Phụ lục yêu cầu an toàn cơ bản cho phần mềm nội bộ của dự án đầu tư ứng dụng CNTT sử dụng nguồn vốn NSNN như thế nào?

Ngày hỏi:13/05/2022

Phụ lục yêu cầu an toàn cơ bản cho phần mềm nội bộ của dự án đầu tư ứng dụng Công nghệ thông tin sử dụng nguồn vốn ngân sách Nhà nước. Tôi có nhu cầu tìm hiểu, xin được thông tin.

Nội dung này được Ban biên tập LawNet tư vấn như sau:

Căn cứ Phụ lục yêu cầu an toàn cơ bản cho với Phần mềm nội bộ ban hành kèm Quyết định 742/QĐ-BTTTT năm 2022 như sau:

PHỤ LỤC

YÊU CẦU AN TOÀN CƠ BẢN CHO PHẦN MỀM NỘI BỘ

TT

Yêu cầu kỹ thuật

Mô tả yêu cầu

Cấp độ của hệ thống thông tin

1

2

3

4

5

1.

Xác thực

1.1

Có chức năng xác thực người sử dụng khi truy cập, quản trị, cấu hình Phần mềm.

a) Có giao diện quản lý tài khoản người sử dụng.

x

x

x

x

x

b) Yêu cầu xác thực người sử dụng khi truy cập quản trị, cấu hình Phần mềm.

x

x

x

x

x

c) Yêu cầu xác thực người sử dụng khi truy truy cập sử dụng Phần mềm.

x

x

x

x

x

1.2

Có chức năng cho phép lưu trữ có mã hóa thông tin xác thực hệ thống.

Thông tin xác thực được lưu trữ có mã hóa trên Phần mềm sử dụng thuật toán hash từ SHA-256, SHA-512, SHA-3 và các thuật toán tương đương

x

x

x

x

x

1.3

Có chức năng cho phép thiết lập chính sách mật khẩu người sử dụng.

a) Có chức năng yêu cầu người dùng đặt mật khẩu mới khi đăng nhập lần đầu sử dụng mật khẩu mặc định.

x

x

x

x

x

b) Có chức năng cho phép thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.

x

x

x

x

x

c) Có chức năng cho phép thiết lập thời gian yêu cầu thay đổi mật khẩu.

 

x

x

x

x

d) Có chức năng cho phép thiết lập thời gian mật khẩu hợp lệ.

 

x

x

x

x

đ) Khóa tài khoản và yêu cầu nhập mật khẩu mới khi mật khẩu của tài khoản đó hết hạn thời gian hợp lệ.

 

x

x

x

x

e) Mở khóa tài khoản khi thay đổi mật khẩu thành công đối với trường hợp mật khẩu hết hạn thời gian hợp lệ.

 

x

x

x

x

1.4

Có chức năng cho phép hạn chế số lần đăng nhập sai trong khoảng thời gian nhất định với tài khoản nhất định.

a) Có giao diện cho phép thiết lập chính sách về giới hạn số lần đăng nhập sai trong khoảng thời gian nhất định.

 

x

x

x

x

b) Có chức năng cảnh báo tới người sử dụng khi vi phạm chính sách.

 

x

x

x

x

c) Có chức năng tự động ngăn cản việc đăng nhập tự động khi vi phạm chính sách trên.

 

x

x

x

x

đ) Có chức năng tự động vô hiệu hóa tài khoản nếu vi phạm chính sách trên.

 

 

x

x

x

1.5

Có chức năng cho phép mã hóa thông tin xác thực trước khi gửi qua môi trường mạng.

Chức năng bảo đảm mật khẩu được mã hóa trước khi gửi qua môi trường mạng.

 

 

x

x

x

1.6

Có chức năng cho phép sử dụng cơ chế xác thực đa nhân tố để xác thực người sử dụng.

a) Có giao diện cho phép quản trị viên quản lý chính sách về xác thực đa nhân tố.

 

 

 

x

x

b) Tích hợp các bước xác thực đa nhân tố khi chính sách đối với trường hợp này được kích hoạt.

 

 

 

x

x

2.

Kiểm soát truy cập

2.1

Có chức năng cho phép thiết lập giới hạn thời gian chờ (timeout).

a) Có chức năng cho phép thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi Phần mềm không nhận được yêu cầu từ người dùng.

x

x

x

x

x

b) Hiển thị thông báo, đóng phiên kết nối đã hết hạn thời gian timeout và yêu cầu đăng nhập lại.

