An toàn thông tin

Tiêu chuẩn kiến trúc bảo mật cho hệ thống thông tin cấp độ 2

Posted on by Đoàn Trình Dục
03
Th4

Nhiều chủ doanh nghiệp chỉ bắt đầu quan tâm đến hệ thống thông tin cấp độ 2 khi chuẩn bị hồ sơ, bị đối tác yêu cầu rà soát bảo mật, hoặc khi hệ thống đã vận hành rồi nhưng phát hiện thiếu phân vùng mạng, thiếu log, thiếu phương án sao lưu. Vấn đề là: làm thiếu thì rủi ro pháp lý và rủi ro vận hành cùng xuất hiện, còn làm dư mà không đúng trọng tâm thì rất tốn chi phí. (VanBan ChinhPhu)

Bài viết này dựa trên việc đối chiếu các căn cứ nền tảng đang được dùng nhiều nhất khi triển khai bảo đảm an toàn hệ thống thông tin theo cấp độ tại Việt Nam: Nghị định 85/2016/NĐ-CP, Thông tư 12/2022/TT-BTTTTTCVN 11930:2017. Theo hướng dẫn chính thức của Google, nội dung muốn bền vững với các đợt cập nhật gần đây cần rõ mục đích, hữu ích cho người dùng, tránh giật tít và tránh kiểu nội dung “scaled content” hoặc lợi dụng uy tín website để xếp hạng. Vì vậy bài này sẽ đi theo hướng thực tế: giải thích dễ hiểu, chỉ ra cách làm, và chỉ rõ lỗi doanh nghiệp hay mắc. (VanBan ChinhPhu)

Tóm tắt nội dung

Hệ thống thông tin cấp độ 2 là gì?

Theo khung phân loại an toàn hệ thống thông tin của Việt Nam, doanh nghiệp trước hết phải xác định cấp độ an toàn cho hệ thống của mình, sau đó mới xây dựng phương án bảo đảm an toàn thông tin tương ứng. Nghị định 85/2016/NĐ-CP là văn bản quy định về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ; còn Thông tư 12/2022/TT-BTTTT là văn bản hướng dẫn chi tiết việc xác định hệ thống, thuyết minh cấp độ, yêu cầu bảo đảm an toàn theo cấp độ, kiểm tra đánh giá và chế độ báo cáo. (VanBan ChinhPhu)

Hiểu ngắn gọn, cấp độ 2 thường là nhóm hệ thống mà nếu xảy ra sự cố sẽ gây ảnh hưởng đáng kể đến hoạt động, dữ liệu, quyền lợi hợp pháp của tổ chức hoặc cá nhân liên quan, nhưng chưa tới mức hệ trọng như các hệ thống trọng yếu cấp độ cao hơn. Điều quan trọng với chủ doanh nghiệp là: cấp độ 2 không đồng nghĩa với “bảo mật sơ sài”. Nó vẫn đòi hỏi kiến trúc bảo mật có lớp, có quản trị, có quy trình và có bằng chứng vận hành. Đây là điểm mà nhiều đơn vị hiểu sai ngay từ đầu. (VanBan ChinhPhu)

Trong thực tế, những hệ thống hay rơi vào nhóm này có thể là website nghiệp vụ, cổng thông tin, phần mềm quản lý nội bộ, hệ thống xử lý dữ liệu khách hàng ở mức phổ biến, hoặc các ứng dụng phục vụ vận hành doanh nghiệp mà khi gián đoạn sẽ gây thiệt hại công việc, doanh thu hoặc uy tín. Việc xếp chính xác cấp độ vẫn phải dựa trên hồ sơ thuyết minh và phạm vi hệ thống cụ thể, không nên đoán theo cảm tính. (VanBan ChinhPhu)

Căn cứ nào để thiết kế kiến trúc bảo mật cho hệ thống cấp độ 2?

Nếu chỉ nhìn từ góc kỹ thuật, nhiều doanh nghiệp sẽ nghĩ đến firewall, antivirus, backup. Nhưng khi đi theo đúng yêu cầu cấp độ, bộ căn cứ không dừng ở “mua công cụ”, mà gồm cả quy định pháp lýtiêu chuẩn kỹ thuật.

