• Lưu trữ
  • Thông báo
  • Ghi chú
  • Facebook
  • Google
    • 12

Văn bản pháp luật về Luật công nghệ thông tin


 

Công văn 272/CNTT-CSHT năm 2018 về tăng cường đảm bảo an toàn dữ liệu số trên môi trường mạng do Cục Công nghệ thông tin ban hành

Tải về Công văn 272/CNTT-CSHT
Bản Tiếng Việt

BỘ Y TẾ
CỤC CÔNG NGHỆ THÔNG TIN
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 272/CNTT-CSHT
V/v Tăng cường đảm bảo an toàn dữ liệu số trên môi trường mạng

Hà Nội, ngày 18 tháng 05 năm 2018

 

Kính gửi:

- Các Vụ, Cục, Tổng cục, Văn phòng Bộ, Thanh tra Bộ;
- Các đơn vị trực thuộc Bộ Y tế;
- Sở Y tế các tỉnh, thành phố trực thuộc Trung ương.
- Trung tâm tích hợp dữ liệu, Cục Công nghệ thông tin

Cục Công nghệ thông tin nhận được nhiều cảnh báo về nguy cơ mất an toàn dữ liệu được quản lý, lưu trữ, truyền tải thông tin trên môi trường mạng. Để đảm bảo an toàn các thông tin bí mật theo quy định của nhà nước, theo quy định của Bộ Y tế và các thông tin quan trọng của đơn vị, Cục Công nghệ thông tin đề nghị các đơn vị nghiêm túc thực hiện các biện pháp sau:

1. Phân loại, xây dựng quy trình quản lý thông tin: Phân loại, xác định các thông tin y tế thuộc phạm vi bí mật theo quy định của nhà nước, của Bộ Y tế và các thông tin quan trọng của đơn vị. Xây dựng quy định quản lý, khai thác các dữ liệu này trên môi trường mạng.

2. Trước mắt tổ chức thực hiện các biện pháp đảm bảo an toàn, bảo mật thông tin cho các dữ liệu trên, cụ thể:

a) Bảo vệ thiết bị

- Thực hiện các biện pháp bảo vệ vật lý (như có cửa bảo vệ, cán bộ bảo vệ...) khu vực đặt các thiết bị máy tính quản lý, lưu trữ dữ liệu.

- Thực hiện các biện pháp bảo vệ phòng máy chủ quản lý, lưu trữ dữ liệu theo hướng dẫn tại Điều 6 tại Quyết định 4159/QĐ-BYT ngày 13/10/2014 của Bộ Y tế ban hành quy định về đảm bảo an toàn thông tin y tế điện tử tại các đơn vị trong ngành y tế.

- Thực hiện kiểm tra đối với việc mang thiết bị vào và thiết bị ra đối với phòng máy chủ quản lý, lưu trữ dữ liệu theo quy định tại Điểm b, Điểm c, Mục 1, Phần III tại quyết định 4495/QĐ-BYT ngày 30/10/2015 của Bộ trưởng Bộ y tế về việc ban hành hướng dẫn xây dựng nội quy an toàn, an ninh thông tin trong các đơn vị trong ngành y tế đối với phòng máy chủ lưu trữ dữ liệu.

- Không được chụp ảnh, quay camera các thiết bị tại phòng máy chủ quản lý, lưu trữ dữ liệu khi không được sự đồng ý bằng văn bản của lãnh đạo đơn vị.

- Thực hiện việc hủy bỏ các thiết bị lưu trữ thông tin y tế theo hướng dẫn tại Điều 15 tại Quyết định 4159/QĐ-BYT ngày 13/10/2014 của Bộ Y tế ban hành quy định về đảm bảo an toàn thông tin y tế điện tử tại các đơn vị trong ngành y tế.

- Cài đặt các phần mềm hoặc thiết bị bảo vệ chống truy cập trái phép đối với các máy tính cá nhân sử dụng trong việc quản lý, lưu trữ, khai thác dữ liệu.

- Các thiết bị mạng đưa vào hoạt động hoặc rời khỏi mạng liên quan tới dữ liệu phải được sự đồng ý bằng văn bản của lãnh đạo đơn vị.

b) Bảo vệ dữ liệu

Thực hiện các biện pháp quản lý việc truy cập dữ liệu, cụ thể:

- Chỉ tạo tài khoản truy cập và gán quyền truy cập cho các nhóm, cá nhân được phép truy cập vào dữ liệu theo quy định của đơn vị và của pháp luật;

- Ngừng ngay lập tức tài khoản truy cập đối với nhóm, cá nhân không còn được phép truy cập vào dữ liệu;

- Xây dựng cơ chế kiểm soát việc truy cập vật lý và trực tuyến đối với dữ liệu theo Điểm a, Điểm đ, Mục 1; Điểm a, Điểm b, Điểm c, Điểm đ Mục 2, Phần III tại quyết định 4495/QĐ-BYT ngày 30/10/2015 của Bộ trưởng Bộ y tế về việc ban hành hướng dẫn xây dựng nội quy an toàn, an ninh thông tin trong các đơn vị trong ngành y tế.

