10 phút để đọc
Reading Time: 10 minutes
Đối với các tổ chức xử lý dữ liệu quy mô lớn hoặc cung cấp dịch vụ công trực tuyến quan trọng, việc tuân thủ các quy định về hệ thống an toàn thông tin cấp độ 3 là bắt buộc. So với cấp độ 1 và 2, cấp độ 3 yêu cầu một hạ tầng bảo mật phức tạp và chặt chẽ hơn nhiều . Bài viết này sẽ giúp bạn nắm vững mọi quy định pháp lý và giải pháp để triển khai thành công.
Hệ thống an toàn thông tin cấp độ 3 là gì?
Là cấp độ dành cho các hệ thống có tính chất quan trọng, nếu bị phá hoại sẽ gây ảnh hưởng đến trật tự an toàn xã hội hoặc lợi ích công cộng.
Tiêu chí xác định hệ thống an toàn thông tin cấp độ 3
Hệ thống an toàn thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:
- Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh khi bị phá hoại sẽ làm tổn hại tới quốc phòng, an ninh quốc gia.
- Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:
a) Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 3 trở lên theo quy định của pháp luật;b) Cung cấp dịch vụ trực tuyến thuộc danh Mục dịch vụ kinh doanh có Điều kiện;
c) Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trở lên. - Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trong phạm vi một ngành, một tỉnh hoặc một số tỉnh.
- Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của các công trình xây dựng cấp II, cấp III hoặc cấp IV theo phân cấp của pháp luật về xây dựng.
Xem thêm:
-
- Hệ thống an toàn thông tin cấp độ 1 là gì? Checklist hướng dẫn tuân thủ an toàn thông tin cấp độ 1.
- Tìm hiểu 5 cấp độ bảo đảm an toàn hệ thống thông tin.
Quy định về bảo đảm an toàn thông tin cấp độ 3
Yêu cầu về quản lý
Theo thông tư 12/2022/TT-BTTTT, yêu cầu về quản lý của hệ thống an toàn thông tin cấp độ 3 như sau:
| STT | Yêu cầu | Tình trạng |
|---|---|---|
| 1.1 | Thiết lập chính sách an toàn thông tin | ▢ |
| 1.1.1 | Chính sách an toàn thông tin | ▢ |
| 1.1.2 | Xây dựng và công bố | ▢ |
| 1.1.3 | Rà soát, sửa đổi | ▢ |
| 1.2 | Tổ chức bảo đảm an toàn thông tin | ▢ |
| 1.2.1 | Đơn vị chuyên trách về an toàn thông tin | ▢ |
| 1.2.2 | Phối hợp với cơ quan/tổ chức có thẩm quyền | ▢ |
| 1.3 | Bảo đảm nguồn nhân lực | ▢ |
| 1.3.1 | Tuyển dụng | ▢ |
| 1.3.2 | Trong quá trình làm việc | ▢ |
| 1.3.3 | Chấm dứt hoặc thay đổi công việc | ▢ |
| 1.4 | Quản lý thiết kế, xây dựng hệ thống | ▢ |
| 1.4.1 | Thiết kế an toàn hệ thống thông tin | ▢ |
| 1.4.2 | Phát triển phần mềm thuê khoán | ▢ |
| 1.4.3 | Thử nghiệm và nghiệm thu hệ thống | ▢ |
| 1.5 | Quản lý vận hành hệ thống | ▢ |
| 1.5.1 | Quản lý an toàn mạng | ▢ |
| 1.5.2 | Quản lý an toàn máy chủ và ứng dụng | ▢ |
| 1.5.3 | Quản lý an toàn dữ liệu | ▢ |
| 1.5.4 | Quản lý an toàn thiết bị đầu cuối | ▢ |
| 1.5.5 | Quản lý phòng chống phần mềm độc hại | ▢ |
| 1.5.6 | Quản lý giám sát an toàn hệ thống thông tin | ▢ |
| 1.5.7 | Quản lý điểm yếu an toàn thông tin | ▢ |
| 1.5.8 | Quản lý sự cố an toàn thông tin | ▢ |
