Công văn 272/CNTT-CSHT

Cục Công nghệ thông tin nhận được nhiều cảnh báo về nguy cơ mất an toàn dữ liệu được quản lý, lưu trữ, truyền tải thông tin trên môi trường mạng. Để đảm bảo an toàn các thông tin bí mật theo quy định của nhà nước, theo quy định của Bộ Y tế và các thông tin quan trọng của đơn vị, Cục Công nghệ thông tin đề nghị các đơn vị nghiêm túc thực hiện các biện pháp sau:

1. Phân loại, xây dựng quy trình quản lý thông tin: Phân loại, xác định các thông tin y tế thuộc phạm vi bí mật theo quy định của nhà nước, của Bộ Y tế và các thông tin quan trọng của đơn vị. Xây dựng quy định quản lý, khai thác các dữ liệu này trên môi trường mạng.

2. Trước mắt tổ chức thực hiện các biện pháp đảm bảo an toàn, bảo mật thông tin cho các dữ liệu trên, cụ thể:

a) Bảo vệ thiết bị

- Thực hiện các biện pháp bảo vệ vật lý (như có cửa bảo vệ, có cán bộ bảo vệ...) khu vực đặt các thiết bị máy tính quản lý, lưu trữ dữ liệu.

- Thực hiện các biện pháp bảo vệ phòng máy chủ quản lý, lưu trữ dữ liệu theo hướng dẫn tại Điều 6 tại Quyết định 4159/QĐ-BYT ngày 13/10/2014 của Bộ Y tế ban hành quy định về đảm bảo an toàn thông tin y tế điện tử tại các đơn vị trong ngành y tế.

- Thực hiện kiểm tra đối với việc mang thiết bị vào và thiết bị ra đối với phòng máy chủ quản lý, lưu trữ dữ liệu theo quy định tại Điểm b, Điểm c, Mục 1, phần III tại quyết định 4495/QĐ-BYT ngày 30/10/2015 của Bộ trưởng Bộ y tế về việc ban hành hướng dẫn xây dựng nội quy an toàn, an ninh thông tin trong các đơn vị trong ngành y tế đối với phòng máy chủ lưu trữ dữ liệu.

- Không được chụp ảnh, quay camera các thiết bị tại phòng máy chủ quản lý, lưu trữ dữ liệu khi không được sự đồng ý bằng văn bản của lãnh đạo đơn vị.

- Thực hiện việc hủy bỏ các thiết bị lưu trữ thông tin y tế theo hướng dẫn tại Điều 15 tại Quyết định 4159/QĐ-BYT ngày 13/10/2014 của Bộ Y tế ban hành quy định về đảm bảo an toàn thông tin y tế điện tử tại các đơn vị trong ngành y tế.

- Cài đặt các phần mềm hoặc thiết bị bảo vệ chống truy cập trái phép đối với các máy tính cá nhân sử dụng trong việc quản lý, lưu trữ, khai thác dữ liệu.

- Các thiết bị mạng đưa vào hoạt động hoặc rời khỏi mạng liên quan tới dữ liệu phải được sự đồng ý bằng văn bản của lãnh đạo đơn vị.

b) Bảo vệ dữ liệu

Thực hiện các biện pháp quản lý việc truy cập dữ liệu, cụ thể:

- Chỉ tạo tài Khoản truy cập và gán quyền truy cập cho các nhóm, cá nhân được phép truy cập vào dữ liệu theo quy định của đơn vị và của pháp luật;

- Ngừng ngay lập tức tài Khoản truy cập đối với nhóm, cá nhân không còn được phép truy cập vào dữ liệu;

- Xây dựng cơ chế kiểm soát việc truy cập vật lý và trực tuyến đối với dữ liệu theo Điểm a, Điểm đ, Mục 1; Điểm a, Điểm b, Điểm c, Điểm đ Mục 2, phần III tại quyết định 4495/QĐ-BYT ngày 30/10/2015 của Bộ trưởng Bộ y tế về việc ban hành hướng dẫn xây dựng nội quy an toàn, an ninh thông tin trong các đơn vị trong ngành y tế.

Đối với các hệ thống thông tin khai thác dữ liệu:

- Xây dựng cơ chế kiểm soát truy cập vào hệ thống dựa trên vai trò (Role-based Access Control);

- Áp dụng biện pháp xác thực hai yếu tố khi truy cập vào dữ liệu;

- Áp dụng các biện pháp xác thực, mã hóa, chữ ký số khi gửi và nhận dữ liệu;

- Thực hiện quản lý tài Khoản truy cập của người sử dụng theo quy định tại Điều 13, Chương II tại quyết định 4159/QĐ-BYT ngày 13/10/2014 của Bộ trưởng Bộ Y tế về việc ban hành quy định về đảm bảo an toàn thông tin y tế điện tử;

- Cấu hình hệ thống thông tin được chỉ được cài đặt, thay đổi khi được cho phép bằng văn bản của đơn vị;

- Triển khai cách thức lưu lại lịch sử truy cập vào dữ liệu;

- Thực hiện khóa dữ liệu ngay khi phát hiện có truy cập trái phép;

- Thực hiện các biện pháp bảo vệ cơ sở dữ liệu khi triển khai trên mạng nội bộ và Internet theo Điều 5, Chương II tại quyết định 4159/QĐ-BYT ngày 13/10/2014 của Bộ trưởng Bộ Y tế về việc ban hành quy định về đảm bảo an toàn thông tin y tế điện tử;

- Triển khai hệ thống giám sát truy cập vào hệ thống thông tin để phát hiện các hành vi bất thường khi truy cập, khai thác dữ liệu.

Xin trân trọng cảm ơn!