Bảo đảm ATTT cho hệ thống quản lý văn bản và điều hành

(Chinhphu.vn) - Bộ Thông tin và Truyền thông vừa hướng dẫn bảo đảm an toàn thông tin cho hệ thống quản lý văn bản và điều hành của cơ quan, tổ chức nhà nước.

Mô hình các hệ thống bảo đảm an toàn thông tin

 

Tài liệu này hướng dẫn các thành phần cơ bản, các yêu cầu an toàn cơ bản và phương án thực thi bảo đảm an toàn thông tin cho hệ thống quản lý văn bản và điều hành (QLVBĐH) chạy trên nền tảng ứng dụng Web, sử dụng trong các cơ quan, tổ chức nhà nước.

 

Theo tài liệu, nguy cơ mất an toàn đối với hệ thống QLVBĐH chủ yếu từ bên ngoài Internet qua giao diện mà hệ thống QLVBĐH cung cấp dịch vụ công cộng. Ngoài ra, nguy cơ mất an toàn thông tin có thể xuất phát từ các thành phần khác có thể kết nối trực tiếp với hệ thống QLVBĐH.

 

Ngoài ra, nguy cơ mất an toàn thông tin có thể xuất phát từ các thành phần khác bên trong hệ thống hoặc các hệ thống khác có kết nối trực tiếp với hệ thống QLVBĐH bao gồm: Tấn công từ chối dịch vụ làm mất tính khả dụng của hệ thống QLVBĐH trong việc cung cấp dịch vụ; tấn công khai thác điểm yếu, lỗ hổng chiếm quyền điều khiển, thay đổi giao diện... của máy chủ và ứng dụng triển khai hệ thống QLVBĐH; thực hiện các hình thức tấn công, nghe lén để đánh cắp thông tin, dữ liệu quan trọng, nhạy cảm.

 

Bên cạnh đó, thực hiện tấn công mã độc vào các máy tính người sử dụng để lợi dụng chiếm quyền, nâng quyền kiểm soát đối với các hệ thống khác bên trong hệ thống; tấn công vào  nền tảng phần cứng (các thiết bị mạng và máy chủ) của hệ thống có tồn tại điểm yếu an toàn thông tin để chiếm quyền điều khiển hoặc tấn công từ chối dịch vụ.

 

Tài liệu cũng nêu rõ yêu cầu an toàn cơ bản đối với hệ thống QLVBĐH. Trong đó, hệ thống QLVBĐH là hệ thống thông tin thành phần của hệ thống thông tin tổng thể. Do đó, căn cứ vào cấp độ của hệ thống QLVBĐH, phương án bảo đảm an toàn thông tin phải đáp ứng các an toàn tối thiểu theo quy định của pháp luật và các yêu cầu cụ thể tại hướng dẫn này.

 

Để đảm bảo an toàn thông tin cho hệ thống này, ngoài việc đảm bảo an toàn thông tin cho các thành phần trực tiếp phục vụ hoạt động của hệ thống này thì các thành phần khác liên quan đến hoạt động của hệ thống QLVBĐH trong hệ thống tổng thể cũng phải bảo đảm an toàn.

 

Do đó, yêu cầu an toàn thông tin tổng thể để bảo đảm an toàn thông tin cho hệ thống QLVBĐH bao gồm các yêu cầu về quản lý và kỹ thuật. Cụ thể, yêu cầu về quản lý bao gồm các nhóm yêu cầu: Thiết lập chính sách an toàn thông tin; tổ chức bảo đảm an toàn thông tin; bảo đảm nguồn nhân lực; quản lý thiết kế xây dựng hệ thống; quản lý vận hành hệ thống. Yêu cầu về kỹ thuật bao gồm: Yêu cầu bảo đảm an toàn mạng; yêu cầu bảo đảm an toàn máy chủ; yêu cầu bảo đảm an toàn ứng dụng; yêu cầu bảo đảm an toàn dữ liệu.

Chí Kiên

Các bài mới

Các bài đã đăng