| 1.5.9 | Quản lý an toàn người sử dụng đầu cuối | ▢ |
| 1.6 | Phương án Quản lý rủi ro an toàn thông tin | ▢ |
| 1.7 | Phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ | ▢ |
Yêu cầu về kỹ thuật
Yêu cầu về thiết kế hệ thống
Thiết kế các vùng mạng trong hệ thống theo chức năng, các vùng mạng tối thiểu bao gồm:
| STT | Yêu cầu | Tình trạng |
|---|---|---|
| 1 | Vùng mạng nội bộ | ▢ |
| 2 | Vùng mạng biên | ▢ |
| 3 | Vùng DMZ | ▢ |
| 4 | Vùng máy chủ nội bộ | ▢ |
| 5 | Vùng mạng không dây (nếu có) tách riêng, độc lập với các vùng mạng khác | ▢ |
| 6 | Vùng mạng máy chủ cơ sở dữ liệu | ▢ |
| 7 | Vùng quản trị | ▢ |
Bên cạnh đó, cần có phương án thiết kế bảo đảm các yêu cầu sau:
| STT | Yêu cầu | Tình trạng |
|---|---|---|
| 1 | Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn sử dụng mạng riêng ảo hoặc phương án tương đương; sử dụng sản phẩm Mạng riêng ảo đối với hệ thống thông tin có xử lý thông tin bí mật nhà nước hoặc hệ thống thông tin quy định tại điểm c khoản 2 Điều 9 Nghị định 85/2016/NĐ-CP; | ▢ |
| 2 | Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập sử dụng sản phẩm Tường lửa có tích hợp chức năng phòng, chống xâm nhập hoặc sản phẩm Phòng, chống xâm nhập lớp mạng; | ▢ |
| 3 | Có phương án cân bằng tải, dự phòng nóng cho các thiết bị mạng chính, tối thiểu bao gồm thiết bị chuyển mạch trung tâm hoặc tương đương, thiết bị tường lửa trung tâm, tường lửa ứng dụng web, hệ thống lưu trữ tập trung, tường lửa cơ sở dữ liệu (nếu có); | ▢ |
| 4 | Có phương án bảo đảm an toàn cho máy chủ cơ sở dữ liệu; sử dụng sản phẩm Tường lửa cơ sở dữ liệu đối với hệ thống cơ sở dữ liệu tập trung, đáp ứng tiêu chí quy định tại khoản 3 Điều 9 Nghị định 85/2016/NĐ-CP; | ▢ |
| 5 | Có phương án chặn lọc phần mềm độc hại trên môi trường mạng sử dụng Tường lửa tích hợp chức năng phòng, chống mã độc trên môi trường mạng hoặc phương án tương đương; | ▢ |
| 6 | Có phương án phòng chống tấn công từ chối dịch vụ; sử dụng dịch vụ của doanh nghiệp hoặc sản phẩm Phòng, chống tấn công từ chối dịch vụ đối với các hệ thống Trung tâm dữ liệu, điện toán đám mây, hệ thống Định danh, xác thực điện tử, chứng thực điện tử, chữ ký số và hệ thống Kết nối tích hợp, chia sẻ dữ liệu, đáp ứng tiêu chí quy định tại khoản 3 Điều 9 Nghị định 85/2016/NĐ-CP; | ▢ |
| 7 | Có phương án phòng chống tấn công mạng cho ứng dụng web; sử dụng sản phẩm Tường lửa ứng dụng web đối với các hệ thống thông tin được quy định tại khoản 2, Điều 9 Nghị định 85/2016/NĐ-CP; | ▢ |
| 8 | Có phương án bảo đảm an toàn thông tin cho hệ thống thư điện tử; sử dụng sản phẩm Bảo đảm an toàn thông tin cho hệ thống thư điện tử đối với hệ thống Thư điện tử, đáp ứng tiêu chí quy định tại khoản 2 Điều 9 Nghị định 85/2016/NĐ-CP; | ▢ |
| 9 | Có phương án quản lý truy cập lớp mạng; sử dụng sản phẩm Quản lý truy cập lớp mạng đối với hệ thống Mạng nội bộ, Trung tâm giám sát điều hành an toàn thông tin mạng, đáp ứng tiêu chí quy định tại khoản 3 Điều 9 Nghị định 85/2016/NĐ-CP; | ▢ |
