Quyết định 31/2013/QĐ-UBND Quy chế đảm bảo an toàn, an ninh thông tin trong lĩnh vực ứng dụng công nghệ thông tin của cơ quan nhà nước thuộc tỉnh Thái Nguyên
Số hiệu: 31/2013/QĐ-UBND Loại văn bản: Quyết định
Nơi ban hành: Tỉnh Thái Nguyên Người ký: Nhữ Văn Tâm
Ngày ban hành: 16/12/2013 Ngày hiệu lực: Đang cập nhật
Ngày công báo: Đang cập nhật Số công báo: Đang cập nhật
Lĩnh vực: Bưu chính, viễn thông, Tình trạng: Đang cập nhập
Ngày hết hiệu lực: Đang cập nhật

UỶ BAN NHÂN DÂN
TỈNH THÁI NGUYÊN

-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 31/2013/QĐ-UBND

Thái Nguyên, ngày 16 tháng 12 năm 2013

 

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN THUỘC LĨNH VỰC CÔNG NGHỆ THÔNG TIN TRONG HOẠT ĐỘNG CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH THÁI NGUYÊN

ỦY BAN NHÂN DÂN TỈNH THÁI NGUYÊN

Căn cứ Luật Tổ chức Hội đồng nhân dân và Uỷ ban nhân dân ngày 26 tháng 11 năm 2003;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 06 năm 2006;

Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về việc ứng dụng Công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Căn cứ Nghị định số 26/2007/NĐ-CP ngày 15 tháng 02 năm 2007 của Chính phủ Quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số;

Thực hiện Quyết định số 63/QĐ-TTg , ngày 13 tháng 01 năm 2010 của Thủ tướng Chính phủ về việc Phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020;

Xét đề nghị của Sở Thông tin và Truyền thông tại Tờ trình số 699/TTr-STTTT ngày 13 tháng 11 năm 2013 và ý kiến thẩm định của Sở Tư pháp tại Văn bản số 500/STP-XDVB ngày 12 tháng 11 năm 2013,

QUYẾT ÐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế đảm bảo an toàn, an ninh tng tin trong nh vc ng dụng công ngh thông tin ca các quan nhà nưc thuc tnh Thái Nguyên.

Điu 2. Quyết định này hiệu lực thi hành sau 10 ngày k t ngày .

Điu 3. Chánh Văn png U ban nhân dân tỉnh; Giám đốc các sở, ban, ngành; Ch tch UBND các huyn, thành ph, th xã và Th trưng các quan, t chc, cá nhân liên quan chu trách nhiệm thi hành Quyết định này./.

 

 

TM.Y BAN NHÂN N TNH
KT. CHỦ TCH

PCHỦ TCH




Nhữ Văn Tâm

 

QUY CHẾ

ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN THUỘC LĨNH VỰC CÔNG NGHỆ THÔNG TIN TRONG HOẠT ĐỘNG CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH THÁI NGUYÊN
 (Ban hành kèm theo Quyết định s: 31/2013//UBND ny 16 tháng 12 năm 2013 ca Uban nn dân tnh Thái Nguyên)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định v ni dung, bin pháp đảm bảo an toàn, an ninh tng tin thuc nh vc công nghthông tin phc v cho công tác điu hành và qun lý nhà nước trên đa bàn tỉnh Thái Nguyên.

Điều 2. Đối tưng áp dụng

Quy chế này được áp dng đi vi tt cả các quan nhà nước trên địa bàn tỉnh Thái Nguyên (k cả các cơ quan Trung ương đt ti đa bàn tỉnh Thái Nguyên).

Điều 3. Gii thích từ ng

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. Cán bộ chuyên trách Công nghệ thông tin (CNTT): Là cán bộ kỹ thuật hoặc cán bộ quản lý có chuyên môn về lĩnh vực CNTT, trực tiếp tham mưu cho lãnh đạo khai thác, quản lý và thực hiện công tác ứng dụng CNTT tại cơ quan, đơn vị, bảo đảm kỹ thuật và an toàn, an ninh thông tin cho việc khai thác, vận hành hệ thống CNTT tại đơn vị.

2. Tính tin cậy: bảo đảm thông tin chỉ có thể được truy cập bởi những người được cấp quyền sử dụng.

3. Tính toàn vẹn: bảo vệ sự chính xác và đầy đủ của thông tin và các phương pháp xử lý.

4. Tính sẵn sàng: bảo đảm những người được cấp quyền có thể truy cập thông tin và các tài sản liên quan ngay khi có nhu cầu.

5. An toàn, an ninh thông tin (ATANTT): bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng, tính sẵn sàng cao với yêu cầu chính xác và tin cậy. An toàn, an ninh thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu của máy tính và an toàn mạng.

6. TCVN 7562:2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý an toàn thông tin.

7. ISO 17799:2005: Tiêu chuẩn quốc tế cung cấp các hướng dẫn quản lý an toàn, bảo mật thông tin dựa trên những quy phạm công nghiệp tốt nhất (tập quy phạm cho quản lý an toàn bảo mật thông tin).

8. ISO 27001:2005: Tiêu chuẩn quốc tế về quản lý bảo mật thông tin do Tổ chức Chất lượng Quốc tế và Hội đồng Điện tử Quốc tế xuất bản vào tháng 10/2005.

9. Các từ tiếng Anh, từ kỹ thuật, từ chuyên ngành, từ được giải thích, ghi chú tại Phụ lục 2 của Quy chế này.

Chương II

NỘI DUNG ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

Điều 4. Các biện pháp qun lý k thut cơ bn cho công tác an tn, an ninh thông tin

1. T chc mô nh mng: Cài đt, cu nh, t chc hthống mng theo mô hình Clients/Server, hn chế s dụng mô hình mng ngang hàng. Đi vi các sở, ngành, huyn, thành ph, th xã có nhiều png, ban, đơn v trc thuc không nằm trong cùng mt khu vc thì cần thiết lp mng riêng ảo (VPN Virtual Private Network) đtăng cưng an ninh cho h tng mng ni b. Khi thiết lp các dịch v trên môi trưng mng Internet, ch cung cp những chc năng thiết yếu nhất bo đảm duy thoạt động ca h thống tng tin; hn chế s dụng chc năng, cng giao tiếp mng, giao thc và các dch v kng cần thiết.

2. Quản lý h thống mng không dây : Khi thiết lập mng không dây đ kết ni vi mng cc b thông qua các điểm truy nhp (Access Point -AP), cần thiết lp các tham s như: tên, SSID, mật khu, mã hóa d liu và tng báo các thông tin liên quan đến AP đ quan s dụng, đnh k 3 tháng thay đổi mật khẩu nhằm tăng cưng công tác bo mt.

3. T chc qun lý tài khon: Các tài khon và đnh danh nời ng trong hthống thông tin, bao gồm: to mi, kích hot, sa đi và loại b các tài khon, đồng thời t chc kiểm tra các tài khon ca h thống thông tin ít nht 6 tháng 1 lần thông qua các công c ca h thng. Hy tài khon, quyền truy nhp h thống tng tin, thu hi lại tt cả các tài sản liên quan ti h thống thông tin (khóa, th nhn dng, thư mc lưu trữ,...) đối với cán bộ, nhân viên đã chuyn công tác, chấm dt hợp đng lao động.

4. Qun lý đăng nhp hthống: Các hthống thông tin cần giới hạn s ln đăng nhập vào h thống. H thống t đng khóa tài khon hoặc cô lp tài khon khi liên tục đăng nhp sai vượt quá s ln quy đnh. T chc theo dõi, giám sát tt cả các phương pháp đăng nhp txa (quay số, internet,…), nhất là các đăng nhập chc năng quản tr, tăng cưng việc sdụng VPN khi nhu cầu làm việc txa; yêu cu ngưi s dng đt mật khẩu vi đ an toàn cao, giám sát, nhắc nh khuyến cáo nên thay đi thưng xuyên mật khu.