Nghị định 85/2016/NĐ-CP

Nghị định 85/2016/NĐ-CP là nền tảng pháp lý xác định cách phân loại cấp độ, thẩm quyền thẩm định, phê duyệt hồ sơ đề xuất cấp độ và trách nhiệm của các bên liên quan. Nói cách khác, đây là văn bản giúp doanh nghiệp trả lời câu hỏi: hệ thống của mình thuộc cấp nào và phải đi theo quy trình nào. (VanBan ChinhPhu)

Thông tư 12/2022/TT-BTTTT

Thông tư 12/2022/TT-BTTTT có hiệu lực từ ngày 01/10/2022 và hướng dẫn chi tiết hơn về xác định hệ thống thông tin, thuyết minh cấp độ, yêu cầu bảo đảm an toàn theo cấp độ, kiểm tra đánh giá và báo cáo. Với doanh nghiệp đang vận hành hệ thống nhưng hồ sơ cấp độ chưa đầy đủ, đây là văn bản rất quan trọng để rà lại xem mình đang thiếu ở đâu. (VanBan ChinhPhu)

TCVN 11930:2017

TCVN 11930:2017 là tiêu chuẩn kỹ thuật quy định các yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ, gồm hai nhóm yêu cầu: quản lý và kỹ thuật. Tiêu chuẩn này nêu rõ nhóm yêu cầu quản lý là cơ sở để xây dựng chính sách, quy trình trong quá trình thiết kế, xây dựng, vận hành; còn nhóm yêu cầu kỹ thuật là cơ sở để thiết kế và thiết lập cấu hình hệ thống. Đây chính là lý do khi nói về kiến trúc bảo mật cấp độ 2, bạn không thể chỉ nói về thiết bị mà bỏ qua chính sách, nhân sự và vận hành. (Tổng công ty VTC)

Tiêu chuẩn kiến trúc bảo mật cho hệ thống thông tin cấp độ 2 gồm những lớp nào?

TCVN 11930:2017 dành riêng một chương cho hệ thống thông tin cấp độ 2, trong đó chia thành yêu cầu quản lýyêu cầu kỹ thuật. Ở mức triển khai thực tế, doanh nghiệp nên hình dung kiến trúc bảo mật theo 6 lớp dưới đây. (Tổng công ty VTC)

Lớp chính sách và quản trị an toàn thông tin

Đây là lớp nhiều doanh nghiệp bỏ qua nhất vì “không nhìn thấy được như thiết bị”. Nhưng theo cấu trúc của TCVN 11930:2017, cấp độ 2 đã có nhóm yêu cầu quản lý gồm: thiết lập chính sách an toàn thông tin, tổ chức bảo đảm an toàn thông tin, bảo đảm nguồn nhân lực, quản lý thiết kế xây dựng hệ thống và quản lý vận hành hệ thống. (Tổng công ty VTC)

Điều này có nghĩa là doanh nghiệp tối thiểu phải có:

  • chính sách hoặc quy định sử dụng hệ thống;
  • nguyên tắc cấp quyền;
  • quy định với tài khoản quản trị;
  • quy trình sao lưu, cập nhật, xử lý sự cố;
  • đầu mối chịu trách nhiệm về an toàn thông tin.

Không có lớp này, doanh nghiệp rất dễ rơi vào tình trạng “có công cụ nhưng không ai chịu trách nhiệm rõ ràng”.

Lớp tổ chức và nhân sự

Cấp độ 2 không đòi hỏi bộ máy cồng kềnh, nhưng vẫn cần xác định rõ:

  • ai là chủ quản hệ thống;
  • ai là đơn vị vận hành;
  • ai được quyền quản trị;
  • ai phê duyệt thay đổi cấu hình;
  • ai tiếp nhận và phối hợp xử lý khi có sự cố.

Thông tư 12/2022/TT-BTTTT cũng đi theo logic đó khi hướng dẫn cách xác định chủ quản hệ thống, đơn vị vận hành và cách xây dựng hồ sơ, phương án bảo đảm an toàn. (VanBan ChinhPhu)

Lớp mạng và phân vùng hệ thống

Với doanh nghiệp, đây là phần rất “đắt giá” vì sai ngay từ thiết kế sẽ phải sửa rất tốn kém. Một kiến trúc cấp độ 2 tối thiểu nên tránh kiểu “mọi thứ nằm chung một mạng”. Thay vào đó, nên tách tương đối rõ:

  • vùng Internet/public;
  • vùng máy chủ ứng dụng;
  • vùng dữ liệu;
  • vùng quản trị;
  • vùng người dùng nội bộ.

