An toàn hệ thống thông tin theo cấp độ là gì? Tiêu chí và giải pháp đáp ứng

Bộ Thông tin và Truyền thông đã ban hành Thông tư số 12/2022/TT-BTTTT quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

An toàn hệ thống thông tin theo cấp độ là gì?

Phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ. Mỗi cấp độ an toàn thông tin sẽ có những yêu cầu cụ thể về biện pháp bảo vệ, cao hơn so với cấp độ trước. Việc phân loại cấp độ giúp đảm bảo rằng các hệ thống thông tin quan trọng được bảo vệ một cách nghiêm ngặt và hiệu quả hơn.

Nghị định 85/2016/NĐ-CP quy định 5 cấp độ an toàn hệ thống thông tin:

► Cấp độ 1: Hệ thống thông tin thông thường, xử lý thông tin cá nhân hoặc thông tin bí mật nội bộ của tổ chức.

► Cấp độ 2: Hệ thống thông tin quan trọng, xử lý thông tin có liên quan đến hoạt động sản xuất, kinh doanh hoặc quản lý nhà nước của tổ chức.

► Cấp độ 3: Hệ thống thông tin trọng yếu, xử lý thông tin có liên quan đến an ninh, quốc phòng hoặc hoạt động đối ngoại của Nhà nước.

► Cấp độ 4: Hệ thống thông tin rất quan trọng, xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại nghiêm trọng quốc phòng, an ninh quốc gia.

► Cấp độ 5: Hệ thống thông tin đặc biệt quan trọng, xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

Các yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ

Yêu cầu cơ bản đối với từng cấp độ là các yêu cầu tối thiểu để bảo đảm an toàn hệ thống thông tin, bao gồm yêu cầu cơ bản về quản lý, yêu cầu cơ bản về kỹ thuật và không bao gồm các yêu cầu bảo đảm an toàn vật lý.

1. Yêu cầu về quản lý

Thiết lập chính sách an toàn thông tin; tổ chức bảo đảm an toàn thông tin; bảo đảm nguồn nhân lực; quản lý thiết kế, xây dựng hệ thống; quản lý vận hành hệ thống; phương án Quản lý rủi ro an toàn thông tin; phương án kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông tin.

2. Yêu cầu về thiết lập, cấu hình hệ thống

Yêu cầu cơ bản về kỹ thuật, bao gồm: Bảo đảm an toàn mạng; ảo đảm an toàn máy chủ; bảo đảm an toàn ứng dụng; bảo đảm an toàn dữ liệu.

Yêu cầu thiết kế hệ thống	Cấp độ 2	Cấp độ 3	Cấp độ 4	Cấp độ 5	Giải pháp
Phương án quản lý truy cập, quản trị hệ thống từ xa an toàn	ü	ü	ü	ü	VPN: Fortinet FortiGate
Phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập	ü	ü	ü	ü	IPS/FW: Fortinet FortiGate IPS: Trellix
Phương án cân bằng tải, dự phòng nóng cho các thiết bị mạng	ü	ü	ü	ü	A10: A10 Thunder, FortiADC
Phương án đảm bảo an toàn cho máy chủ cơ sở dữ liệu		ü	ü	ü	Database Security: Trellix
Phương án chặn lọc phần mềm độc hại trên môi trường mạng		ü	ü	ü	Fortinet FortiGate Trellix APT
Phương án phòng chống tấn công từ chối dịch vụ		ü	ü	ü	A10 DDOS Fortinet FortiDDOS
Phương án phòng chống tấn công mạng cho ứng dụng Web	ü	ü	ü	ü	A10 ADC (Fastly) Fortinet FortiWeb
Phương án đảm bảo ATTT cho hệ thống thư điện tử	ü	ü	ü	ü	Trellix Email Security Fortinet FortiMail
Phương án quản lý truy cập lớp mạng		ü	ü	ü	Fortinet FortiNAC
Phương án giám sát hệ thống thông tin tập trung		ü	ü	ü	AKIPS (Tufin)
Phương án giám sát an toàn hệ thống thông tin tập trung		ü	ü	ü	VSOC (VSS SOC) Fortinet FortiSIEM
Phương án quản lý sao lưu dự phòng tập trung		ü	ü	ü	Pure Storage Commvault Backup & Recovery
Phương án phòng chống mã độc cho máy chủ và máy trạm	ü	ü	ü	ü	Trellix Endpoint Security (ENS/EDR) Crowdstrike Falcon
Phương án phòng, chống thất thoát dữ liệu		ü	ü	ü	Trellix DLP Fortra Digital Guardian
Phương án dự phòng kết nối mạng Internet cho các máy chủ dịch vụ		ü	ü	ü
Phương án bảo đảm an toàn cho mạng không dây (nếu có)		ü	ü	ü
Phương án quản lý tài khoản đặc quyền			ü	ü	Delinea PAM
Phương án dự phòng hệ thống ở vị trí địa lý khác nhau, cách tối thiểu 30 km				ü
Phương án dự phòng cho kết nối mạng giữa hệ thống chính và hệ thống dự phòng				ü