5. Qun lý Logfile: H thng tng tin cần ghi nhn các s kin: quá trình đăng nhập vào h thống, các thao tác cấu hình h thống. Thưng xuyên kiểm tra, sao lưu (backup) các logfile theo từng tháng đ lưu vết theo dõi, xác đnh nhng skin đã xảy ra ca h thống và hn chế vic tràn logfile gây ảnh hưng đến hot đng ca hthống.

6. Chống mã độc, vi rút máy nh: Lựa chọn, trin khai các phần mm chống vi rút máy tính, thư rác trên các máy chủ, các thiết b di đng trong mng và những hthống tng tin xung yếu như: Cng thông tin đin t, thư điện tử, mt ca điện tử,đ phát hin, loi trừ nhng đon mã độc hại (Vi rút máy nh, trojan, worms…) và h trợ ngưi s dng cài đt các phn mm này trên máy trạm. Thưng xuyên cp nhật các phiên bản (Version) mi, các bn vá li của các phần mm chng vi rút máy tính đbo đảm chương trình quét vi rút máy tính ca cơ quan trên các máy chủ, máy trạm luôn được cp nhật mới nht, thiết lp chế đ quét thưng xuyên ít nht là hng tun.

7. T chc qun lý tài nguyên: Kiểm tra, giám sát chc năng chia s thông tin (Network File and Folder Sharing). T chc cp phát tài nguyên trên máy ch theo danh mc thư mc cho từng png/ban; khuyến cáo người s dụng cân nhắc việc chia s tài nguyên cc b trên máy đang s dng, tuyệt đi không được chia s toàn b cng. Khi thc hin việc chia s tài nguyên trên máy ch hoặc trên máy cc bnên s dụng mật khu đ bo v thông tin.

8. Các bin pháp k thuật đảm bo an toàn cho Trang tng tin điện t/ Cng tng tin đin t (gi tắt là trang web):

a) Xác đnh cấu trúc thiết kế trang web: Quản lý toàn b các phiên bản ca mã nguồn, phi hợp với đơn v thc hin dch v hosting t chc mô nh trang web hp lý tránh khnăng tn công leo thang đc quyn. Yêu cu đơn v cung cp dch vhosting phi cài đt các hthống phòng vnhư tưng la (firewall), thiết b phát hin/phòng chng xâm nhập (IDS/IPS) ở mc ng dụng web (WAF- Web Application Firewall);

b) Vn hành ng dụng web an toàn: Các trang web khi đưa vào s dụng hoặc khi b sung thêm các chức năng, dch v công mới cần liên h với Trung tâm Công nghtng tin và Truyền tng Thái Nguyên hoặc liên hvi các t chc an ninh mng đánh giá kiểm đnh nhằm tnh được các li bảo mật thưng xảy ra trên ứng dng web như: SQL Injection, Cross-Site Scripting (xss), Broken Authentication and Session Management, Insecure Direct Object References, Cross Site Request Forgery (CSRF), Security Misconfiguration, Failure to Restrict URL Access, Insecure Cryptographic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects and Forwards...;

c) Thiết lập và cu nh cơ s d liu (CSDL) an toàn:

- Luôn cp nht bn vá li mới nht cho h quản tr cơ s d liu; s dụng công cụ đđánh giá, tìm kiếm l hng trên máy ch s d liu;

- Gb các cơ sd liu kng s dng;

- các cơ chế sao u d liu, tài liu a quá trình thay đi cấu trúc bng cách xây dng nhật ký CSDL với các ni dung như: nội dung thay đổi, lý do thay đi, thi gian, v t thay đi...

d) Phi hp với các nhà cung cp dch v hosting xây dựng pơng án phc hồi trang web, trong đó chú ý mi tháng thc hin việc backup toàn b ni dung trang web 1 ln bao gồm mã ngun, cơ sd liu, d liu phi cu trúc,... đbo đảm khi có s cố có th khc phc lại ngay trong ng 24 giờ.

9. Thiết lập cơ chế sao lưu và phc hi máy chủ, máy trm:

a) Đi vi máy trạm, máy chủ: Thc hin vic sao lưu d liu như h điều hành, các phần mm ng dng văn phòng, phn mm chuyên ngành...bng các phn mm như Pqmagic, FinalData, Symantec Ghost, ZAR (Zero Assumption Recovery), NovaBackup Professional, Nero BackItUp & Burn, Digital Rescue Premium... Sau khi sao lưu mi máy được lưu vào các thiết b lưu trữ như CD, ổ cng ngoài...và thc hin việc đánh số, dán nhãn đ tránh nhm lẫn nhằm phc v cho công tác phc hồi d liệu mt ch nhanh nht;

b) Đối với máy ch: Cài đặt các dch v Mirror, Raid, Clustering bảo đảm thiết lập cơ chế sao lưu và phc hồi h thng ca máy chủ. Đi vi các máy ch cài đặt hđiu hành Windows s dụng chc năng System Restore đ th d dàng khôi phc lại toàn b máy ch hoặc các tp tin, thư mc đưc la chn phục hi.

10. X lý khn cp: Khi phát hiện h thng b tấn công, thông qua các du hiu như luồng tin (traffic) tăng lên bất ngờ, nội dung trang ch b thay đổi, h thng hoạt động rất chậm khác thưng,... cần thc hin các bước cơ bn sau:

a) Bước 1: Ngt kết ni máy ch ra khi mng;

b) Bước 2: Sao chép logfile và toàn b d liu ca h thng ra thiết b lưu trữ (phc v cho công tác phân ch);

c) Bước 3: Khôi phục h thống bng ch chuyển d liu backup mới nhất đ hthống hoạt động;

d) Bước 4: Thc hiện các công việc ca khon 2 Điu 8.

Điều 5. Các biện pháp quản lý vận hành trong công tác an toàn, an ninh thông tin

1. Đi vi các cơ quan, đơn vị:

a) Ph biến, hưng dẫn thc hiện các quy chế chung liên quan đến công tác ng dụng CNTT đã được y ban nhân dân (UBND) tỉnh ban hành như Quy chế qun , vn hành và s dụng hthống thư đin t dùng chung tỉnh Thái Nguyên (theo Quyết định s 957/-UBND ngày 22/5/2013 ca y ban nhân n tnh Thái Ngun), Quy chế quản lý hot đng và cung cp thông tin ca Cng thông tin điện t tnh Thái Nguyên (theo Quyết định s 40/2012/-UBND ngày 06/11/2012 ca y ban nn dân tỉnh Ti Ngun),...

b) Kiểm tra việc thc hiện các nội dung ca Điu 4 v các bin pháp qun lý kthut bn cho công tác an toàn, an ninh thông tin ca cán b chuyên tch công ngh tng tin;

c) T chc đào to ti đơn v hoc cử cán b tham gia các lp đào to đ trang bị các kiến thc v an toàn tng tin bản cho cán b, công chc, viên chc trước khi cho phép truy nhp, vận hành, khai thác và s dng hthống thông tin;

d) Xác đnh và phân b kinh phí chi thưng xuyên cn thiết cho các hot động liên quan đến việc bo vhthống thông tin, tng qua vic đu tư các thiết b tưng la, các chương trình chng Spam, Vi rút máy tính trên các máy trạm, máy chủ...

