Quyết định 736/QĐ-BTTTT năm 2021 về Danh mục yêu cầu cơ bản bảo đảm an toàn thông tin mạng cho thiết bị IoT tiêu dùng do Bộ trưởng Bộ Thông tin và Truyền thông ban hành
| Số hiệu | 736/QĐ-BTTTT |
| Ngày ban hành | 31/05/2021 |
| Ngày có hiệu lực | 31/05/2021 |
| Loại văn bản | Quyết định |
| Cơ quan ban hành | Bộ Thông tin và Truyền thông |
| Người ký | Nguyễn Huy Dũng |
| Lĩnh vực | Công nghệ thông tin |
|
BỘ
THÔNG TIN VÀ |
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: 736/QĐ-BTTTT |
Hà Nội, ngày 31 tháng 5 năm 2021 |
BAN HÀNH DANH MỤC YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG CHO THIẾT BỊ IOT TIÊU DÙNG
BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;
Theo đề nghị của Cục trưởng Cục An toàn thông tin.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Danh mục yêu cầu cơ bản bảo đảm an toàn thông tin mạng cho thiết bị IoT tiêu dùng.
Điều 2. Khuyến nghị áp dụng Danh mục tại Điều 1 Quyết định này trong việc bảo đảm an toàn thông tin mạng cho thiết bị IoT tiêu dùng.
Điều 3. Cục An toàn thông tin chủ trì, phối hợp với các cơ quan, đơn vị liên quan hướng dẫn, kiểm tra, đánh giá việc áp dụng các yêu cầu theo Danh mục tại Điều 1 Quyết định này.
Điều 4. Quyết định này có hiệu lực thi hành kể từ ngày ký.
Điều 5. Chánh Văn phòng, Cục trưởng Cục An toàn thông tin, Thủ trưởng các đơn vị thuộc Bộ, các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
|
|
KT. BỘ TRƯỞNG |
YÊU CẦU BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG CHO THIẾT BỊ IOT TIÊU DÙNG
(Ban hành kèm theo Quyết định số 736/QĐ-BTTTT
ngày 31 tháng 5 năm
2021 của Bộ trưởng Bộ Thông tin và Truyền thông)
|
STT |
Tên yêu cầu |
Quy định áp dụng |
|
I |
Yêu cầu về an toàn thông tin mạng cho thiết bị IoT tiêu dùng |
|
|
1 |
Không sử dụng mật khẩu mặc định dùng chung |
Chấp thuận nguyên vẹn yêu cầu tại mục 5.1, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements |
|
2 |
Triển khai biện pháp quản lý báo cáo về các lỗ hổng bảo mật |
Chấp thuận nguyên vẹn yêu cầu tại mục 5.2, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements |
|
3 |
Bảo đảm phần mềm trên thiết bị luôn được cập nhật |
Chấp thuận nguyên vẹn yêu cầu tại mục 5.3, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements. |
|
4 |
Lưu trữ an toàn các tham số bảo mật nhạy cảm |
Chấp thuận nguyên vẹn yêu cầu tại mục 5.4, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements |
|
5 |
Sử dụng các giao tiếp kết nối an toàn |
Chấp thuận nguyên vẹn yêu cầu tại mục 5.5, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements |
|
6 |
Hạn chế tối thiểu các bề mặt cho phép tấn công, khai thác |
Chấp thuận nguyên vẹn yêu cầu tại mục 5.6, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements |
|
7 |
Bảo đảm tính nguyên vẹn của phần mềm |
Chấp thuận nguyên vẹn yêu cầu tại mục 5.7, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements |
|
8 |
Bảo đảm an toàn thông tin dữ liệu cá nhân |
Chấp thuận nguyên vẹn yêu cầu tại mục 5.8, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements |
|
9 |
Khả năng tự khôi phục lại hệ thống bình thường sau sự cố |
Chấp thuận nguyên vẹn yêu cầu tại mục 5.9, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements |
|
10 |
Cho phép kiểm tra, đánh giá dữ liệu hệ thống từ xa |
Chấp thuận nguyên vẹn yêu cầu tại mục 5.10, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements |
|
11 |
Cho phép người dùng dễ dàng xóa dữ liệu cá nhân |
Chấp thuận yêu cầu tại mục 5.11, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements. Loại bỏ “including the GDPR” trong 5.11-2 do đây là Luật Bảo vệ dữ liệu chung áp dụng cho châu Âu. |
|
12 |
Dễ dàng cài đặt và bảo trì thiết bị |
Chấp thuận nguyên vẹn yêu cầu tại mục 5.12, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements |
|
13 |
Khả năng kiểm tra tính hợp lệ của dữ liệu đầu vào |
Chấp thuận nguyên vẹn yêu cầu tại mục 5.13, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements |
|
II |
Yêu cầu về bảo vệ dữ liệu cá nhân cho thiết bị IoT tiêu dùng |
Chấp thuận nguyên vẹn yêu cầu tại mục 6, tiêu chuẩn ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements |
CÁC THUẬT NGỮ, ĐỊNH NGHĨA
(Ban hành kèm theo Quyết định số 736/QĐ-BTTTT
ngày 31 tháng 5 năm
2021 của Bộ trưởng Bộ Thông tin và Truyền thông)
Thiết bị IoT tiêu dùng là thiết bị kết nối mạng (hoặc có thể kết nối mạng) có mối quan hệ với các dịch vụ liên kết và được người tiêu dùng sử dụng trong gia đình hoặc làm thiết bị đeo điện tử.
CHÚ THÍCH 1: Các thiết bị IoT tiêu dùng cũng thường được sử dụng trong kinh doanh. Các thiết bị này vẫn được phân loại là thiết bị IoT tiêu dùng.
CHÚ THÍCH 2: Các thiết bị IoT tiêu dùng thường được bày bán trong cửa hàng bán lẻ. Các thiết bị IoT tiêu dùng cũng có thể được vận hành và/hoặc cài đặt bằng dịch vụ chuyên nghiệp.
Một danh sách không đầy đủ về thiết bị IoT tiêu dùng bao gồm:
- Đồ chơi trẻ em và màn hình theo dõi, giám sát trẻ em được kết nối mạng;