Bộ tiêu chí an toàn thông tin cho camera giám sát

Đối tượng áp dụng Bộ tiêu chí này là các tổ chức, cá nhân Việt Nam và nước ngoài có liên quan đến hoạt động nghiên cứu, phát triển, sản xuất, đánh giá, lựa chọn và sử dụng thiết bị camera.

Bộ tiêu chí đưa ra và khuyến nghị áp dụng các yêu cầu kỹ thuật an toàn thông tin mạng cơ bản cho các thiết bị camera.

Đối với các yêu cầu kỹ thuật an toàn thông tin mạng ở mức cao hơn, các tổ chức, cá nhân căn cứ đặc thù, nhu cầu thực tiễn của mình để xem xét, quyết định.

Theo Bộ tiêu chí, thiết bị camera phải có tài liệu hướng dẫn sử dụng sản phẩm cho người sử dụng.

Đối với việc quản lý xác thực, thiết bị camera phải có chức năng quản trị hệ thống cho phép thay đổi thời gian khóa, số lần đăng nhập sai và khoảng thời gian đăng nhập sai liên tục; thiết lập mặc định khóa không cho đăng nhập trong vòng 05 phút, sau khi đăng nhập thất bại 05 lần liên tục trong khoảng thời gian 30 giây hoặc ngắn hơn.

Thiết bị camera phải chỉ thông tin cho người sử dụng nội dung đăng nhập thành công/thất bại mà không có nội dung khác làm cơ sở thực hiện tấn công vét cạn.

Thiết bị camera cũng cần có chức năng yêu cầu người dùng bắt buộc thay đổi mật khẩu mặc định hoặc mật khẩu khởi tạo khi sử dụng thiết bị lần đầu tiên; có chức năng kiểm soát mật khẩu an toàn, mật khẩu được tạo ra phải có yêu cầu về độ phức tạp đối với mật khẩu.

Thiết bị camera cần có chức năng xác thực cho phép xác thực nhiều loại đối tượng khác nhau như người dùng hoặc thiết bị với thiết bị với loại giá trị xác thực khác nhau; mật khẩu lưu trữ trên camera phải được mã hóa.

Đối với hệ thống quản lý lỗ hổng của thiết bị, nhà sản xuất có hệ thống trực tuyến cho phép tiếp nhận và công bố thông tin về lỗ hổng của thiết bị tới người sử dụng. 

Thiết bị camera, ứng dụng giao tiếp với người sử dụng phải có chức năng lựa chọn timeout cho phép tự động đăng xuất ứng dụng sau một khoảng thời gian.

Tạo khóa phiên cho người sử dụng khi đăng nhập thành công cần đáp ứng các yêu cầu sau: khóa phiên không có khả năng bị tấn công vét cạn; khóa phiên không được sinh cố định, có yếu tố ngẫu nhiên; khóa phiên không có khả năng bị khôi phục; có chức năng yêu cầu hủy phiên đăng nhập hoặc hủy phiên đăng nhập cũ khi người dùng đăng nhập lại.

Thiết bị cần có chức năng cho phép người sử dụng xóa dữ liệu được thu thập và lưu trữ trên thiết bị camera; có chức năng thông báo cho người sử dụng xóa dữ liệu thành công/thất bại trên thiết bị khi thực hiện chức năng xóa; có chức năng xác nhận người dùng đồng ý xóa dữ liệu trước khi thực hiện xóa.

Xem đầy đủ nội dung Bộ tiêu chí tại Quyết định 724/QĐ-BTTTT