2. Đi vi Cán b chuyên tch CNTT:

a) Trin khai, thc hiện các ni dung ca Điều 4 v các bin pháp quản lý kthut bản cho công tác an toàn, an ninh thông tin;

b) Tham mưu chuyên môn và vận hành an toàn h thống thông tin ca đơn vị, triển khai các bin pháp đảm bảo an toàn, an ninh tng tin cho tt c cán b, công chc, viên chc trong đơn v mình;

c) Nm vng và thc hiện nghiêm c Pháp lnh bo vệ bí mật Nhà nước ngày 28/12/2008. Thưng xuyên t cập nht c kiến thc v an toàn, an ninh thông tin, nguy tiềm ẩn có th gây mất mát thông tin và các bin pháp png tránh khi tiến hành các hot đng qun lý hay k thut nghip vụ;

d) Thc hin việc đánh giá, báo cáo các ri ro và mc đ nghiêm trng ca các ri ro đó. Các ri ro đó có th xảy ra do s truy cập trái phép, s dụng trái phép, mt, thay đi hoặc phá hủy thông tin và hthng thông tin;

e) Phi hp cht chvi quan Công an trong công tác phòng nga, đu tranh, ngăn chn các hoạt đng xâm phạm an toàn, an ninh thông tin.

3. Đi vi cán b, công chc, viên chc:

a) Thưng xuyên cập nht những cnh sách, th tục an toàn thông tin ca đơn vị cũng như thc hin những hưng dn van toàn, an ninh thông tin ca cán b chuyên tch như mt phn ca công việc chuyên môn;

b) Hạn chế việc s dng chc năng chia s tài nguyên (sharing), khi s dụng chc năng này cần bật thuc tính bo mật bng mật khẩu thc hiện việc thu hi chc năng này khi đã s dng xong;

c) Các máy tính khi kng s dng trong thời gian dài (quá 2 gi làm việc) cần tắt máy hoặc ngưng kết nối mng, đ tránh b các hacker li dụng, s dụng chc năng điu khin t xa dùng máy tính ca mình tn công vào các h thống tng tin khác;

d) Sử dụng chức năng mã hóa ở mức hệ điều hành bảo đảm các dữ liệu nhạy cảm như tài khoản, mật khẩu, các tập tin văn bản… được mã hóa trước khi truyền trên môi trường mạng. Các tập tin gửi đính kèm bởi thư điện tử hoặc được tải xuống từ Internet hay các thiết bị lưu trữ gắn vào hệ thống cần được kiểm tra để phòng chống lây nhiễm vi rút máy tính hoặc phần mềm gián điệp gây mất mát thông tin.

Điều 6.y dng quy chế ni b đm bo an tn cho hệ thng thông tin

1. Th trưng các cơ quan, đơn v được quy định ti Điu 2 ca Quy chế này phải ban hành quy chế ni bộ, bảo đảm quy định các vn đsau:

a) Mc tiêu và phương hưng thc hiện công tác đảm bảo an toàn an ninh cho hthống tng tin;

b) Nguyên tc phân loại và qun lý mc đ ưu tiên đi vi các tài nguyên ca hthống tng tin (phn mm, d liu, trang thiết bị,);

c) Quản lý phân quyền và tch nhiệm đối vi từng cá nhân khi tham gia s dụng hthng thông tin;

d) Quản lý và điu hành máy chủ, thiết b mng, thiết bbo vmng mt ch an toàn;

e) Kiểm tra, soát và khắc phc s cố an toàn an ninh ca hthống thông tin sdụng các bin pháp trong Điu 4, Điều 5 và Điều 7 ca Quy chế này;

f) Nguyên tắc chung s dụng an toàn và hiệu qu đi với toàn b nhân tham gia s dng hthng tng tin;

g) T chc thc hin.

2. Các quan, đơn v xây dng quy chế an toàn an ninh cho đơn v căn cứ các tiêu chun k thut qun lý an toàn ca b tiêu chun TCVN 7562:2005 và ISO/IEC 17799:2005 ti Ph lc 1 đcó s la chọn áp dng phù hp vi quan mình.

Điều 7. Xây dng và áp dụng quy trình đm bo an toàn, an ninh cho hệ thng thông tin

1. Các quan nhà ớc phi xây dựng và áp dng quy trình đm bảo an toàn, an ninh cho h thống thông tin nhằm giảm thiểu các nguy gây ra s c, tạo điều kiện cho việc khc phc và truy vết trong trưng hp có s c xảy ra.

Ni dung ca quy trình nên chia làm các bước cơ bn sau:

a) Lập kế hoch bo van toàn, an ninh cho hthng thông tin;

b) Xây dng hthống bảo van toàn, an ninh tng tin;

c) Quản lý và vn hành hthng bảo van toàn, an ninh thông tin;

d) Kiểm tra đánh giá hoạt động ca h thống bo v an toàn, an ninh thông tin;

e) Bảo t và nâng cp h thống bo vệ an toàn, an ninh thông tin.

2. Các quan, đơn v tham khảo các bước bản đ xây dng khung quy trình đảm bảo an toàn, an ninh thông tin cho h thống thông tin tại Ph lc 3 ca Quy chế này và tiêu chuẩn quc tế ISO 27001.

Chương III

TRÁCH NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

Điều 8. Trách nhim của các cơ quan, đơn v

1. Th trưng các quan, đơn v có tch nhiệm thc hin Điu 6 và Điu 7 ca Quy chế này và chịu tch nhiệm thc hin các quy đnh ca pháp luật trong công tác bo van toàn hthng tng tin ca đơn vị.

2. Khi s c hoc nguy cơ mất an toàn thông tin, kịp thi áp dụng mi biện pháp đ khc phc và hn chế thiệt hi, ưu tiên s dụng lc lưng kthuật an ninh tng tin ca đơn v và lập biên bn báo cáo bng văn bn cho quan cp trên qun lý trc tiếp và Sở Thông tin và Truyền thông theo biu mẫu ti Ph lục 4 ca Quy chế này.

Trưng hp s cố nghiêm trng vưt quá kh năng khắc phc ca đơn vị, phi báo cáo ngay cho quan cp trên quản lý trc tiếp và S Thông tin và Truyền tng đcùng phi hp x lý.

3. Tạo điều kin thun lợi cho các quan chc năng tham gia khắc phc s cvà thc hin đúng theo hưng dn.

4. Phối hợp vi Đoàn kiểm tra đ trin khai công c kiểm tra, khc phc s cố được nhanh chóng và đt hiu quả; đồng thời cung cp đầy đ các thông tin khi Đoàn kiểm tra yêu cầu xut trình.

5. Đnh khng Quý, lập báo cáo tình hình an toàn, an ninh thông tin theo biu mẫu ti Ph lc 5 ca Quy chế này và gi v Sở Thông tin và Truyền thông qua hp thư điện tvanthu.sotttt@thainguyen.gov.vn. Riêng báo cáo thuc Quý IV ca năm yêu cầu các đơn v gi vSThông tin và Truyền thông bng văn bn.

Điều 9. Trách nhiệm của cán bộ công chức, viên chức và người lao động trong các cơ quan, đơn vị

1. Nghiêm chnh chp hành các quy định v bảo v bí mật nhà nước, quy chế ni bộ, quy trình v an toàn, an ninh thông tin ca quan, đơn v cũng như quy định khác ca pháp lut, nâng cao ý thc cnh giác và trách nhim đm bảo an toàn, an ninh thông tin ti đơn vị.

