pháp chuyên dụng (HP OpenView, Solarwinds…) hay giải pháp
tương đương khác (Cacti, Nagios, MRTG…) để thực hiện giám sát hoạt động của
hệ thống mạng, bảo đảm tính sẵn sàng của hệ thống. Chú ý mô tả ngắn gọn chức
năng giám sát mà giải pháp cung cấp để đáp ứng yêu cầu.
+ Phương án quản lý sao lưu dự phịng tập trung: Mơ tả phương án quản lý
sao lưu dự phòng tập trung sử dụng giải pháp chuyên dụng hoặc giải pháp tương
đương sử dụng các giải pháp như SAN, NAS…Chú ý mô tả ngắn gọn thông tin về
giải pháp sử dụng và năng lực của giải pháp.
+ Phương án quản lý phần mềm phòng chống mã độc trên các máy chủ/máy
tính người dùng tập trung: Mô tả phương án quản lý tập trung các phần mềm
phòng chống độc hại được cài đặt trên các máy tính /máy chủ gửi sử dụng thơng
qua một máy chủ quản lý tập trung. Chú ý: mô tả thông tin ngắn gọn, bao gồm
thông tin về giải pháp sử dụng, năng lực và chức năng của giải pháp cung cấp để
đáp ứng yêu cầu.
+ Phương án phòng, chống thất thốt dữ liệu: Mơ tả phương án phịng, chống
thất thốt dữ liệu sử dụng trong hệ thống. Chú ý: mô tả thông tin ngắn gọn, bao
gồm thông tin về giải pháp sử dụng, năng lực và chức năng của giải pháp cung cấp
để đáp ứng yêu cầu.
+ Phương án duy trì ít nhất 02 kết nối mạng Internet: từ các ISP sử dụng hạ
tầng kết nối trong nước khác nhau (nếu hệ thống buộc phải có kết nối mạng
Internet);
+ Phương án bảo đảm an tồn cho mạng khơng dây: Mơ tả phương án bảo
mật cho mạng không dây sử dụng giải pháp chuyên dụng hoặc việc thiết lập cấu
hình bảo mật trên hệ thống để bảo đảm an toàn cho mạng không dây. Chú ý: mô tả
thông tin ngắn gọn, bao gồm thông tin về giải pháp sử dụng, năng lực và chức năng
của giải pháp cung cấp để đáp ứng yêu cầu.
+ Phương án quản lý tài khoản đặc quyền: Mô tả phương án quản lý tài khoản
đặc quyền cho phép quản lý tập trung việc xác thực, phân quyền, giám sát hành vi
và các chức năng bảo mật khác để quản lý các tài khoản quản trị trong hệ thống.
Chú ý: mô tả thông tin ngắn gọn, bao gồm thông tin về giải pháp sử dụng, năng lực
và chức năng của giải pháp cung cấp để đáp ứng yêu cầu.
+ Phương án dự phịng hệ thống ở vị trí địa lý khác nhau: Cung cấp thông tin
ngắn gọn về hệ thống dự phịng như: ở vị trí địa lý nào? Chức năng chính của hệ
thống dự phịng và ngun lý hoạt động cơ bản của hệ thống để thực hiện chức
năng dự phòng.
+ Phương án dự phòng cho kết nối mạng giữa hệ thống chính và hệ thống dự
phịng: Mô tả phương án kết nối mạng giữa hệ thống chính và hệ thống dự phịng
để thực hiện đồng bộ dữ liệu và dự phịng nóng khi hệ thống chính xảy ra sự cố.
3. Mô tả các yêu cầu đáp ứng trên mỗi thiết bị, máy chủ và ứng dụng:
Đối các yêu cầu an toàn liên quan đến thiết lập trên thiết bị, máy chủ và ứng
dụng thì phải chỉ rõ u cầu an tồn đó đã đáp ứng/chưa đáp ứng triển khai trên
thiết bị nào, máy chủ hoặc ứng dụng nào. Các yêu cầu chưa đáp ứng thì phương án
thế nào và khi nào thì hồn thiện, tính từ thời điểm HSĐXCĐ được phê duyệt.