Đối với các hệ thống thông tin khai thác dữ liệu:

- Xây dựng cơ chế kiểm soát truy cập vào hệ thống dựa trên vai trò (Role-based Access Control);

- Áp dụng biện pháp xác thực hai yếu tố khi truy cập vào dữ liệu;

- Áp dụng các biện pháp xác thực, mã hóa, chữ ký số khi gửi và nhận dữ liệu;

- Thực hiện quản lý tài khoản truy cập của người sử dụng theo quy định tại Điều 13, Chương II tại quyết định 4159/QĐ-BYT ngày 13/10/2014 của Bộ trưởng Bộ Y tế về việc ban hành quy định về đảm bảo an toàn thông tin y tế điện tử;

- Cấu hình hệ thống thông tin được chỉ được cài đặt, thay đổi khi được cho phép bằng văn bản của đơn vị;

- Triển khai cách thức lưu lại lịch sử truy cập vào dữ liệu;

- Thực hiện khóa dữ liệu ngay khi phát hiện có truy cập trái phép;

- Thực hiện các biện pháp bảo vệ cơ sở dữ liệu khi triển khai trên mạng nội bộ và Internet theo Điều 5, Chương II tại quyết định 4159/QĐ-BYT ngày 13/10/2014 của Bộ trưởng Bộ Y tế về việc ban hành quy định về đảm bảo an toàn thông tin y tế điện tử;

- Triển khai hệ thống giám sát truy cập vào hệ thống thông tin để phát hiện các hành vi bất thường khi truy cập, khai thác dữ liệu.

Xin trân trọng cảm ơn!

 

 

Nơi nhận:
- Như trên;
- Thứ trưởng Lê Quang Cường (để b/c);
- Cục trưởng (để b/c);
- Lưu: VT, CSHT.

KT. CỤC TRƯỞNG
PHÓ CỤC TRƯỞNG




Lương Chí Thành

 

 

Điều 5. Mạng nội bộ và Internet

1. Có biện pháp phát hiện và phòng chống xâm nhập, phòng chống phát tán mã độc hại trên mạng nội bộ và Internet.

2. Có biện pháp phòng chống tấn công từ chối dịch vụ từ bên trong mạng nội bộ và bên ngoài Internet.

3. Yêu cầu có các biện pháp xác thực đảm bảo an toàn đối với các kết nối không dây.

4. Có biện pháp phân tách các phân vùng mạng để đảm bảo kiểm soát được các truy cập hệ thống thông tin và đảm bảo truy cập hiệu quả đối với các dữ liệu cần truy cập nhanh chóng.

5. Xác định, xây dựng và triển khai các phương án dự phòng cho các vị trí có mức độ ảnh hưởng cao tới hoạt động của hệ thống mạng hoặc có khả năng làm tê liệt hệ thống mạng của đơn vị khi xảy ra sự cố.

6. Xác định và đảm bảo nhu cầu băng thông của mạng nội bộ và Internet.

7. Thường xuyên cập nhật các bản vá lỗi hệ thống, cập nhật cấu hình cho các thiết bị mạng và các thiết bị bảo mật.

8. Bảo đảm chất lượng và đầy đủ các trang thiết bị mạng, an ninh, bảo mật, phần mềm chống virus, công cụ phân tích, quản trị mạng được cài đặt trong mạng của đơn vị.

Xem nội dung VB
Click vào để xem nội dung
III. Các quy định trong nội quy an toàn, an ninh thông tin

1. Quy định về kiểm soát truy cập vật lý

Quy định này nhằm ngăn cản các truy nhập vật lý không được phép và giảm thiểu thiệt hại đối với các thông tin y tế quan trọng của đơn vị.

...

b) Quy định những cá nhân nào được phép vào phòng quản lý các tài sản quan trọng và quy định về thủ tục xác thực các cá nhân được phép truy cập, cụ thể như ghi nhận và kiểm tra danh sách truy nhập vào phòng định kỳ.

c) Quy định việc mang vào hoặc đem ra các thiết bị lưu trữ và thiết bị điện tử (ổ đĩa, thiết bị USB, hoặc các sao chép vật lý đối với dữ liệu) đối với các phòng quản lý các tài sản quan trọng nhằm tránh việc lây nhiễm các phần mềm độc hại cho các hệ thống này và tránh rò rỉ các thông tin quan trọng ra ngoài. Xây dựng các thủ tục khai báo và kiểm tra việc mang vào hoặc đem ra đối với các thiết bị trước khi vào hoặc rời phòng.