2. Khi phát hin s cố phi báo ngay vi quan cp trên và b phận chuyên tch CNTT đkp thời ngăn chn, x lý.

3. Tham gia các chương trình đào tạo, hội nghị về an toàn, an ninh thông tin do Sở Thông tin và Truyền thông tổ chức.

Điều 10. Trách nhim của Công an tnh Thái Nguyên

1. Tham mưu cho y ban nhân dân tnh ch đo, t chc trin khai, thc hin các Ch thị, Ngh quyết ca Đng, pháp luật Nhà nước v công tác bo m bí mật nhà nước, bo v an ninh chính trị nội bộ, an ninh kinh tế, an ninh thông tin, an toàn cơ sh tng, bảo v công trình quan trọng liên quan đến an ninh quc gia, trt t an toàn cơ quan; xây dng, ban hành danh mc bo v bí mật Nhà nưc, các quy định v tiêu chun, quy chun kthut an toàn, an ninh thông tin trong vn hành, khai thác mng lưi, dch v, các công cphần cứng, chương trình virut, phần mm gián đip đphát tán thư rác, đánh cp, s dụng trái phép mật khu, khóa mật mã, lưu tr, phát tán tng tin, tài liu trái pháp lut, xâm phm an toàn, an ninh thông tin, vi phạm thun phong m tục; thc hiện quyn, nghĩa v, trách nhim bảo v an ninh chính trị ni b, an ninh tng tin truyền thông, bảo vbí mật Nhà nước, an toàn shtng, trật tự an toàn quan; làm tt công tác cnh tr tư tưởng, công tác quản lý ni b nhằm nâng cao ý thc trách nhiệm cho cán b công nhân viên; xây dng phong trào Toàn dân bo vệ an ninh T quc”.

2. Trao đi kp thời cho Sở Thông tin và Truyền thông và các cơ quan, đơn v trên địa bàn tỉnh Thái Nguyên v âm mưu, phương thc, thủ đon hoạt động ca các thế lc thù địch và ti phạm trên lĩnh vc vin thông công ngh thông tin; nhm png nga, ngăn chặn hot động ca các thế lc thù đch và ti phm; nâng cao tinh thn cnh giác và ý thức tch nhiệm ca cán b, công nhân viên.

3. Chđo các phòng nghip v và Công an các huyn, thành phố, thxã tăng cưng tuyên truyền vận đng nhân dân các xã, phưng, th trn h thống thông tin đi qua nêu cao tinh thần tch nhim, ý thc cảnh giác, kp thi ngăn chn, phát hin, t giác nhng hành vi gây nguy hại đến công trình mng lưi vin tng, công nghtng tin. Trin khai công tác đảm bảo an ninh trật t, png chống ti phạm và các hành vi vi phạm khác trong nh vc vin thông và công ngh tng tin. Sau khi tiếp nhận tin báo v ti phạm xâm phạm an ninh trt t trong nh vực viễn thông và công ngh thông tin phi khẩn trương t chc xác minh, điu tra làm rõ nguyên nhân, phương thc th đon, hoạt động ca đi tưng, kp thi đưa ra đ x lý theo pháp lut.

4. Khi phát hin c thông tin, tài liu, d liu, đ vt liên quan đến hot động xâm phm an ninh quốc gia theo quy định ti Điu 3 Ngh định s 151/2005/NĐ- CP, ngày 14/12/2005 ca Chính ph quy định quyn hn, trách nhim ca cơ quan và cán b chuyên trách bo v an ninh quốc gia, thc hin ngay c bin pháp sau đây:

a) Yêu cu t chc, cá nhân cung cấp các thông tin d liu, s liu, tài liu, đ vật liên quan;

b) Thc hin theo thm quyền các bin pháp lưu gi, sao chép tng tin, d liu, tài liu, đ vt, mt phn hoặc toàn b hthống thiết b liên quan;

c) Ngăn cản việc truy nhp hthống thiết b, mng lưới và s dụng dch v; d) Thc hin các nhim vụ, quyền hạn khác theo quy đnh ca pháp lut.

Điều 11. Trách nhim của Sở Thông tin và Truyền thông

1. Tham mưu UBND tỉnh về công tác đảm bo an toàn, an ninh tng tin và chịu tch nhiệm trước UBND tỉnh trong việc đảm bảo an toàn, an ninh cho các h thng tng tin cp tnh.

2. Xây dng kế hoạch, d toán ngun kinh phí đ triển khai công tác an toàn và an ninh thông tin phục v cho việc vn hành các hthống thông tin được UBND tnh giao qun lý và lưu ký các trang thông tin đin t ca các s ngành, huyn, thành ph, th xã.

3. Thành lp Đoàn kim tra an toàn, an ninh thông tin và tiến hành kiểm tra theo định k hoặc đột xuất khi phát hiện các du hiu, hành vi vi phạm an toàn, an ninh tng tin. Kết thúc đợt kiểm tra phải có văn bn báo cáo UBND tỉnh v tình nh an toàn, an ninh thông tin thuc tỉnh và có những đxut phù hp.

4. Xây dng và triển khai các chương trình đào to, hội ngh tuyên truyền an toàn, an ninh tng tin trong công tác qun lý nhà nước thuc tnh nhm phbiến, cp nht kiến thc van toàn an ninh tng tin vào Quý III hng năm.

5. Tùy theo mc đ s c, phi hợp Trung tâm Ứng cu khẩn cấp máy tính Vit Nam (VNCERT) và các đơn v có liên quan hưng dn xử lý, ứng cu các s ctng tin.

6. ng dn, giám sát các đơn v xây dng Quy chế đảm bảo an toàn, an ninh cho h thống tng tin theo quy định ca nhà nưc.

Chương IV

CÔNG TÁC THANH TRA, KIỂM TRA AN TOÀN, AN NINH THÔNG TIN

Điều 12. Kế hoạch kiểm tra hng năm

1. Sở Thông tin và Truyền thông ch trì, phối hp n png UBND tnh, Công an tnh và các đơn v liên quan tiến hành công tác kiểm tra an toàn, an ninh thông tin ti tt cả các đơn v hành chính cấp tỉnh, huyn, thành phố, th xã định k hng năm tối thiểu 1 ln vào quý III, kiểm tra tại cơ s cp phưng/xã theo kế hoch ca Sở Thông tin và Truyền thông.

2. Tiến hành kiểm tra đt xuất các cơ quan nhà nưc khi có du hiu vi phạm an toàn, an ninh thông tin.

Điu 13. Quan h phi hợp và trách nhim của các cơ quan chc năng liên quan

1. Sở Thông tin và Truyền thông

a) Chu tch nhiệm chính trong việc ch t và phối hp với các quan chc năng liên quan đ thành lp Đoàn kiểm tra và triển khai, báo cáo công tác kiểm tra an toàn, an ninh thông tin trên quy mô toàn tỉnh;

b) Phối hp với Công an tnh thc hin x lý các hành vi vi phm an toàn, an ninh tng tin gây thiệt hại cho h thống thông tin thuc các quan, đơn v nhà nưc thuc tnh.

2. Văn phòng UBND tnh:

a) Cử b phn chuyên tch an toàn, an ninh thông tin phối hp vi Sở Thông tin và Truyền thông kim tra, đánh giá công tác an toàn, an ninh thông tin;

b) Phi hợp xây dựng các tiêu chí và quy trình k thut kiểm tra công tác an toàn, an ninh tng tin.

3. Trách nhiệm ca Công an tỉnh:

a) Phối hợp Sở Thông tin và Truyền thông kiểm tra công tác an toàn, an ninh thông tin;

b) Tham mưu UBND tỉnh ban hành, sửa đổi, bổ sung các quy định của pháp luật có liên quan đến công tác an toàn, an ninh thông tin;

c) Thường xuyên thông báo cho các cơ quan, đơn vị về phương thức, thủ đoạn mới của các loại tội phạm xâm phạm an toàn, an ninh thông tin để có biện pháp phòng ngừa, đấu tranh, ngăn chặn;

d) Điều tra và xử lý các trường hợp vi phạm an toàn, an ninh thông tin theo thẩm quyền.