| 10 | Có phương án giám sát hệ thống thông tin tập trung; | ▢ |
| 11 | Có phương án giám sát an toàn hệ thống thông tin tập trung sử dụng sản phẩm Quản lý và phân tích sự kiện an toàn thông tin hoặc sản phẩm tương đương; | ▢ |
| 12 | Có phương án quản lý sao lưu dự phòng tập trung sử dụng hệ thống lưu trữ tập trung và sản phẩm quản lý lưu trữ tập trung; | ▢ |
| 13 | Có phương án quản lý phần mềm phòng chống mã độc trên máy chủ/máy tính người dùng, sử dụng sản phẩm Phòng, chống mã độc và/hoặc sản phẩm Phát hiện và phản ứng sự cố an toàn thông tin trên thiết bị đầu cuối, có chức năng quản lý tập trung; | ▢ |
| 14 | Có phương án phòng, chống thất thoát dữ liệu; sử dụng sản phẩm Phòng, chống thất thoát dữ liệu đối với hệ thống thông tin có xử lý thông tin bí mật nhà nước hoặc hệ thống thông tin quy định tại điểm c khoản 2 Điều 9 Nghị định 85/2016/NĐ-CP; | ▢ |
| 15 | Có phương án dự phòng kết nối mạng Internet cho các máy chủ dịch vụ; | ▢ |
| 16 | Có phương án bảo đảm an toàn cho mạng không dây (nếu có). | ▢ |
Yêu cầu về thiết lập, cấu hình hệ thống
| STT | Yêu cầu | Tình trạng |
|---|---|---|
| 1.1 | Bảo đảm an toàn mạng | ▢ |
| 1.1.1 | Kiểm soát truy cập từ bên ngoài mạng | ▢ |
| 1.1.2 | Kiểm soát truy cập từ bên trong mạng | ▢ |
| 1.1.3 | Nhật kí hệ thống | ▢ |
| 1.1.4 | Phòng chống xâm nhập | ▢ |
| 1.1.5 | Phòng chống phần mềm độc hại trên môi trường mạng | ▢ |
| 1.1.6 | Bảo vệ thiết bị hệ thống | ▢ |
| 1.2 | Bảo đảm an toàn máy chủ | ▢ |
| 1.2.1 | Xác thực | ▢ |
| 1.2.2 | Kiểm soát truy cập | ▢ |
| 1.2.3 | Nhật ký hệ thống | ▢ |
| 1.2.4 | Phòng chống xâm nhập | ▢ |
| 1.2.5 | Phòng chống phần mềm độc hại | ▢ |
| 1.2.6 | Xử lý máy chủ khi chuyển giao | ▢ |
| 1.3 | Bảo đảm an toàn ứng dụng | ▢ |
| 1.3.1 | Xác thực | ▢ |
| 1.3.2 | Kiểm soát truy cập | ▢ |
| 1.3.3 | Nhật kí hệ thống | ▢ |
| 1.3.4 | Bảo mật thông tin liên lạc | ▢ |
| 1.3.5 | Chống chối bỏ | ▢ |
| 1.3.6 | An toàn ứng dụng và mã nguồn | ▢ |
| 1.4 | Bảo đảm an toàn dữ liệu | ▢ |
| 1.4.1 | Nguyên vẹn dữ liệu | ▢ |
| 1.4.2 | Bảo mật dữ liệu | ▢ |
| 1.4.3 | Sao lưu dự phòng | ▢ |
Doanh nghiệp cần làm gì?
Việc đáp ứng đầy đủ checklist an toàn thông tin theo Cấp độ 3 không chỉ dừng lại ở nỗ lực tuân thủ pháp luật, mà còn là nhiệm vụ sống còn để bảo vệ các lớp dữ liệu nhạy cảm nhất của tổ chức và quốc gia. Với đặc thù xử lý các thông tin bí mật nhà nước có ảnh hưởng trực tiếp đến quốc phòng, an ninh quốc gia , hoặc quản trị dữ liệu cá nhân của từ 10.000 người dùng trở lên, bất kỳ một lỗ hổng nào trong hệ thống này cũng có thể dẫn đến những hệ lụy nghiêm trọng về trật tự an toàn xã hội.
Là công ty an ninh mạng hàng đầu tại Việt Nam với đội ngũ chuyên gia được công nhận toàn cầu , CyStack mang đến hệ sinh thái giải pháp được thiết kế để tương thích hoàn toàn với từng danh mục trong checklist Cấp độ 3, giúp hồ sơ thẩm định cấp độ nhanh chóng được duyệt.