Ví dụ:
Lưu trữ và Lưu trữ nhật
quản lý tập ký hệ thống
trung nhật ký của thiết bị tối
hệ thống
thiểu 03 tháng
Thiết lập chức
năng ghi, lưu trữ
nhật ký hệ thống
trên các thiết bị hệ
thống
Sử dụng máy
chủ thời gian
trong
hệ
thống để đồng
bộ thời gian
FW01
+
+
+
+
FW02
+
+
+
-
Yêu cầu
Thiết bị
Ở ví dụ trên mơ tả các u cầu an tồn liên quan đến nhất ký hệ thống đã đáp
ứng (+) và chưa đáp ứng (-) trên FW01, FW02. Tên FW01 và FW02 phải được đặt
thống nhất trên sơ đồ vật lý, logic và được mô tả cụ thể trong bảng danh mục thiết
bị.
Chú ý: Các yêu cầu chưa đáp ứng có thể đưa ra phương án chung nêu các
phương án xử lý là giống nhau. Ví dụ: “Đối với các yêu cầu kỹ thuật chưa đáp ứng
yêu cầu an toàn cơ bản trong Thuyết minh này, Đơn vị vận hành sẽ triển khai nâng
cấp, thiết lập cấu hình hệ thống để đáp ứng yêu cầu trong vòng 18 tháng, kể từ khi
HSĐXCĐ được phê duyệt”.
PHỤ LỤC 01
HỒ SƠ ĐỀ XUẤT CẤP ĐỘ 1
ỦY BAN NHÂN DÂN TỈNH A
ĐƠN VỊ A
HỒ SƠ MẪU
HỒ SƠ ĐỀ XUẤT CẤP ĐỘ
CHO HỆ THỐNG THÔNG TIN A
Tỉnh A – 2021
MỤC LỤC
THUẬT NGỮ, TỪ VIẾT TẮT .................................................................... 1
DANH MỤC CÁC BẢNG ............................................................................ 2
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ...................................................... 3
PHẦN I. THÔNG TIN TỔNG QUAN VỀ HỆ THỐNG THÔNG TIN ... 4
1. Thông tin Chủ quản hệ thống thông tin.................................................. 4
2. Thông tin Đơn vị vận hành....................................................................... 4
3. Mô tả phạm vi, quy mô của hệ thống ...................................................... 4
4. Mô tả cấu trúc của hệ thống ..................................................................... 4
4.1. Sơ đồ logic tổng thể ............................................................................ 4
4.2. Sơ đồ kết nối vật lý ............................................................................. 6
4.3. Danh mục thiết bị sử dụng trong hệ thống ...................................... 6
4.4. Danh mục các ứng dụng/dịch vụ cung cấp bởi hệ thống................ 6
4.5. Quy hoạch địa chỉ IP các vùng mạng trong hệ thống ..................... 7
PHẦN II. THUYẾT MINH CẤP ĐỘ ĐỀ XUẤT ....................................... 8
1. Danh mục hệ thống thông tin và cấp độ đề xuất .................................... 8
2. Thuyết minh đề xuất cấp độ đối với hệ thống thông tin........................ 8
PHẦN III. THUYẾT MINH PHƯƠNG ÁN BẢO ĐẢM .......................... 9
AN TỒN HỆ THỐNG THƠNG TIN ........................................................ 9
PHỤ LỤC I. THUYẾT MINH PHƯƠNG ÁN BẢO ĐẢM AN TỒN
THƠNG TIN VỀ QUẢN LÝ VỚI CẤP ĐỘ 1 .......................................... 11
1. Thiết lập chính sách an tồn thơng tin .............................................. 11
2. Tổ chức bảo đảm an tồn thơng tin ................................................... 13
3. Bảo đảm nguồn nhân lực .................................................................... 14
4. Quản lý thiết kế, xây dựng hệ thống thông tin ................................. 16
5. Quản lý vận hành hệ thống thông tin ................................................ 16
PHỤ LỤC II. THUYẾT MINH PHƯƠNG ÁN KỸ THUẬT ĐỐI VỚI
HỆ THỐNG CẤP ĐỘ 1 .............................................................................. 20
1. Bảo đảm an toàn mạng ....................................................................... 20
2. Bảo đảm an toàn máy chủ .................................................................. 22
3. Bảo đảm an toàn ứng dụng ................................................................ 24
THUẬT NGỮ, TỪ VIẾT TẮT
S
TT
Nghĩa đầy đủ
Từ viết tắt
1.