 

x

x

x

x

2.2

Có chức năng cho phép giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị Phần mềm từ xa.

a) Có giao diện cho phép quản trị viên quản lý chính sách về giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị Phần mềm từ xa.

 

x

x

x

x

b) Có chức năng thực thi chính sách về giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị Phần mềm từ xa ở trên.

 

x

x

x

x

2.3

Có chức năng cho phép phân quyền và cấp quyền tối thiểu truy cập, quản trị, sử dụng tài nguyên khác nhau của Phần mềm với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau.

a) Có giao diện cho phép quản trị viên quản lý chính sách về phân quyền tài khoản theo từng nhóm tài khoản.

 

 

x

x

x

b) Phân loại nhóm tài khoản theo ít nhất 03 nhóm:

i. Tài khoản người sử dụng thông thường;

ii. Tài khoản quản trị mức sử dụng;

iii. Tài khoản quản trị mức phát triển, vận hành.

 

 

x

x

x

c) Có chức năng thực thi chính sách phân quyền và cấp quyền tối thiểu truy cập, quản trị, sử dụng tài nguyên khác nhau ở trên.

 

 

x

x

x

2.4

Có chức năng cho phép thiết lập quyền tối thiểu (quyền truy cập, quản trị) cho tài khoản quản trị ứng dụng theo quyền hạn.

a) Có giao diện cho phép quản trị viên thiết lập quyền cho các tài khoản.

 

 

x

x

x

b) Có chức năng thực thi chính sách phân quyền cho các tài khoản ở trên.

 

 

x

x

x

2.5

Có chức năng cho phép thay đổi, tách biệt cổng quản trị ứng dụng với cổng cung cấp dịch vụ ứng dụng.

c) Có giao diện cho phép quản trị viên quản lý chính sách về cổng quản trị ứng dụng và cổng cung cấp dịch vụ ứng dụng.

 

 

 

 

x

b) Có chức năng thực thi chính sách tách biệt cổng quản trị ứng dụng với cổng cung cấp dịch vụ ứng dụng ở trên.

 

 

 

 

x

2.6

Có chức năng cho phép khóa tạm thời quản trị ứng dụng trong khoảng thời gian ngoài giờ làm việc.

a) Có giao diện cho phép quản trị viên quản lý chính sách về khoảng thời gian được phép thực hiện thao tác quản trị.

 

 

 

 

x

b) Có chức năng thực thi chính sách về khoảng thời gian được phép thực hiện thao tác quản trị hệ thống ở trên.

 

 

 

 

x

3.

Nhật ký hệ thống

3.1

Có chức năng cho phép ghi nhật ký hệ thống gồm những thông tin.

a) Phần mềm cung cấp chức năng ghi nhật ký hệ thống.

x

x

x

x

x

b) Nhật ký hệ thống được phân loại theo ít nhất 05 nhóm:

i. Nhật ký truy cập Phần mềm;

ii. Nhật ký đăng nhập khi quản trị Phần mềm;

iii. Nhật ký các lỗi phát sinh trong quá trình hoạt động;

iv. Nhật ký quản lý tài khoản;

v. Nhật ký thay đổi cấu hình Phần mềm

 

 

x

x

x

3.2

Có chức năng cho phép quản lý và lưu trữ nhật ký hệ thống trên hệ thống quản lý tập trung.

a) Có giao diện cho phép quản trị viên quản lý chính sách về nhật ký hệ thống.

 

 

x

x

x

b) Cho phép quản trị viên cấu hình khoảng thời gian lưu trữ nhật ký qua giao diện trên.

 

 

x

x

x

c) Lưu trữ nhật ký với ít nhất 05 thông tin:

i. Thời điểm sinh nhật ký;

ii. Phân nhóm nhật ký;

iii. Mô tả thao tác/lỗi;

iv. Đối tượng thực hiện thao tác/sinh lỗi;

v. Mức độ quan trọng.

 

 

x

x

x

3.3

Có chức năng cho phép phân quyền truy cập, quản lý dữ liệu nhật ký hệ thống đối với các tài khoản có chức năng quản trị hệ thống khác nhau.

a) Có giao diện cho phép quản trị viên quản lý chính sách về phân quyền tài khoản theo từng nhóm tài khoản quản trị.

