Bộ Thông tin và Truyền thông đã ban hành Bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát
Ngày
07/05/2024, Bộ Thông tin và Truyền thông đã ban hành Quyết định số 724/QĐ-BTTTT
về việc ban hành Bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho
camera giám sát. Văn bản này đưa ra và khuyến nghị áp dụng các yêu cầu kỹ thuật
an toàn thông tin mạng cơ bản cho thiết bị camera giám sát sử dụng giao thức mạng
(gọi tắt là thiết bị camera). Đối với các yêu cầu kỹ thuật an toàn thông tin mạng ở mức cao hơn, các tổ
chức, cá nhân căn cứ đặc thù, nhu cầu thực tiễn của mình để xem xét, quyết định.
Đối tượng áp dụng văn bản khuyến nghị áp dụng đối
với các tổ chức, cá nhân Việt Nam và nước ngoài có liên quan đến hoạt động
nghiên cứu, phát triển, sản xuất, đánh giá, lựa chọn và sử dụng thiết bị
camera.
Theo Quyết định số 724/QĐ-BTTTT, bộ tiêu chí an
toàn thông tin mạng cho camera giám sát gồm 10 tiêu chí: Yêu cầu về tài liệu;
quản lý xác thực; quản lý lỗ hổng bảo mật; quản lý và thực hiện cập nhật; quản
lý phiên an toàn; quản lý kênh giao tiếp; quản lý giao diện; bảo đảm an toàn
thông tin dữ liệu người sử dụng; an toàn ứng dụng; khả năng tự khôi phục lại hệ
thống bình thường sau sự cố.
Một trong những tiêu chí quan trọng theo quyết
định này là tiêu chí An toàn ứng dụng. Theo đó thiết bị camera phải có các tính
năng sau: (1) Kiểm tra tính hợp lệ của dữ liệu đầu vào do người sử dụng nhập hoặc
qua giao diện lập trình. (2) Ngăn chặn quá trình xử lý dữ liệu đầu vào vi phạm
điều kiện lọc đã định nghĩa trước theo nhà sản xuất. (3) Kiểm tra tính hợp lệ của
dữ liệu để ngăn chặn các dạng tấn công vào giao diện của thiết bị. Các dạng tấn
công bao gồm nhưng không giới hạn những dạng sau: SQL Injection; OS Command
Injection; XPath Injection; Remote File Inclusion (RFI); Local File Inclusion
(LFI); Cross-Site Scripting (XSS); Cross-Site Request Forgery (CSRF).
Ngoài ra, quyết định này cũng chỉ rõ các tiêu
chí về bảo đảm an toàn thông tin dữ liệu người sử dụng. Cụ thể
Bảo vệ dữ liệu cá nhân
Thiết bị camera và các dịch vụ liên kết có tối
thiểu tính năng cho phép thiết lập, cấu hình địa điểm tại Việt Nam đối với việc
xử lý, lưu trữ và khai thác dữ liệu (như: trên thẻ nhớ/thiết bị ngoại vi, dịch
vụ điện toán đám mây đặt tại Việt Nam,...) nhằm đảm bảo tuân thủ quy định của
pháp luật Việt Nam về bảo vệ dữ liệu cá nhân.
Cảm biến thu thập dữ liệu
Tài liệu hướng dẫn sử dụng (hoặc tài liệu tương
đương được công bố công khai) phải liệt kê danh mục các cảm biến được sử dụng bởi
thiết bị camera và mô tả chức năng, nguyên lý hoạt động của từng cảm biến được
thiết bị camera sử dụng.
Thông báo liên quan đến bảo vệ dữ liệu cá nhân
Trong quá trình khởi tạo, thiết lập, cấu hình
thiết bị, phải có giao diện thông báo cho người sử dụng về địa điểm (quốc gia)
lưu trữ và xử lý dữ liệu được thu thập bởi thiết bị camera và các dịch vụ liên
kết.
Xóa dữ liệu trên thiết bị camera
Có chức năng cho phép người sử dụng xóa dữ liệu
được thu thập và lưu trữ trên thiết bị camera. Có chức năng thông báo cho người
sử dụng xóa dữ liệu thành công/thất bại trên thiết bị khi thực hiện chức năng
xóa. Có chức năng xác nhận người dùng đồng ý xóa dữ liệu trước khi thực hiện
xóa.
Xóa dữ liệu trên dịch vụ liên kết
Có chức năng cho phép người sử dụng xóa dữ liệu
lưu trữ trên các dịch vụ liên kết. Có chức năng thông báo cho người sử dụng xóa
dữ liệu thành công/thất bại trên các dịch vụ liên kết khi thực hiện chức năng
xóa. Có chức năng cho phép người sử dụng thiết lập thời gian xóa dữ liệu tự động
dữ liệu trên dịch vụ liên kết. Thời gian xóa được người sử dụng thiết lập trên
camera hoặc theo thời gian mặc định của nhà sản xuất. Có chức năng xác nhận người
sử dụng đồng ý xóa dữ liệu trước khi thực hiện xóa.