Chương V

KHEN THƯỞNG, XỬ LÝ VI PHẠM

Điều 14. Khen thưng

Hng năm, Sở Tng tin và Truyền thông da trên kết qukiểm tra, đánh giá, báo cáo công tác an toàn, an ninh thông tin ca các cơ quan, đơn v đ xác lp bng xếp hng an toàn, an ninh thông tin; trên cơ s đó đ xuất UBND tnh xem xét khen thưng cho các nhân, đơn v thành ch đảm bo an toàn, an ninh tng tin theo quy đnh hiện hành.

Điều 15. X lý vi phm

T chc nhân hành vi vi phạm quy chế này thì tùy theo tính cht, mc đ vi phạm mà b x lý k lut, x pht hành chính hoặc b truy cu trách nhiệm nh squy đnh ca pháp luật hin hành.

Chương VI

ĐIỀU KHOẢN THI HÀNH

Điều 16. Sở Thông tin và Truyền tng ch trì, phi hp vi các sở, ban, ngành, UBND các huyn, thành phố, th xã và c quan liên quan trin khai thc hin Quy chế này.

Trong quá trình thc hin, nếu vưng mắc, đ ngh quan, t chc, nhân có liên quan phản ánh v Sở Thông tin và Truyền thông tng hp trình UBND tỉnh xem xét, giải quyết./.

 

PHỤ LỤC 1

10 NỘI DUNG CHÍNH CỦA ISO/IEC 17799:2005 DÙNG ĐỂ XÂY DỰNG QUY CHẾ NỘI BỘ ĐẢM BẢO AN TOÀN, AN NINH CHO HỆ THỐNG THÔNG TIN
 (Ban hành kèm theo Quyết định s: 31/2013//UBND ny 16 tháng 12 năm 2013 ca Uban nn dân tnh Thái Nguyên)

1. Chính sách an toàn thông tin: Ch th và hưng dẫn van toàn thông tin.

2. An ninh t chc:

a) Htng an ninh thông tin: quản lý an ninh tng tin trong t chc;

b) An ninh đi vi bên truy cập th ba: Duy t an ninh cho các phương tin x lý tng tin ca t chc và tài sản tng tin cho các bên th ba truy nhp.

3. Phân loi và kiểm soát tài sn:

a) Trách nhiệm giải trình tài sn: duy tbo v tài sn;

b) Phân loại tng tin tài sn: bảo đảm mi loi i sản có mc bảo vtch hp.

4. An ninh nhân:

a) An ninh trong đnh nga công vic và nguồn nhân lc: giảm ri ro do các hành vi sai sót ca con ngưi;

b) Đào to người s dụng: bo đảm ngưi s dụng nhận thc được các mi đe da và các vn đliên quan đến an ninh thông tin;

c) Đi phó các s cố an ninh: Giảm thiểu thit hại t các hỏng hóc, trc trc và sự cố an ninh, theo i và rút kinh nghim.

5. An ninh môi trưng vt :

a) Phạm vi an ninh: ngăn nga việc truy cập, gây hi và can thip trái phép vào vùng an ninh và thông tin nghip v;

b) An ninh thiết b: đtránh mất mát, lỗi hoặc các s cố khác liên quan đến tài sn gây nh hưng đến các hoạt đng nghip v;

c) Kiểm soát chung: ngăn nga làm hại hoặc đánh cp thông tin và các phương tin x lý tng tin.

6. Qun lý truyền thông và hot động:

a) Th tc vận hành và tch nhiệm vận hành h thng: bo đm các phương tin x lý thông tin hoạt đng đúng và an toàn;

b) Lập kế hoch hthng và công nhn: gim thiu ri ro vli hthng;

c) Bo v chống li phn mm cố ý gây hi: bo v tính toàn vn ca phần mm hthng và thông tin;

d) Công việc qun : duy t tính toàn vn và sẵn sàng ca dch v truyền đt và x lý thông tin;

e) Qun trị mng: bo đảm việc an toàn thông tin trên mng và bo v s htng k thut;

g) Trao đi thông tin: Ngăn nga mất mát, thay đổi hoc s dng sai tng tin được trao đi gia các đơn vị.

7. Kiểm soát truy cập:

a) Các yêu cầu nghiệp vụ đối với kiểm soát truy nhập: kiểm soát truy nhập thông tin;

b) Quản lý truy nhập của người dùng: Để tránh các truy nhập không được cấp phép vào hệ thống;

c) Trách nhiệm của người dùng: để tránh các truy nhập của người dùng không được cấp phép;

d) Kiểm soát truy nhập mạng: bảo vệ các dịch vụ mạng;

e) Kiểm soát truy nhập hệ điều hành: tránh truy nhập vào các máy tính không được phép;

g) Kiểm soát truy nhp ứng dng: tránh các truy nhp trái phép vào hthống;

h) Giám sát truy nhp h thống và giám sát s dụng h thống: đ phát hin các hoạt động không đưc cấp phép;

i) Kiểm soát truy nhp t xa: bo đảm an ninh thông tin khi s dng các phương tin di động.

8. Phát trin và duy t h thống:

a) Yêu cu an ninh đi với các h thống: đ bo đảm các yêu cầu an ninh đưc đưa vào trong quá trình xây dng hthng;

b) An ninh trong h thống ứng dụng: đ ngăn nga mất mát, thay đi hoc lạm dụng d liu ngưi s dng trong các hthống ứng dng;

c) Các kiểm soát mật mã, mã a: đ bo v tính tin cậy, xác thc hoặc toàn vẹn ca thông tin;

d) An ninh các tp h thống: Bo đảm rằng các d án CNTT và các hot đng htrợ được qun lý mt cách an toàn;

e) An ninh quá trình h trợ và phát trin: duy t an ninh ca phn mm và thông tin hthống ứng dng.

9. Qun lý liên tc trong kinh doanh: chống li s gián đoạn trong các hoạt động kinh doanh.

10. Sự tuân th:

a) Tuân th các yêu cầu pháp lý: đ tránh các vi phạm ca các Bộ luật hình s và dân s, các nghĩa v nh lut pháp, nguyên tắc;

b) Chính sách an ninh và yêu cu k thut ca h thống phải bảo đảm việc tuân th các chính sách và tiêu chun an ninh ca quc gia;

c) Xem xét kiểm tra h thống: đ ti ưu tính hiệu lc nhằm giảm thiểu s can thip quy trình kiểm tra hthng đó.

 

PHỤ LỤC 2:

GIẢI THÍCH, GHI CHÚ TỪ TIẾNG ANH, TỪ KỸ THUẬT CHUYÊN NGÀNH
(Ban hành kèm theo Quyết định s: 31/2013//UBND ny 16 tháng 12 năm 2013 ca Uban nn dân tnh Thái Nguyên)

1. Clients/Server: Mô hình mạng máy con - máy chủ.

2. AP - AcessPoint: Điểm truy cập không dây được cấu hình đặc biệt các nút trên mạng cục bộ không dây (WLAN). Các điểm truy cập hoạt động như một máy phát trung tâm và nhận tín hiệu radio WLAN.

3. SSID - Service set identification: Tên định danh dịch vụ của mạng. Thông thường nếu trong mạng của bạn chỉ có nhiều Access Point (AP) thì khi bạn truy cập vào AP nào bạn sẽ chọn SSID tương ứng. Nói chung SSID là tên đặt cho mạng Wireless của mình để nhận dạng.

4. Logfile: Được hiểu là một tập tin để lưu trữ thông điệp được tạo ra bởi một ứng dụng, dịch vụ, hoặc hệ điều hành. Các thông điệp này được sử dụng để theo dõi các hoạt động được hoặc đã thực hiện. Các tệp tin nhật ký thường là các tập tin văn bản đơn giản (mã ASCII) và thường có một phần mở rộng là “.log”.

5. VPN - Virtual Private Network: Mạng riêng ảo, là một mạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng Internet công cộng.

