Bộ TT&TT vừa ban hành Quyết định số 724/QĐ-BTTTT về Bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát với 10 yêu cầu cơ bản bao gồm: Yêu cầu về tài liệu; Quản lý xác thực; Quản lý lỗ hổng bảo mật; Quản lý và thực hiện cập nhật; Quản lý phiên an toàn; Quản lý kênh giao tiếp; Quản lý giao diện; Bảo vệ dữ liệu cá nhân; An toàn ứng dụng và khả năng tự khôi phục lại hệ thống bình thường sau sự cố.
Bộ TT&TT khuyến cáo các tổ chức, đơn vị, doanh nghiệp và cá nhân lựa chọn những loại camera giám sát đáp ứng được các tiêu chí về yêu cầu an toàn thông tin mạng cơ bản.
Về yêu cầu tài liệu, Bộ TT&TT chỉ rõ, nhà sản xuất phải có tài liệu hướng dẫn sử dụng đi kèm, được công bố công khai, phải liệt kê danh mục các cảm biến được sử dụng, đồng thời mô tả chức năng, nguyên lý hoạt động của từng cảm biến bên trong.
Camera giám sát phải có tính năng quản lý xác thực và phòng chống tấn công vét cạn. Thiết bị đảm bảo tiêu chuẩn phải có chức năng quản trị hệ thống cho phép thay đổi thời gian khóa, số lần đăng nhập sai và khoảng thời gian đăng nhập sai liên tục; thiết lập mặc định khóa không cho đăng nhập trong vòng 5 phút, sau khi đăng nhập thất bại 5 lần liên tục trong khoảng thời gian 30 giây hoặc ngắn hơn.
Camera giám sát phải có chức năng yêu cầu người dùng bắt buộc thay đổi mật khẩu mặc định hoặc mật khẩu khởi tạo khi sử dụng thiết bị lần đầu tiên. Thiết bị phải có chức năng kiểm soát mật khẩu an toàn. Mật khẩu được tạo ra phải có yêu cầu về độ phức tạp đối với mật khẩu (mật khẩu phải có độ dài tối thiểu 8 ký tự, có chữ hoa, chữ thường, chữ số, ký tự đặc biệt). Cơ chế khởi tạo mật khẩu sử dụng phương pháp sinh mã có giá trị ngẫu nhiên. Mật khẩu lưu trữ trên camera phải được mã hóa.
Để đối phó với các nguy cơ bị tấn công, nhà sản xuất thiết bị phải có hệ thống trực tuyến cho phép tiếp nhận và công bố thông tin về lỗ hổng bảo mật tới người dùng, có mô tả về các phiên bản bị ảnh hưởng và có hướng dẫn cập nhật, xử lý lỗ hổng.
Bên cạnh đó, nhà sản xuất phải có hệ thống quản lý cập nhật trực tuyến để công bố thông tin về các phiên bản cập nhật, quản lý và thực hiện cập nhật đối với các thiết bị camera có chức năng kết nối Internet.
Bộ TT&TT cũng yêu cầu thiết bị phải có chức năng lựa chọn cho phép tự động đăng xuất ứng dụng sau một khoảng thời gian, đồng thời tạo khóa phiên an toàn cho người sử dụng khi đăng nhập thành công. Trong đó, khóa phiên phải đảm bảo không có khả năng bị tấn công vét cạn, không được sinh cố định, có yếu tố ngẫu nhiên, không có khả năng bị khôi phục và yêu cầu hủy phiên đăng nhập hoặc hủy phiên đăng nhập cũ khi người dùng đăng nhập lại….
Các loại camera trôi nổi trên thị trường không được kiểm soát về chất lượng lẫn đảm bảo về yêu cầu lưu trữ dữ liệu sẽ mang theo những nguy cơ lợi bất cập hại cho người dùng.
Bộ TT&TT đặc biệt lưu ý, camera giám sát phải bảo đảm an toàn dữ liệu người dùng. Theo đó, camera và các dịch vụ liên kết bắt buộc phải có tối thiểu tính năng cho phép thiết lập, cấu hình địa điểm tại Việt Nam đối với việc xử lý, lưu trữ và khai thác dữ liệu (như: trên thẻ nhớ/thiết bị ngoại vi, dịch vụ điện toán đám mây đặt tại Việt Nam,...) nhằm đảm bảo tuân thủ quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân.
Thiết bị phải có giao diện thông báo cho người sử dụng về địa điểm (quốc gia) lưu trữ và xử lý dữ liệu được thu thập bởi thiết bị camera và các dịch vụ liên kết.
Camera giám sát phải có chức năng cho phép người sử dụng xóa dữ liệu được thu thập và lưu trữ trên thiết bị camera, có chức năng thông báo cho người sử dụng xóa dữ liệu thành công/thất bại trên thiết bị khi thực hiện chức năng xóa, có chức năng xác nhận người dùng đồng ý xóa dữ liệu trước khi thực hiện xóa. Việc xóa dữ liệu cũng phải khả dụng đối với các dịch vụ liên kết. Thời gian xóa dữ liệu được người sử dụng thiết lập trên camera hoặc theo thời gian mặc định của nhà sản xuất. Có chức năng xác nhận người sử dụng đồng ý xóa dữ liệu trước khi thực hiện xóa.
Các loại camera giám sát cũng phải có các tính năng kiểm tra tính hợp lệ của dữ liệu đầu vào do người sử dụng nhập hoặc qua giao diện lập trình, ngăn chặn quá trình xử lý dữ liệu đầu vào vi phạm điều kiện lọc đã định nghĩa trước theo nhà sản xuất, kiểm tra tính hợp lệ của dữ liệu để ngăn chặn các dạng tấn công vào giao diện của thiết bị.
Về đối tượng áp dụng, Bộ TT&TT đặc biệt khuyến nghị Bộ tiêu chí được áp dụng đối với các tổ chức, cá nhân Việt Nam và nước ngoài có liên quan đến hoạt động nghiên cứu, phát triển, sản xuất, đánh giá, lựa chọn và sử dụng thiết bị camera.