Xem nội dung VB
Click vào để xem nội dung
III. Các quy định trong nội quy an toàn, an ninh thông tin

1. Quy định về kiểm soát truy cập vật lý

Quy định này nhằm ngăn cản các truy nhập vật lý không được phép và giảm thiểu thiệt hại đối với các thông tin y tế quan trọng của đơn vị.

a) Những tài sản quan trọng (như máy chủ chạy các ứng dụng quan trọng, các thiết bị lưu trữ thông tin bảo mật) cần được đặt tại các phòng riêng có quy định chế độ bảo mật cao như khóa, hệ thống xác thực cá nhân và các hệ thống kiểm soát truy cập khác.

...

đ) Quy định về môi trường làm việc cho phòng quản lý các thiết bị quan trọng bao gồm nhiệt độ, nguồn điện, phòng cháy chữa cháy.

2. Quy định về quản lý, vận hành hệ thống thông tin

Quy định này đảm bảo tránh việc rò rỉ, mất mát thông tin khi quản lý vận hành hệ thống trang thiết bị công nghệ thông tin và mạng máy tính.

a) Hệ thống máy chủ:

- Quản lý an toàn hệ thống: thủ tục cài đặt, kiểm tra và loại bỏ các dịch vụ không cần thiết trên máy chủ; quy định về các cá nhân được phép truy nhập vào máy chủ; thủ tục đặt và thay đổi mật khẩu đối với hệ thống máy chủ.

- Quản lý tài khoản truy cập: các thủ tục cấp quyền, thay đổi mật khẩu cũng như hủy bỏ quyền truy cập đối với tài khoản truy cập máy chủ. Quy định về việc đặt mật khẩu cho các tài khoản truy cập.

- Cập nhật bản vá lỗ hổng hệ điều hành và phần mềm hệ thống: thủ tục kiểm tra và cập nhật thường xuyên bản vá lỗ hổng hệ điều hành và phần mềm hệ thống.

- Quy định việc cài đặt và cập nhật phiên bản đối với các phần mềm chống vi rút và mã độc.

- Quy định việc sao lưu và phục hồi đối với hệ thống và dữ liệu máy chủ.

b) Truy cập Internet:

- Xây dựng quy định việc kiểm soát truy cập trang web. Có chế độ không cho phép truy cập các trang web không được phép.

- Quy định việc cài đặt phần mềm bảo vệ máy chủ và máy tính cá nhân khi truy cập Internet.

c) Truy cập mạng nội bộ:

- Kiểm soát truy cập mạng LAN: quy định việc cấp quyền truy nhập các dịch vụ, hệ thống của đơn vị trong mạng nội bộ theo nhu cầu công việc của từng nhóm người sử dụng.

- Phân tách vùng mạng: Quy định việc phân tách vùng mạng đối với các nhóm người sử dụng, dịch vụ thông tin, hệ thống thông tin quan trọng, đòi hỏi ưu tiên băng thông cần được quy định một cách hợp lý.

- Có quy định việc kết nối vào mạng không dây nội bộ. Đảm bảo việc truy cập mạng không dây nội bộ chỉ cho phép ở khu vực quy định và sử dụng cho hoạt động của đơn vị. Có quy định kiểm soát các truy cập không được phép vào mạng không dây nội bộ của đơn vị.

- Truy cập mạng nội bộ từ xa: có thủ tục kiểm soát việc xác thực và hoạt động của người sử dụng yêu cầu truy nhập vào mạng nội bộ từ xa.

...

đ) Máy tính cá nhân:

- Quản lý an toàn hệ thống: thủ tục cài đặt, kiểm tra và loại bỏ các dịch vụ, phần mềm không cần thiết trên máy tính cá nhân;

- Quản lý quyền truy cập: quy định việc đặt mật khẩu đối với các máy tính cá nhân và màn hình máy tính cá nhân sử dụng trong công việc hàng ngày.

- Quản lý an toàn dữ liệu: quy định việc mã hóa hoặc đặt mật khẩu đối với những dữ liệu, thông tin bảo mật nằm trong máy tính cá nhân.

- Quy định việc cài đặt và cập nhật phiên bản đối với phần mềm chống virus và mã độc.

Xem nội dung VB
Click vào để xem nội dung
Điều 13. Tài khoản người sử dụng

1. Xây dựng quy trình chính thức bằng văn bản để quy định quyền truy cập vào mạng, máy chủ, phần mềm ứng dụng, cơ sở dữ liệu của từng cán bộ trong đơn vị. Các quy trình này bao gồm tất cả các quy định đối với cán bộ, bao gồm từ lúc đăng ký truy cập tới khi hủy bỏ đăng ký truy cập.