CNTT
Công nghệ thông tin
2.
CSDL
Cơ sở dữ liệu
3.
LAN
Mạng nội bộ
4.
VPN
Vitural Private Network
5.
DNS
Domain Name Server
DANH MỤC CÁC BẢNG
Bảng 1. Danh mục thiết bị sử dụng trong hệ thống ....................................... 6
Bảng 2. Danh mục các ứng dụng/dịch vụ cung cấp bởi hệ thống ................. 7
Bảng 3. Quy hoạch địa chỉ IP các vùng mạng trong hệ thống ....................... 7
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ
Hình 1. Cấu trúc logic của hệ thống .............................................................. 5
Hình 2. Kết nối vật lý của hệ thống ............................................................... 6
PHẦN I. THÔNG TIN TỔNG QUAN VỀ HỆ THỐNG THÔNG TIN
1. Thông tin Chủ quản hệ thống thông tin
- Tên Tổ chức: UBND Tỉnh A.
- Quy định chức năng, nhiệm vụ và quyền hạn:
- Người đại diện: Ông Trần Văn A, Chức vụ: Chủ tịch UBND Tỉnh.
- Địa chỉ: Địa chỉ trụ sở của đơn vị.
- Thông tin liên hệ: Số điện thoại, Thư điện tử.
2. Thông tin Đơn vị vận hành
- Tên Đơn vị vận hành: Đơn vị A.
- Quy định chức năng, nhiệm vụ và quyền hạn: Quyết định số …/QĐ-UBND
ngày ../../20xx
- Người đại diện: Ông Nguyễn Văn B, Chức vụ: Giám đốc.
- Địa chỉ: Địa chỉ trụ sở của đơn vị.
- Thông tin liên hệ: Số điện thoại, Thư điện tử.
3. Mô tả phạm vi, quy mô của hệ thống
- Phạm vi, quy mô của Hệ thống thông tin A: Hệ thống thông tin của tỉnh A
được thiết lập để phục vụ công tác chỉ đạo điều hành và cung cấp dịch vụ trong
phạm vi tỉnh A.
- Đối tượng phục vụ của hệ thống: Cơ quan, tổ chức, doanh nghiệp trên địa
bàn tỉnh A.
- Danh mục các hệ thống thông tin thành phần/các dịch vụ được cung cấp
bởi trung tâm tích hợp dữ liệu:
+ Hệ thống cổng thông tin nội bộ.
4. Mô tả cấu trúc của hệ thống
4.1. Sơ đồ logic tổng thể
Hình 1. Cấu trúc logic của hệ thống
Các vùng mạng được thiết kế như sau:
+ Vùng mạng biên được thiết kế để kết nối hệ thống ra các mạng bên ngồi
và mạng Internet
+ Vùng DMZ đặt máy chủ cơng cộng, cung cấp dịch vụ ra bên ngoài
Internet.
+ Vùng mạng nội bộ đặt các thiết bị nội bộ, cung cấp các dịch vụ nội bộ cho
người sử dụng trong hệ thống.