6. Network File and Folder Sharing: Chức năng chia sẻ thông tin trên hệ điều hành.

7. Mã hóa ở mức hệ điều hành: Dùng các công cụ có sẵn của hệ điều hành cung cấp để tiến hành mã hóa và giải mã.

8. Backup (Sao lưu): Sao lưu dữ liệu được dùng để khôi phục lại dữ liệu tại thời điểm tiến hành sao lưu khi hệ điều hành bị hỏng.

9. Trojan (Vius Trojan) : một chương trình dạng vi rút, một kẻ làm nội gián trong máy tính của bạn đã giúp cho tên tin tặc (hacker) điều khiển máy tính của bạn, Trojan giúp tên tin tặc lấy những thông tin quý báu của bạn, thậm chí hắn có thể xóa hoặc định dạng lại cả ổ cứng của bạn nữa. Trojan có thể nhiễm vào máy của bạn qua tập tin gắn kèm thư điện tử mà bạn đã vô tình tải về và chạy thử, hoặc có lẫn trong những chương trình trò chơi, nhưng chương trình mà bạn không rõ nguồn gốc...

10. Worms (Sâu dữ liệu): giống như virus ngoài trừ việc nó có thể tự tái tạo. Nó không chỉ có thể nhân rộng mà không cần đến việc phải “đột kích” vào “bộ não” của file và nó cũng rất ưa thích sử dụng mạng để lây lan đến mọi ngóc ngách của hệ thống. Điều này có nghĩa là một computer worm có đủ khả năng để làm thiệt hại nghiêm trọng cho toàn thể mạng lưới, trong khi một virus chỉ thường nhắm đến các tập tin trên máy bị nhiễm.

11. Hosting (Dịch vụ cho thuê máy chủ): là một loại hình lưu trữ trên Internet cho phép các cá nhân, tổ chức truy cập được website của họ thông qua World Wide Web.

12. Firewall: Tường lửa - Là hệ thống rào chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ.

13. IDS/IPS: Thiết bị phát hiện/phòng chống xâm nhập.

14. WAF- Web Application Firewall: Mức ứng dụng web.

15. SQL Injection (lỗi nhúng mã): Xảy ra trong các ứng dụng như SQL, LDAP khi sử dụng dữ liệu không xác thực được gửi tới hệ thống biên dịch như một phần mã lệnh. Những dữ liệu này của kẻ tấn công có thể lừa hệ thống biên dịch thực hiện những mã lệnh độc hại hoặc giúp những kẻ tấn công thâm nhập đến dữ liệu quan trọng một cách trái phép.

16. Cross-Site Scripting (xss) (Thực thi mã Script xấu) : Xảy ra khi một ứng dụng tiếp nhận những dữ liệu không đáng tin cậy và gửi chúng đến cho trình duyệt web mà không qua xử lý và kiểm duyệt. XSS cho phép kẻ tấn công thực hiện những mã lệnh độc trên trình duyệt của người bị tấn công và lợi dụng ăn cắp phiên truy cập để mạo danh hoặc hủy hoại trang web hoặc lừa người sử dụng đi đến những trang web độc hại khác.

17. Broken Authentication and Session Management (Hư hỏng cơ chế chứng thực và quản lý phiên làm việc) : Những đoạn chương trình kiểm tra danh tính và quản lý phiên làm việc của người sử dụng thường được làm qua loa không đúng cách. Điều này giúp kẻ thâm nhập có thể ăn cắp mật mã, khóa, mã của các phiên làm việc (session tokens) hoặc tận dụng những lỗi khác để giả mạo danh tính người sử dụng.

18. Insecure Direct Object References (đối tượng tham chiếu thiếu an toàn): Xảy ra khi người phát triển để lộ một tham chiếu đến những đối tượng trong hệ thống như các tập tin , thư mục, hay chìa khóa dữ liệu. Nếu chúng ta không có một hệ thống kiểm tra truy cập, kẻ tấn công có thể lợi dụng những tham chiếu này để truy cập dữ liệu một cách trái phép.

19. Cross Site Request Forgery (CSRF) (Giả mạo yêu cầu): Kiểu tấn công này ép buộc trình duyệt web của một người dùng đã đăng nhập gửi những yêu cầu giao thức web (HTTP) tới một trang web bị lỗi, bao gồm cookie của phiên truy cập và những thông tin tự động khác như thông tin đăng nhập. Cách thức này cho phép kẻ tấn công buộc trình duyệt web tạo ra những yêu cầu cho ứng dụng lỗi mà ứng dụng này không thể biết được đây là những yêu cầu giả mạo của kẻ tấn công.

20. Security Misconfiguration (Lỗi cấu hình bảo mật, sai sót cấu hình an ninh): Một cơ chế an ninh tốt cần phải hiệu chỉnh về an ninh và triển khai nó cho các ứng dụng , khuôn mẫu, máy chủ ứng dụng, máy chủ web,máy chủ dữ liệu và các ứng dụng nền tảng. Tất cả những thiết lập nên được định nghĩa, thực hiện bảo trì vì rất nhiều thứ không được triển khai với thiết lập an toàn mặc định. Các hiệu chỉnh cũng bao gồm cập nhật phần mềm và những thư viện được sử dụng bởi ứng dụng.

21. Failure to Restrict URL Access (Sai sót hạn chết truy cập) : Nhiều ứng dụng web kiểm tra quyền thực thi địa chỉ truy cập (URL) trước khi dựng các liên kết và nút nhấn được bảo vệ. Tuy nhiên ứng dụng cũng phải thực hiện kiểm tra tương tự mỗi khi những trang thông tin được truy cập trực tiếp, nếu không kẻ tấn công có thể giả mạo URL để truy cập vào những trang thông tin ẩn này.

Insecure Cryptographic Storage(Lưu trữ mật mã thiếu an toàn) : Nhiều ứng dụng web không bảo vệ những dữ kiệu nhạy cảm như thẻ tín dụng, số chứng minh nhân dân và những mã xác thực thông tin bằng phương thức mã hóa hay băm. Kẻ tấn công có thể ăn cắp hay thay đổi những dữ liệu nhạy cảm này và tiến hành hành vi trộm cắp, gian lận thẻ tín dụng, v.v…

22. Insufficient Transport Layer Protection (thiếu bảo vệ lớp vận chuyển): Các ứng dụng thường xuyên mắc sai lầm trong việc kiểm tra định danh, mã hóa và bảo vệ sự tuyệt mật và tính toàn vẹn của những thông tin nhạy cảm trên mạng lưới liên kết. Nó thường được bảo vệ bởi những thuật toán yếu, sử dụng những chứng nhận đã hết hiệu lực hoặc không sử dụng đúng cách.

23. Unvalidated Redirects and Forwards (Chuyển hướng và chuyển tiếp thiếu thẩm tra): Ứng dụng web thường xuyên đưa người dùng đến những liên kết qua các website khác và sử dụng những thông tin thiếu tin cậy để xác định đích đến. Nếu không được kiểm tra một cách cẩn thận, kẻ tấn công có thể lợi dụng để đưa nạn nhân

đến những trang web lừa đảo hay phần mềm độc hại, hoặc chuyển tiếp để truy cập các website trái phép.

24. Mirror : là một liên kết đến một bản sao của nội dung mà bạn đang nói về, chủ yếu là lưu trữ trên một máy chủ khác nhau để dự phòng.

RAID: là hình thức ghép nhiều ổ đĩa cứng vật lý thành một hệ thống ổ đĩa cứng có chức năng gia tăng tốc độ đọc/ghi dữ liệu hoặc nhằm tăng thêm sự an toàn của dữ liệu chứa trên hệ thống đĩa hoặc kết hợp cả hai yếu tố trên.