 

 

 

 

x

b) Có chức năng thực thi chính sách phân quyền ở trên.

 

 

 

 

x

4.

An toàn ứng dụng và mã nguồn

4.1

Có chức năng cho phép kiểm tra tính hợp lệ của thông tin, dữ liệu đầu vào trước khi xử lý.

Có chức năng thực thi việc kiểm tra tính hợp lệ của thông tin, dữ liệu đầu vào trước khi xử lý

x

x

x

x

x

4.2

Có chức năng cho phép bảo vệ ứng dụng chống lại những dạng tấn công phổ biến: SQL Injection, OS command injection, RFI, LFI, Xpath injection, XSS, CSRF

Phần mềm được kiểm tra, đánh giá, kiểm thử xâm nhập theo tiêu chuẩn OWASP và không tồn tại điểm yếu cho phép kẻ tấn công khai thác thông qua các dạng tấn công: SQL Injection, OS command injection, RFI, LFI, Xpath Injection, XSS, CSRF.

 

 

x

x

x

4.3

Có chức năng cho phép kiểm soát lỗi, thông báo lỗi từ ứng dụng.

a) Có chức năng kiểm soát lỗi, chỉ hiển thị các thông báo lỗi được kiểm soát đến người dùng và không hiển thị các lỗi bên trong hệ thống.

 

 

x

x

x

b) Có chức năng hiển thị thông báo lỗi đến người sử dụng.

 

 

x

x

x

4.4

Có chức năng cho phép bảo đảm không lưu trữ thông tin xác thực, thông tin bí mật trên mã nguồn ứng dụng.

a) Thông tin xác thực, bí mật không được đưa trực tiếp vào mã nguồn ứng dụng mà phải được thiết lập thông qua giao diện cấu hình hệ thống.

 

x

x

x

x

5.

Bảo mật thông tin liên lạc

5.1

Có chức năng cho phép mã hóa thông tin, dữ liệu trước khi truyền đưa, trao đổi qua môi trường mạng (đối với các ứng dụng yêu cầu sử dụng chữ ký số).

Có chức năng cho phép mã hóa dữ liệu trước khi truyền đưa, trao đổi qua môi trường mạng sử dụng chữ ký số.

 

 

x

x

x

6.

Sao lưu dự phòng

6.1

Có chức năng cho phép tự động sao lưu dự phòng.

a) Có giao diện cho phép quản trị viên thiết lập chính sách về sao lưu dự phòng cơ sở dữ liệu và cấu hình hệ thống.

 

 

x

x

x

b) Có chức năng cho phép thực hiện việc sao lưu dự phòng theo chính sách ở trên.

 

 

x

x

x

6.2

Có chức năng cho phép phép gán nhãn loại dữ liệu được lưu trữ theo quy tắc được thiết lập.

a) Có giao diện cho phép quản trị viên quản lý chính sách về phân loại dữ liệu được lưu trữ theo từng nhóm dữ liệu.

 

 

 

x

x

b) Có chức năng cho phép lưu trữ dữ liệu theo tên định dạng đối với từng loại dữ liệu tại mục trên.

 

 

 

x

x

6.3

Có chức năng cho phép thiết lập cấu hình để gửi dữ liệu dự phòng về hệ thống lưu trữ tập trung.

a) Có giao diện cho phép quản trị viên thiết lập cấu hình để gửi dữ liệu dự phòng về hệ thống lưu trữ tập trung.

 

 

 

 

x

b) Có chức năng cho phép thực hiện sao lưu dự phòng thủ công cơ sở dữ liệu và cấu hình hệ thống lên hệ thống lưu trữ tập trung.

 

 

 

 

x

c) Có chức năng cho phép thực hiện sao lưu dự phòng tự động cơ sở dữ liệu và cấu hình hệ thống lên hệ thống lưu trữ tập trung.

 

 

 

 

x

d) Có chức năng cho phép khôi phục dữ liệu, cấu hình hệ thống từ dữ liệu được lưu trữ trên hệ thống lưu trữ tập trung.

 

 

 

 

x

 Trân trọng!

Nguồn:

THƯ KÝ LUẬT

Nội dung tư vấn trên đây chỉ mang tính tham khảo, Quý độc giả cần xem Căn cứ pháp lý của tình huống này để có thông tin chính xác hơn.


Người trả lời:

Ban biên tập LawNet

  • Ban biên tập LawNet
  • Click để xem thông tin