TCVN 11930:2017 định nghĩa an toàn mạng là tập hợp các biện pháp quản lý và kỹ thuật nhằm bảo đảm việc thiết lập, quản lý và vận hành hạ tầng mạng an toàn. Trong triển khai thực tế, điều này thường được chuyển thành các biện pháp như kiểm soát kết nối, phân vùng mạng, giới hạn dịch vụ mở ra ngoài và kiểm soát truy cập từ xa. (Tổng công ty VTC)

Lớp máy chủ và hệ điều hành

Nhiều hệ thống bị yếu ở chỗ này hơn là ở firewall. Máy chủ cấp độ 2 nên được cứng hóa ở mức cơ bản:

  • tắt dịch vụ không cần thiết;
  • đổi cấu hình mặc định;
  • quản lý tài khoản admin riêng;
  • vá lỗi định kỳ;
  • giới hạn truy cập quản trị;
  • theo dõi các thay đổi quan trọng.

TCVN 11930:2017 tách riêng nhóm yêu cầu bảo đảm an toàn máy chủ cho từng cấp độ, cho thấy đây không phải phần phụ mà là thành phần cốt lõi trong kiến trúc bảo mật. (Tổng công ty VTC)

Lớp ứng dụng

Nếu doanh nghiệp có website, portal hoặc phần mềm nội bộ, lớp ứng dụng là nơi dễ phát sinh lỗi logic, lỗi phân quyền, lỗi xác thực, lỗi lộ dữ liệu. TCVN 11930:2017 cũng có nhóm yêu cầu bảo đảm an toàn ứng dụng riêng cho hệ thống cấp độ 2. Vì vậy, ngoài việc phát triển tính năng, doanh nghiệp nên kiểm soát thêm:

  • tài khoản và vai trò người dùng;
  • cơ chế đăng nhập, đổi mật khẩu;
  • quản lý phiên làm việc;
  • nhật ký thao tác;
  • kiểm thử trước khi đưa vào vận hành;
  • kiểm thử lại sau thay đổi lớn. (Tổng công ty VTC)

Lớp dữ liệu, sao lưu và khôi phục

Nhiều đơn vị nghĩ “đã backup là xong”. Thực tế, backup chỉ có giá trị khi khôi phục được. TCVN 11930:2017 có nhóm yêu cầu riêng về bảo đảm an toàn dữ liệu, trong đó tinh thần cốt lõi là bảo vệ tính bí mật, tính toàn vẹn và tính khả dụng của dữ liệu. (Tổng công ty VTC)

Với hệ thống cấp độ 2, doanh nghiệp nên tối thiểu có:

  • phân loại dữ liệu quan trọng;
  • phân quyền truy cập dữ liệu;
  • sao lưu theo lịch;
  • lưu bản sao tách biệt khỏi hệ thống chính;
  • kiểm tra phục hồi định kỳ;
  • có quy trình xử lý khi mất dữ liệu hoặc mã hóa dữ liệu.

Mô hình kiến trúc bảo mật tham khảo cho hệ thống cấp độ 2

Một mô hình dễ áp dụng cho doanh nghiệp vừa và nhỏ có thể đi theo logic sau:

  • lớp biên: firewall hoặc thiết bị kiểm soát truy cập mạng;
  • lớp public: web/app server công bố dịch vụ;
  • lớp dữ liệu: database tách tương đối với lớp ứng dụng;
  • lớp quản trị: chỉ cho phép truy cập quản trị từ nguồn tin cậy;
  • lớp giám sát: lưu log hệ thống, log truy cập, log quản trị;
  • lớp dự phòng: backup độc lập và kiểm tra khả năng restore.