| Nhóm yêu cầu (Thông tư 12/2022/TT-BTTTT) | Giải pháp đề xuất của CyStack |
|---|---|
| I. YÊU CẦU QUẢN LÝ | |
| Bảo đảm nguồn nhân lực: Quy trình tuyển dụng, làm việc và chấm dứt công việc an toàn | |
| Quản lý Rủi ro & vận hành: Quản lý an toàn mạng, máy chủ, ứng dụng, dữ liệu, sự cố và người dùng cuối | Đánh giá & Kiểm thử: Thực hiện Pentest và Red Teaming để nhận diện chính xác các rủi ro thực tế mà hacker có thể khai thác. SOC & Quản lý lỗ hổng: Giám sát 24/7, phản ứng sự cố theo thời gian thực và quản lý lỗ hổng liên tục trên nền tảng tập trung. |
| Kiểm tra, đánh giá định kỳ | Dịch vụ Kiểm thử xâm nhập (Pentest) thủ công và Red Teaming giúp doanh nghiệp thực hiện đánh giá hiệu quả các biện pháp bảo mật hàng năm theo quy định. CyStack VulnScan: Dò quét lỗ hổng và quản lý bề mặt tấn công chuyên sâu. |
| II. YÊU CẦU KỸ THUẬT | |
| Thiết kế vùng mạng: Phân tách tối thiểu các vùng: nội bộ, biên, DMZ, máy chủ nội bộ và mạng không dây | |
| VPN / Quản trị từ xa: Sử dụng VPN cho các hệ thống xử lý tin mật hoặc hệ thống quan trọng | CyStack Endpoint: Kiểm soát truy cập và bảo vệ dữ liệu trên máy tính, laptop cũng như các thiết bị di động. Tạo mạng Zero Trust, phân quyền truy cập chặt chẽ theo người dùng |
| Phòng chống tấn công Web & API: Sử dụng tường lửa ứng dụng web (WAF) | |
| Giám sát an toàn hệ thống tập trung: Sử dụng sản phẩm SIEM hoặc tương đương. | Dịch vụ SOC: Giám sát 24/7, phản ứng sự cố theo thời gian thực và quản lý lỗ hổng liên tục trên nền tảng tập trung. |
| Phòng, chống thất thoát dữ liệu (DLP): Bắt buộc cho hệ thống có tin mật. | CyStack Endpoint & Data Leak Detection: Ngăn chặn sao chép dữ liệu ra USB và giám sát rò rỉ dữ liệu nhạy cảm trên dark web/diễn đàn hacker. |
| Phòng chống mã độc tập trung (EDR): Trên máy chủ và máy trạm. | CyStack Endpoint: Phần mềm quản lý thiết bị đầu cuối giúp ngăn chặn mã độc và giám sát hoạt động người dùng tập trung. |
| An toàn cơ sở dữ liệu: Sử dụng tường lửa CSDL cho các hệ thống tập trung. | Pentest chuyên sâu: Kiểm tra các lỗi logic, sai phân quyền và thuật toán mã hóa trong các hệ thống lõi và CSDL. |
| III. YÊU CẦU VỀ THIẾT LẬP CẤU HÌNH HỆ THỐNG | |
| Bảo đảm an toàn mạng: Nhật kí hệ thống, Phòng chống xâm nhập, Phòng chống phần mềm độc hại trên môi trường mạng | CyStack Endpoint: Ghi lại log, hoạt động trên hệ thống của thiết bị. Cảnh báo hành vi bất thường như xóa nhiều file, đăng nhập trái phép. Chỉ cho phép cài phần mềm đã được phê duyệt, chặn app lạ hoặc khả nghi. |
| Bảo đảm an toàn máy chủ: Xác thực, Kiểm soát truy cập, Nhật ký hệ thống, Phòng chống xâm nhập, Phòng chống phần mềm độc hại. | CyStack Endpoint: Định danh thiết bị truy cập vào mạng nội bộ. Ghi lại log, hoạt động trên hệ thống của thiết bị. Cảnh báo hành vi bất thường như xóa nhiều file, đăng nhập trái phép. Chỉ cho phép cài phần mềm đã được phê duyệt, chặn app lạ hoặc khả nghi. |
| Bảo đảm an toàn ứng dụng: Xác thực, Kiểm soát truy cập, Nhật kí hệ thống, Bảo mật thông tin liên lạc. | CyStack Endpoint: Định danh thiết bị truy cập vào mạng nội bộ. Ghi lại log, hoạt động trên hệ thống của thiết bị. Cảnh báo hành vi bất thường như xóa nhiều file, đăng nhập trái phép. Locker: Phần mềm quản lý mật khẩu, API key và dữ liệu bí mật với kho lưu trữ mã hóa và kiểm soát truy cập chi tiết. |
| Bảo đảm an toàn dữ liệu: Nguyên vẹn dữ liệu Bảo mật dữ liệu Sao lưu dự phòng. | CyStack Endpoint: Ngăn chặn gửi file qua trình duyệt web và ứng dụng máy tính (Zalo, Drive, Mail, Telegram). Mã hóa bản sao lưu trước khi gửi lên cloud, đảm bảo an toàn tuyệt đối. Khôi phục bản cũ nếu file bị xóa, ghi đè, hoặc mã hóa ransomware. Data Leak Detection: Bảo vệ thông tin khách hàng bằng cách phát hiện kịp thời những dữ liệu bị rò rỉ. Hạn chế tối đa tổn thất tài chính và danh tiếng của thương hiệu. |
Kết luận
Việc bảo đảm an toàn cho hệ thống thông tin cấp độ 3 là nhiệm vụ trọng yếu nhằm bảo vệ thông tin bí mật nhà nước và dữ liệu cá nhân của một số lượng lớn người dùng. Hãy áp dụng ngay checklist của chúng tôi và liên hệ với CyStack ngay hôm nay để nhận được tư vấn chi tiết về các giải pháp & dịch vụ.