Clustering: Là một kiến trúc nhằm đảm bảo nâng cao khả năng sẵn sàng cho hệ thống mạng máy tính. Clustering cho phép sử dụng nhiều máy chủ kết hợp với nhau tạo thành một cụm có khả năng chịu đựng hay chấp nhận sai sót (fault - tolerant) nhằm nâng cao độ sẵn sàng của hệ thống mạng.

25. Trafic: Luồng dữ liệu.

26. Sharing: Chia sẻ tài nguyên.

27. Hacker: Được hiểu là người có thể viết hay chỉnh sửa phần mềm, phần cứng máy tính bao gồm lập trình, quản trị và bảo mật. Những người này hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính và dùng kiến thức bản thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau.

28. Internet: Là hệ thống thông tin toàn cầu sử dụng giao thức Internet và tài nguyên Internet để cung cấp các dịch vụ và ứng dụng khác nhau cho người sử dụng dịch vụ viễn thông.

 

PHỤ LỤC 3

CÁC BƯỚC CƠ BẢN ĐỂ XÂY DỰNG KHUNG QUY TRÌNH ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN CHO HỆ THỐNG THÔNG TIN
 (Ban hành kèm theo Quyết định s: 31/2013//UBND ny 16 tháng 12 năm 2013 ca Uban nn dân tnh Thái Nguyên)

Bưc 1: Lp kế hoch bo v an tn an ninh cho hệ thng thông tin:

a) Thành lập bphn quản lý an toàn, an ninh tng tin;

b) Xây dng định hưng bản cho công tác đảm bảo an toàn, an ninh tng tin, trong đó ch rõ:

- Mc đích ngn hạn và dài hn;

- Phương hưng và văn bản pháp quy, tiêu chuẩn cần tuân th và tham kho;

- Ước lưng nhân lc và kinh phí đầu tư.

c) Lập kế hoch xây dựng h thống bo v an toàn, an ninh thông tin:

- Xác định và phân loại các nguy gây s cố an toàn, an ninh thông tin;

- soát và lập danh sách các đối tưng cn được bảo v với những mô t đầy đvề: nhiệm v; chc năng; mc đ quan trng và các đặc điểm đối tưng (Đi tưng đây có th là mt phần mm, các máy chủ, quy trình tác nghiệp thuc cơ quan đơn v…);

- Xây dựng phương án đảm bo an toàn cho các đi tượng trong danh sách cn được bảo v: nguyên tắc qun , vn hành: các giải pháp bo v và khắc phc sự c

- Liên lạc và hp tác cht ch Trung tâm Công ngh thông tin và Truyền thông - Sở Thông tin và Truyền thông cũng như các quan, t chc nghiên cu và cung cp dịch v toàn mng;

- Lập kế hoch d trù kinh phí đu tư cho hthống bo vệ.

Bưc 2: Xây dng hệ thng bo van toàn an ninh thông tin:

- T chc đi ngũ nhân viên chuyên tch, đ năng lc đảm bảo an toàn, an ninh cho h thống tng tin;

- Xây dng hthng bo van toàn an ninh thông tin theo kế hoạch.

Bưc 3: Qun lý và vận hành hệ thng bo vATANTT:

- Vận hành và quản lý chặt ch trang thiết bị, phn mm theo quy định đã đt ra;

- Khi phát hin s c cần nhanh chóng xác định nguyên nhân, m biện pháp khc phc và báo cáo s cố cho các cơ quan chức năng;

- Cài đt đầy đủ, thưng xuyên cp nht phần mm, các bản vá lỗi theo hưng dn ca nhà cung cấp, thưng xuyên thay đi mật khu, sdụng mật khu vi đ an toàn cao.

Bưc 4: Kiểm tra đánh giá hoạt đng ca hệ thng bo vATANTT:

- Thưng xuyên kim tra giám sát các hoạt đng ca h thống bo v an toàn, an ninh thông tin nói riêng cũng như toàn b hthng thông tin i chung;

- Báo cáo tổng kết tình hình theo đnh k.

Bưc 5: Bo trì và nâng cp hệ thng bo vATANTT:

- Thưng xuyên kim tra bo trì h thống bảo v an toàn an ninh thông tin. Cn nhanh chóng mở rộng, nâng cấp hoặc thay thế khi cn thiết.

 

PHỤ LỤC 4

MẪU BÁO CÁO SỰ CỐ
(Ban hành kèm theo Quyết định s: 31/2013//UBND ny 16 tháng 12 năm 2013 ca Uban nn dân tnh Thái Nguyên)

Đơn v: ……………..
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

 

Ngày …….tháng …..năm ……….

 

BÁO CÁO SỰ CỐ

1.Thông tin chung:

Đại diện lãnh đo:............................................................................................

Tên quan:....................................................................................................

Email (cơ quan):..............................................................................................

Điện thoi (cơ quan):.......................................................................................

2.Thông tin về sự cố:

Số lưng máy chb s c: ..........Máy

Tên và chc năng chính ca từng máy chủ:

Tên máy chủ 1: …………………………………………………..

Hệ điều hành:

□ Windows       Phiên bn (Version):……………..…….……..

Linux            Phiên bn (Version):……………….………

Ubutu            Phiên bn (Version):……………….……...……

Khác: …………………………………….……….

Chc năng:………………………………………………….

Thi gian xy ra s c: /.././././ (gi/phút/ngày/tháng/năm)

Mô tả sơ b v s c: ……………………………………

………………………………………………………………………..

Các dch v trên Máy chủ (Đánh du những dch v được s dng trên hthống)

□ Web server

Mail server

Database server

FPT server

Proxy server

Application server

Dch v khác, đó là:……………………………………

Đa ch IP ca hthng:

P ni b với đa ch: … - ……… - …………- ……...……..

IP ngoài với địa ch: …… - …… - ………- …………..……

Các tên miền của hệ thng:

…………………………………………………….……………

Cách thc phát hin: (Đánh du những hình thc phát hin khi có s c)

Người ng cui báo                            Quản trị hthng

Qua h thống IDS/IPS                          Kiểm tra Log File

Kiểm tra đưng truyền                         Công ty, t chc tư vấn

Khác, đó là…………………………………………………..

Các biện pháp đã x lý khi gặp s c:

Không làm gì cả                                   T x lý

Báo cáo cp trên                                 Yêu cầu h trợ t nơi khác

H trợ t VNCERT                               Báo cáo cnh sát mng

Khác, đó là…………………………………………………..

Đi vi mi bin pp, đ ngh mô t c thể cách thức xlý:

.........................................................................................................................

.........................................................................................................................

Tên máy chủ 2: …………………………………………………..

Hệ điều hành:

□ Windows                   Phiên bn (Version):……….……………

Linux                        Phiên bn (Version):…………….………

Ubutu                        Phiên bn (Version):………................…………

Khác: …………………………….………….……………

Chc năng:………………………………………………….

Thi gian xy ra s c: /.././././ (gi/phút/ngày/tháng/năm)

Mô tả sơ b v s c: ……………………………………

…………………………………………………………………….

Các dch v trên Máy chủ (Đánh du những dch v được s dụng trên hthống)

□ Web server

Mail server

Database server

FPT server

Proxy server

Application server

□ Dch v khác, đó là:……………………………………

Đa ch IP ca hthng:

IP ni b với đa ch: … - ……… - …………- ..………..

IP ngoài với địa ch: …… - …… - ………- …………..………

Các tên miền của hệ thng:

………………………………………………….……………

Cách thc phát hin: (Đánh du những hình thc phát hiện khi s c)

□ Người ng cui báo                          □ Quản trị hthng

□ Qua h thống IDS/IPS                        □ Kiểm tra Log File

□ Kiểm tra đưng truyền                       Công ty, t chc tư vấn

□ Khác, đó là…………………………………………………..

