Bảo đảm an toàn thông tin mạng đối với thiết bị hệ thống thông tin Chính phủ điện tử

Theo dự thảo, an toàn thông tin mạng là tiêu chí đặc biệt quan trọng đối với thiết bị, máy móc khi đầu tư, mua sắm, thuê dịch vụ, trước khi đưa vào sử dụng, trong quá trình sử dụng và sau khi sử dụng.

Thiết bị, máy móc phải được thực hiện kiểm tra, đánh giá và có xác nhận đáp ứng an toàn thông tin trước khi đưa vào sử dụng trong hệ thống thông tin phục vụ Chính phủ điện tử.

Ưu tiên sử dụng máy móc, thiết bị được sản xuất trong nước theo quy định tại Điều 4 Nghị định 73/2019/NĐ-CP của Chính phủ quy định về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước.

Kiểm tra, đánh giá an toàn thông tin trước khi mua sắm, trong khi sử dụng

Dự thảo nêu rõ, thiết bị, máy móc trước khi mua sắm, đầu tư phải thực hiện: Kiểm tra, đánh giá và khắc phục lỗ hổng, điểm yếu an toàn thông tin; được xác nhận đáp ứng các tiêu chí, yêu cầu kỹ thuật về đảm bảo an toàn thông tin.

Hoạt động kiểm tra, đánh giá và xác nhận đáp ứng các yêu cầu đảm bảo an toàn thông tin này phải được thực hiện bởi doanh nghiệp có giấy phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin hoặc tổ chức, đơn vị sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp được Bộ Thông tin và Truyền thông chỉ định.

Yêu cầu đối với thiết bị, máy móc trước khi đưa vào sử dụng: Cài đặt phần mềm bảo vệ hoặc thiết lập các biện pháp bảo vệ cần thiết cho thiết bị, máy móc; rà soát, thay đổi cấu hình mặc định để đảm bảo an toàn thông tin cho thiết bị, máy móc; thiết lập phân quyền ở mức độ tối thiểu cho người sử dụng; rà soát và tắt các chức năng không cần thiết.

Người được giao sử dụng thiết bị phải cam kết và ký thỏa thuận bảo đảm an toàn thông tin cho thiết bị theo yêu cầu của chủ quản hệ thống thông tin.

Yêu cầu đảm bảo an toàn thông tin mạng đối với thiết bị, máy móc trong quá trình vận hành, khai thác: Máy móc, thiết bị phải được cấu hình lưu giữ nhật ký, tối thiểu bao gồm nhật ký hệ điều hành, nhật ký phần mềm bảo vệ hệ thống. Nội dung nhật ký, thời gian lưu giữ nhật ký và tần suất kiểm tra, rà soát nhật ký được thực hiện theo quy định của chủ quản hệ thống thông tin.

Đồng thời xử lý, khắc phục ngay các điểm yếu, lỗ hổng, rủi ro phát hiện được; cập nhật kịp thời các bản vá lỗi và qua các kênh chính thức, đáng tin cậy.

Khi thiết bị, máy móc được mang đi bảo hành hoặc mang ra khỏi cơ quan thì phải thực hiện các biện pháp xử lý dữ liệu (sao lưu, xóa bỏ,..) đảm bảo dữ liệu được an toàn.

Khi thiết bị, máy móc không còn được sử dụng hoặc thay đổi mục đích sử dụng, phải sao lưu, hủy bỏ theo quy trình thống nhất, tập trung để đảm bảo dữ liệu không để lộ lọt ra bên ngoài…

PV