4.2. Sơ đồ kết nối vật lý
Hình 2. Kết nối vật lý của hệ thống
4.3. Danh mục thiết bị sử dụng trong hệ thống
STT
Tên thiết bị/
Chủng loại
Vị trí triển
khai
Mục đích sử dụng
1
Modem/VNPT
Vùng mạng
biên
Kết nối và định tuyến động với
các Router của ISP.
2
Server01
Vùng DMZ
Cung cấp thông tin công khai
cho người sử nội bộ.
Bảng 1. Danh mục thiết bị sử dụng trong hệ thống
4.4. Danh mục các ứng dụng/dịch vụ cung cấp bởi hệ thống
STT Tên dịch vụ
1
Cổng thông
Máy chủ/Ứng dụng cài đăt/Vùng
mạng/HĐH
1)
Mục đích sử
dụng
Server01/Cài đặt Web-App Cung
cấp
tin nội bộ
/Vùng DMZ/HĐH Centos7
thông tin công
khai
cho
người sử dụng
nội bộ.
2
…
…
Bảng 2. Danh mục các ứng dụng/dịch vụ cung cấp bởi hệ thống
4.5. Quy hoạch địa chỉ IP các vùng mạng trong hệ thống
STT
Vùng mạng
IP Private
IP Public
1
DMZ
192.168.1.0/24
202.191.x.0/24
2
Vùng mạng nội bộ
192.168.3.0/24
202.191.z.0/24
Bảng 3. Quy hoạch địa chỉ IP các vùng mạng trong hệ thống
PHẦN II. THUYẾT MINH CẤP ĐỘ ĐỀ XUẤT
1. Danh mục hệ thống thông tin và cấp độ đề xuất
Hệ thống thông tin của tỉnh A bao gồm hệ thống thành phần với cấp độ đề
xuất tương ứng, bao gồm:
ST
T
Hệ thống
Cấp độ đề
xuất
Căn cứ đề xuất
1
Hệ thống cổng thông tin nội bộ
1
Điều 7/NĐ85
2
…
…
…
2. Thuyết minh đề xuất cấp độ đối với hệ thống thông tin
Hệ thống cổng thông tin nội bộ chỉ xử lý thông tin công khai và phục vụ
hoạt động nội bộ cho cán bộ của Đơn vị A. Căn cứ theo quy định tại Điều
7/NĐ85, hệ thống này được đề xuất cấp độ 1.
PHẦN III. THUYẾT MINH PHƯƠNG ÁN BẢO ĐẢM
AN TOÀN HỆ THỐNG THÔNG TIN
Thuyết minh phương án về quản lý bao gồm các nội dung sau:
1. Thiết lập chính sách an tồn thơng tin
2. Tổ chức bảo đảm an tồn thơng tin
3. Bảo đảm nguồn nhân lực
4. Quản lý thiết kế, xây dựng hệ thống
5. Quản lý vận hành hệ thống
- Quản lý an toàn mạng
- Quản lý an toàn máy chủ và ứng dụng
- Quản lý an toàn dữ liệu
Đối với những yêu cầu quản lý chưa đáp ứng các yêu cầu an toàn trong
Thuyết minh này, Đơn vị vận hành sẽ cập nhật, bổ sung trình Chủ quản hệ thống
thơng tin ban hành trong vịng 06 tháng, kể từ khi HSĐXCĐ được phê duyệt.
Thuyết minh phương án về kỹ thuật bao gồm các nội dung:
1. Bảo đảm an toàn mạng
1.1. Thiết kế hệ thống
1.2. Kiểm soát truy cập từ bên ngồi mạng
1.3. Nhật ký hệ thống
1.4. Phịng chống xâm nhập
1.5. Bảo vệ thiết bị hệ thống
2. Bảo đảm an tồn máy chủ
2.1. Xác thực
2.2. Kiểm sốt truy cập
2.3. Nhật ký hệ thống
2.4. Phòng chống xâm nhập
2.5. Phòng chống phần mềm độc hại
3. Bảo đảm an toàn ứng dụng