Các biện pháp đã x lý khi gặp s c:

□ Không làm gì cả                                 □ T x lý

Báo cáo cp trên                               □ Yêu cầu h trợ t nơi khác

□ H trợ t VNCERT                             Báo cáo cnh sát mng

□ Khác, đó là…………………………………………………..

.........................................................................................................................

Tên máy chủ 3: …………………………………………………..

Hệ điều hành:

Windows                               Phiên bn (Version):………..…………...……

□ Linux                                    Phiên bn (Version):…………….………

□ Ubutu                                    Phiên bn (Version):……................……………

□ Khác: …….……………………………….……………

Chc năng:………………………………………………….

Thi gian xy ra s c: /.././././ (gi/phút/ngày/tháng/năm)

Mô tả sơ b v s c: ……………………………………

Các dch v trên Máy chủ (Đánh du những dch v được s dụng trên hthống)

□ Web server

Mail server

Database server

FPT server

Proxy server

Application server

□ Dch v khác, đó là:……………………………………

Đa ch IP ca hthng:

IP ni b với đa ch: … - ……… - …………- ………....

IP ngoài với địa ch: …… - …… - ………- ………………..……

Các tên miền của hệ thng:.

…………………………………………………………….……

Cách thc phát hin: (Đánh du những hình thc phát hiện khi s c)

□ Người ng cui báo              □ Quản trị hthng

□ Qua h thống IDS/IPS            □ Kiểm tra Log File

□ Kiểm tra đưng truyền           Công ty, t chc tư vấn

□ Khác, đó là…………………………………………………..

Các biện pháp đã x lý khi gặp s c:

□ Không làm gì cả                     □ T x lý

Báo cáo cp trên                   □ Yêu cầu h trợ t nơi khác

□ H trợ t VNCERT                 Báo cáo cnh sát mng

Khác, đó là…………………………………………………..

 

PHỤ LỤC 5

MẪU BÁO CÁO TÌNH HÌNH AN TOÀN, AN NINH THÔNG TIN
 (Ban hành kèm theo Quyết định s: 31/2013//UBND ny 16 tháng 12 năm 2013 ca Uban nn dân tnh Thái Nguyên)

Đơn v: ……………..
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

 

Ngày …….tháng ..năm ……….

 

BÁO CÁO TÌNH HÌNH AN TOÀN, AN NINH THÔNG TIN

I. Đánh giá hiện trng và dự kiến

1. Về chính sách, qun lý

Đơn v:

+ Đã xây dng kế hoạch đbảo đảm ATANTT cho t chức?

 Ri (đngh gi kèm văn bn)             Chưa

+ Có các biện pháp vận hành liên tc và khôi phc sự c không?

 Có                                                     Kng

+ Có thưng xuyên cập nht công nghbo đảm ATANTT hay kng?

 Có                                                     Kng

2. Về đu tư

Đơn v:

+ Phn trăm ngân sách trong tổng s ngân sách cho công ngh thông tin đ đu tư vào việc đảm bảo an toàn thông tin .%

+ Đã và d kiến đầu tư vào lĩnh vc nào, năm nào dưới đây

Lĩnh vc

2013

D kiến năm 20.....

Mô tả ni dung

1. Xây dng chính sách/ hưng dn/ th tục

 

2. Sử dụng dch v

 

3. Yêu cu tư vấn

 

4. Mua thiết b an toàn thông tin

 

5. Nghiên cu sdụng phn mm mã ngun m

 

6. Đào tạo ngun nhân lc

 

7. Các vấn đkhác:…………………..

……………………………………..

 

 

 

+ Đã và d kiến s dng nhng công c nào, năm nào đbo đm ATANTT?

Công cụ

2012

D kiến 20

Mô tả ni dung

1. Công cụ dit Vi rút máy tính (Anti Vi rút máy tính)

 

2. Mật khẩu

 

3.ng la

 

4. Công cụ lọc thư rác

 

5. Công cụ mã a tp tin

 

6. Công cụ chng DDos

 

7. Ch ký đin t

 

8. Mạng riêng o (VPN)

 

9. Hthống phát hiện xâm nhập

 

10. Nhng công cụ khác:……..

......................................................................

 

 

 

3. Về tình hình an ninh mng và x lý s cố

+ Tổng kết về các sự cố an ninh mạng đã xảy ra trong năm 20… đối với đơn vị.

Sự cố

Đơn v tính
(Đt, lần)

Số lưng

1. Vi rút máy tính

 

 

2. Lừa đảo (Phishing)

 

 

3. Thư rác (Spam mail)

 

 

4. Spyware/ Adware

 

 

5. Tấn công t chi dch v (Dos, Ddos)

 

 

6. Nội dung Website đơn vbthay đi (deface website)

 

 

7. Sự cố khác:

……………………………………....

 

 

+ Mc đ thit hại ưc tính trong năm 20... do các s c ATANTT gây ra.

Thit hi gián tiếp: ………………………triu đồng

Thit hi trc tiếp: ……………………… triệu đồng

□ Chi phí khc phc: ……………………… triệu đồng

+ Bin pháp x lý đã áp dụng khi gặp s c.

Phương pháp

Số ln

1. Không làm gì cả

 

2. T x lý

 

3. Báo cáo cấp trên trc tiếp

 

4. Yêu cu h trợ t nơi khác

 

5. Báo cnh sát mng

 

6. Phương pháp khác, đó là: ………………...

…………………………………………………….

 

+ Cho biết công vic mà quan đã thc hin sau khi khắc phc đưc s ctrong năm qua:

□ Sa đi cnh sách/ hưng dn/ th tục

Nâng cao ý thc

Tăng cưng thiết b

□ Rà soát lại hthng

□ Mở rng li liên kết với các đơn v hoạt đng trong nh vc an toàn thông tin

Việc khác đó là:

……………………………….………………………………

4. Tổ chc nhân lc và bi dưng nghiệp v

+ Đơn v có bphn ph tch v bo đảm ATANTT không?

 Có                                                     Không

+ Nếu có, b phận có ngưi ph trách là?

 Lãnh đạo quan                               Giám đốc CNTT (CIO)

 Cán b chuyên trách CNTT                  Khác: ……………

+ Nếu chưa có, thì đơn v d kiến t chc b phận đó không?

 Có                                                     Không

D kiến strin khai thành lp vào tháng năm ……, vi s lưng cán b là…… ngưi.

+ Đơn v có nhu cầu bi dưng nghip v ATANTT?

□ Dành cho lãnh đo và cán b qun lý, s lưng d kiến: người

bn/Nâng cao vATANTT cho CB k thut, s lượng: ngưi

K năng ATANTT cho ngưi ng , S lưng d kiến: người

+ Đơn v đã d t kinh phí cho hun luyện nghip v, đào tạo phát trin ngun nhân lc bo đm an ninh thông tin ca đơn vhay chưa?

 Có                                                     Chưa

+ Nếu t đánh giá, mc đ ATANTT ca đơn v trong năm 20xx là:

Kém

Trung nh

Tt

Rất tốt

 0

 1

 2

 3

 4

 5

 

 

 

 

 

 

II. Ý kiến phn hi và góp ý thêm.

……………………………………………………….………

Chú ý:

- Điền tng tin đy đ vào các câu hỏi:

- Đlựa chn đánh du X

- Câu hi vi hiu trưc mối lựa chn thì ch đưc phép đánh du mt kết qu (chn một)

- Câu hi vi hiu trưc mỗi la chn thì th đánh du t kng ti nhiu kết qu (chọn nhiu)

- Ký, ghi tên đóng du đy đ vào cuối báo cáo và gi về theo đường công văn cho S Thông tin Truyn thông.