Điểm cần nhớ là TCVN 11930:2017 nêu rõ các yêu cầu trong tiêu chuẩn là mức cơ bản theo cấp độ tương ứng; nếu hệ thống có đặc thù rủi ro cao hơn thì tổ chức cần đánh giá rủi ro để bổ sung biện pháp phù hợp. Nghĩa là cấp độ 2 là mức sàn, không phải mức trần. (Tổng công ty VTC)

Quy trình xây dựng kiến trúc bảo mật cho hệ thống thông tin cấp độ 2

Xác định phạm vi hệ thống

Trước tiên phải chốt rõ:

  • hệ thống gồm những thành phần nào;
  • ai sử dụng;
  • có dữ liệu gì;
  • có kết nối Internet hay kết nối liên thông nào;
  • có nhà cung cấp bên thứ ba nào tham gia.

Nếu phạm vi không rõ, hồ sơ cấp độ và kiến trúc kỹ thuật rất dễ lệch nhau. Đây là lỗi phổ biến nhất khi doanh nghiệp “làm hồ sơ trước, gom hạ tầng sau”. (VanBan ChinhPhu)

Thuyết minh cấp độ và phương án bảo đảm an toàn thông tin

Sau khi xác định hệ thống, doanh nghiệp cần xây dựng hồ sơ thuyết minh cấp độ và phương án bảo đảm an toàn thông tin theo hướng dẫn hiện hành. Thông tư 12/2022/TT-BTTTT chính là văn bản hướng dẫn chi tiết cho bước này. (VanBan ChinhPhu)

Thiết kế kiến trúc theo lớp

Đây là lúc đưa yêu cầu pháp lý và tiêu chuẩn vào hạ tầng thực tế:

  • mạng phân vùng thế nào;
  • máy chủ nào đặt ở đâu;
  • ai được quyền quản trị;
  • log thu về đâu;
  • backup đặt ở đâu;
  • truy cập từ xa kiểm soát ra sao;
  • thay đổi hệ thống cần phê duyệt như thế nào.

Kiểm thử, vận hành và lưu bằng chứng

Đừng dừng ở sơ đồ. Muốn đi đường dài, doanh nghiệp phải có:

  • biên bản cấu hình, bàn giao;
  • log hoạt động;
  • lịch backup;
  • bằng chứng vá lỗi/cập nhật;
  • kết quả kiểm thử hoặc rà soát bảo mật;
  • quy trình ứng cứu sự cố.

Đây cũng là cách làm phù hợp với định hướng “people-first” của Google: nội dung chất lượng nên phản ánh kinh nghiệm thực tế, có quy trình, có dấu vết triển khai, thay vì chỉ lặp lại lý thuyết. (Google for Developers)

Những sai lầm phổ biến khi triển khai cấp độ 2

Chỉ làm hồ sơ mà không sửa kiến trúc thực tế

Hồ sơ ghi có phân quyền, có backup, có log, nhưng hệ thống thật lại không có hoặc làm rất hình thức. Đây là lỗi khiến doanh nghiệp vừa không an toàn thật, vừa khó tự tin khi bị kiểm tra hoặc khi có sự cố.

Mua thiết bị trước, thiết kế sau

Đây là kiểu đầu tư dễ tốn tiền nhất. Vì TCVN 11930:2017 đi theo logic yêu cầu quản lý và kỹ thuật, doanh nghiệp nên xác định phạm vi, rủi ro, luồng truy cập trước rồi mới chọn công cụ. (Tổng công ty VTC)

Không tách quyền quản trị

Một tài khoản admin dùng chung cho nhiều người là lỗ hổng quản trị rất lớn. Khi có sai sót hoặc bị lộ tài khoản, gần như không truy được trách nhiệm.

Có sao lưu nhưng chưa từng thử phục hồi

Backup “để cho yên tâm” không có nhiều giá trị. Chỉ khi restore thử thành công, doanh nghiệp mới biết dữ liệu có thực sự cứu được hay không.

Thuê ngoài phát triển phần mềm nhưng không gắn yêu cầu bảo mật

Đây là lỗi thường gặp với doanh nghiệp nhỏ: hợp đồng chỉ nói về tính năng, deadline, bảo hành; không nói về log, phân quyền, kiểm thử bảo mật, quản lý lỗ hổng hay bàn giao cấu hình.