2. Cần có quy định kiểm soát và theo dõi chặt chẽ việc truy cập vào các tài khoản đặc quyền.

3. Các quy tắc bảo mật cơ bản đối với tài khoản người sử dụng bao gồm:

a) Chỉ cho phép mỗi người sử dụng có một tài khoản truy cập.

b) Áp dụng quy tắc phân quyền tài khoản người sử dụng theo quyền của nhóm tài khoản.

c) Yêu cầu mật khẩu được thay đổi một cách thường xuyên (ít nhất là mỗi tháng một lần).

d) Các đơn vị cần có quy định về mật khẩu mạnh (như quy định số ký tự tối thiểu của mật khẩu, bắt buộc có cả chữ in hoa, chữ thường hay bắt buộc có cả ký tự chữ và số).

e) Khi một người dùng mới được quyền truy cập vào hệ thống thông tin, đảm bảo rằng họ được cấp mật khẩu tạm thời. Sau lần truy cập đầu, người sử dụng cần thay đổi mật khẩu tạm thời này. Nếu hệ thống thông tin cho phép, yêu cầu không sử dụng lại mật khẩu cũ.

g) Có quy trình để loại bỏ ngay lập tức các tài khoản và quyền truy cập hệ thống của người thay đổi công việc, hoặc không còn làm việc tại đơn vị.

Xem nội dung VB
Click vào để xem nội dung
Điều 15. Hủy bỏ các thiết bị lưu trữ thông tin y tế

1. Các thiết bị có chứa thông tin y tế quan trọng như ổ cứng, băng đĩa cần được kiểm tra và đảm bảo rằng bất kỳ dữ liệu và phần mềm cấp phép nào phải được gỡ bỏ hay định dạng lại trước khi hủy bỏ.

2. Thiết bị lưu trữ thông tin y tế quan trọng hư hỏng không còn hoạt động phải được phá hủy vật lý trước khi hủy bỏ.

Xem nội dung VB
Click vào để xem nội dung
Điều 6. Máy chủ và phần mềm hệ thống

1. Bảo đảm có hạ tầng máy chủ và các thiết bị đi kèm phục vụ hệ thống thông tin đủ công suất, đạt hiệu năng yêu cầu, đảm bảo tốc độ xử lý truy xuất thông tin y tế đáp ứng yêu cầu của đơn vị.

2. Yêu cầu đối với máy chủ:

a) Có tính năng sẵn sàng cao, cơ chế dự phòng linh hoạt để đảm bảo tính hoạt động liên tục.

b) Máy chủ phải được đặt ở phòng riêng, được bảo vệ an toàn về mặt vật lý. Phòng máy chủ phải được khóa, đặt mã bảo vệ và được giám sát chặt chẽ. Đảm bảo môi trường cho hoạt động của máy chủ như nguồn điện, nhiệt độ phục vụ cho hoạt động liên tục của máy chủ. Có các biện pháp phòng chống cháy, nổ cho phòng máy chủ. Quy định rõ ràng về quyền hạn, trách nhiệm của những cá nhân được phép vào phòng máy chủ.

3. Việc truy cập máy chủ trực tiếp hoặc từ xa đều phải thông qua kiểm soát bằng mật khẩu hoặc các biện pháp kiểm soát phù hợp khác. Có phương án đặt máy chủ tại các phân vùng mạng phù hợp theo chức năng và yêu cầu bảo mật của máy chủ.

4. Có biện pháp phát hiện, phòng chống xâm nhập, phát tán mã độc hại và virus máy tính cho máy chủ.

5. Yêu cầu đối với phần mềm hệ thống:

a) Phần mềm hệ điều hành cài lên máy chủ ưu tiên là phần mềm hệ điều hành có bản quyền hoặc là phần mềm mã nguồn mở được sử dụng rộng rãi trong nước và quốc tế (như UNIX, LINUX và các hệ điều hành thông dụng khác).

b) Có tài liệu liệt kê, cài đặt với những phần mềm hệ thống cài trong máy chủ.

c) Thường xuyên rà soát, cập nhật các phiên bản vá lỗi phần mềm hệ thống.

Xem nội dung VB
Click vào để xem nội dung
Văn bản gốc
Lược Đồ
Liên quan nội dung
Tải về


Trích lược
Số hiệu: 272/CNTT-CSHT   Loại văn bản: Công văn
Nơi ban hành: Cục Công nghệ thông tin   Người ký: Lương Chí Thành
Ngày ban hành: 18/05/2018   Ngày hiệu lực: Đã biết
Ngày công báo: Đang cập nhật   Số công báo: Đang cập nhật
Lĩnh vực: Bưu chính, viễn thông   Tình trạng: Đã biết
Từ khóa: Công văn 272/CNTT-CSHT

347

Thành viên
Đăng nhập bằng Google
382369