Checklist tự rà soát nhanh cho chủ doanh nghiệp

Trước khi nghĩ đến chuyện bổ sung thêm công nghệ, bạn nên tự rà nhanh 10 câu hỏi sau:

  • Hệ thống đã xác định rõ phạm vi chưa?
  • Đã có hồ sơ đề xuất cấp độ chưa?
  • Đã có phương án bảo đảm an toàn thông tin chưa?
  • Có sơ đồ kết nối mạng và sơ đồ thành phần hệ thống chưa?
  • Máy chủ ứng dụng và dữ liệu đã được tách tương đối chưa?
  • Có log đăng nhập, log quản trị, log lỗi ứng dụng chưa?
  • Có backup độc lập và kiểm tra restore chưa?
  • Tài khoản admin có cấp riêng, quản lý riêng không?
  • Có lịch cập nhật bản vá và kiểm soát thay đổi không?
  • Có đầu mối xử lý sự cố và quy trình phản ứng cơ bản chưa?

Nếu trả lời “chưa” cho từ 3 câu trở lên, gần như chắc chắn hệ thống của bạn chưa ở trạng thái vững để nói là đã triển khai cấp độ 2 một cách bài bản.

Kết luận

Tiêu chuẩn kiến trúc bảo mật cho hệ thống thông tin cấp độ 2 không phải là danh sách mua sắm thiết bị. Đúng hơn, đó là một cấu trúc gồm quản trị, nhân sự, mạng, máy chủ, ứng dụng, dữ liệu và vận hành, được xây trên nền Nghị định 85/2016/NĐ-CP, Thông tư 12/2022/TT-BTTTTTCVN 11930:2017. Làm đúng từ đầu giúp doanh nghiệp tránh hai rủi ro lớn nhất: làm hồ sơ cho có và đầu tư bảo mật sai chỗ. (VanBan ChinhPhu)

Về mặt SEO, bài viết kiểu này cũng phù hợp hơn với định hướng hiện tại của Google: tiêu đề phải phản ánh đúng nội dung, tránh giật tít, nội dung phải có ích, có trải nghiệm triển khai, không được sản xuất hàng loạt theo kiểu na ná nhau và không lợi dụng uy tín website để đăng nội dung lệch chủ đề. (Google for Developers)

FAQ

Hệ thống thông tin cấp độ 2 có bắt buộc phải có firewall không?

Về mặt triển khai thực tế, gần như nên có ít nhất một lớp kiểm soát truy cập mạng ở biên hoặc giữa các vùng mạng. Nhưng cần nhớ: đáp ứng cấp độ 2 không chỉ là có firewall, mà là có cả lớp quản lý, kỹ thuật và vận hành đi kèm. (Tổng công ty VTC)

Cấp độ 2 có cần phân vùng mạng không?

Nên có. Dù quy mô nhỏ, doanh nghiệp vẫn nên tách tối thiểu giữa vùng công bố dịch vụ, vùng ứng dụng, vùng dữ liệu và vùng quản trị để giảm rủi ro lan truyền khi sự cố xảy ra. Đây là cách diễn giải thực tế từ nhóm yêu cầu an toàn mạng trong TCVN 11930:2017. (Tổng công ty VTC)

Backup như thế nào mới phù hợp với cấp độ 2?

Không có một công thức duy nhất cho mọi hệ thống, nhưng tối thiểu phải có lịch sao lưu, nơi lưu bản sao tách biệt và kiểm tra phục hồi định kỳ. Backup mà chưa restore thử thì chưa đủ tin cậy. (Tổng công ty VTC)

Doanh nghiệp nhỏ có thể tự làm hồ sơ cấp độ 2 không?

Có thể, nếu đội IT hiểu rõ hệ thống, hiểu quy định và có thời gian hoàn thiện cả hồ sơ lẫn kiến trúc thực tế. Nếu hệ thống đã chạy lâu, có nhiều tích hợp hoặc sắp cần thẩm định, thuê đơn vị vừa hiểu pháp lý vừa hiểu kỹ thuật thường sẽ tiết kiệm thời gian hơn. (VanBan ChinhPhu)

TCVN 11930:2017 có phải mức tối đa cần làm không?

Không. Tiêu chuẩn này nêu yêu cầu cơ bản theo từng cấp độ. Chính phần giới thiệu của tiêu chuẩn cũng nêu rằng tổ chức có thể bổ sung thêm biện pháp sau khi đánh giá rủi ro để bảo đảm an toàn ở mức cao hơn, phù hợp đặc thù hệ thống. (Tổng công ty VTC)

💬 Chat Zalo ☎️ Hotline: 0346 844 259