​Bộ trưởng Bộ Thông tin và Truyền thông ban hành Quyết định số 724/QĐ-BTTTT ​​ban hành Bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát.​​​

​​Tài liệu này đưa ra và khuyến nghị áp dụng các yêu cầu kỹ thuật an toàn thông tin mạng cơ bản cho thiết bị camera giám sát sử dụng giao thức mạng (gọi tắt là thiết bị camera). Đối với các yêu cầu kỹ thuật an toàn thông tin mạng ở mức cao hơn, các tổ chức, cá nhân căn cứ đặc thù, nhu cầu thực tiễn của mình để xem xét, quyết định.​

Bộ tiêu chí nêu rõ các yêu cầu cơ bản gồm:

Yêu cầu về tài liệu: Có tài liệu hướng dẫn sử dụng sản phẩm cho người sử dụng.

Quản lý xác thực: Có chức năng quản trị hệ thống cho phép thay đổi thời gian khóa, số lần đăng nhập sai và khoảng thời gian đăng nhập sai liên tục; Thiết lập mặc định khóa không cho đăng nhập trong vòng 5 phút, sau khi đăng nhập thất bại 5 lần liên tục trong khoảng thời gian 30 giây hoặc ngắn hơn. Chỉ thông tin cho người sử dụng nội dung đăng nhập thành công/thất bại mà không có nội dung khác làm cơ sở thực hiện tấn công vét cạn.

Có chức năng yêu cầu người dùng bắt buộc thay đổi mật khẩu mặc định hoặc mật khẩu khởi tạo khi sử dụng thiết bị lần đầu tiên. Có chức năng kiểm soát mật khẩu an toàn. Mật khẩu được tạo ra phải có yêu cầu về độ phức tạp đối với mật khẩu (mật khẩu phải có độ dài tối thiểu 8 ký tự, có chữ hoa, chữ thường, chữ số, ký tự đặc biệt). Sử dụng hàm băm SHA-256 hoặc cao hơn.

Khởi tạo mật khẩu mặc định an toàn. Mật khẩu khởi tạo mặc định trên thiết bị camera và các dịch vụ liên kết (nếu có) phải đáp ứng các yêu cầu sau: Có độ dài tối thiểu 8 ký tự, có chữ hoa, chữ thường, chữ số, ký tự đặc biệt. Cơ chế khởi tạo mật khẩu sử dụng phương pháp sinh mã có giá trị ngẫu nhiên. Cơ chế khởi tạo mật khẩu không dùng các thông tin công khai (ví dụ: địa chỉ MAC; chuỗi định danh Wifi SSID; tên sản phẩm; loại sản phẩm;...). Là khác nhau đối với mỗi thiết bị camera khác nhau.

Có chức năng xác thực cho phép xác thực nhiều loại đối tượng khác nhau như người dùng hoặc thiết bị với thiết bị với loại giá trị xác thực khác nhau. Mật khẩu lưu trữ trên camera phải được mã hóa.

Quản lý lỗ hổng bảo mật: Nhà sản xuất có hệ thống trực tuyến cho phép tiếp nhận và công bố thông tin về lỗ hổng của thiết bị tới người sử dụng.

Yêu cầu đối với thông tin công bố lỗ hổng bảo mật của thiết bị: Có mô tả về lỗ hổng, phân loại và xác định mức độ nghiêm trọng; về các phiên bản bị ảnh hưởng. Có hướng dẫn cập nhật, xử lý lỗ hổng.

Quản lý và thực hiện cập nhật: Nhà sản xuất có hệ thống trực tuyến cho phép công bố thông tin về các phiên bản cập nhật; Quản lý và thực hiện cập nhật đối với các thiết bị camera có chức năng kết nối Internet.

Thông tin phiên bản cập nhật bao gồm tối thiểu các thông tin: Phiên bản phần mềm hệ thống. Mã kiểm tra an toàn đối với phần mềm hệ thống. Có mô tả về thông tin phần mềm hệ thống được cập nhật.

Yêu cầu đối với chức năng cập nhật phiên bản qua Internet: Chức năng cập nhật phải được thực hiện qua kênh kết nối mạng an toàn có phương pháp mã hóa an toàn đáp ứng yêu cầu tại Mục 6.1 tài liệu này. Có chức năng xác thực trước khi thực hiện cập nhật. Có chức năng thông báo khi có phiên bản cập nhật mới khi người dùng đăng nhập, quản trị thiết bị. Có chức năng thiết lập cho phép thiết bị tự động cập nhật bản vá từ nhà sản xuất. Có chức năng kiểm tra tính nguyên vẹn của bản cập nhật có sử dụng chữ ký số của nhà sản xuất.

Quản lý phiên an toàn gồm: Quản lý phiên đăng nhập; Tạo khóa phiên an toàn

Quản lý kênh giao tiếp gồm: Yêu cầu đối với các giao tiếp kết nối an toàn; Truy cập cấu hình thiết bị an toàn

Quản lý giao diện gồm: Bảo mật thông tin xác thực; Quản lý giao diện logic và mạng; Quản lý giao diện gỡ lỗi; Quản lý giao diện vật lý.

Bảo đảm an toàn thông tin dữ liệu người sử dụng gồm: Bảo vệ dữ liệu cá nhân, thiết bị camera và các dịch vụ liên kết có tối thiểu tính năng cho phép thiết lập, cấu hình địa điểm tại Việt Nam đối với việc xử lý, lưu trữ và khai thác dữ liệu (như: trên thẻ nhớ/thiết bị ngoại vi, dịch vụ điện toán đám mây đặt tại Việt Nam,...) nhằm đảm bảo tuân thủ quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân; Cảm biến thu thập dữ liệu, tài liệu hướng dẫn sử dụng (hoặc tài liệu tương đương được công bố công khai) phải liệt kê danh mục các cảm biến được sử dụng bởi thiết bị camera và mô tả chức năng, nguyên lý hoạt động của từng cảm biến được thiết bị camera sử dụng; Thông báo liên quan đến bảo vệ dữ liệu cá nhân; Xóa dữ liệu trên thiết bị camera; Xóa dữ liệu trên dịch vụ liên kết.

An toàn ứng dụng: Thiết bị camera phải có các tính năng kiểm tra tính hợp lệ của dữ liệu đầu vào do người sử dụng nhập hoặc qua giao diện lập trình; Ngăn chặn quá trình xử lý dữ liệu đầu vào vi phạm điều kiện lọc đã định nghĩa trước theo nhà sản xuất; Kiểm tra tính hợp lệ của dữ liệu để ngăn chặn các dạng tấn công vào giao diện của thiết bị. Các dạng tấn công bao gồm nhưng không giới hạn những dạng sau: SQL Injection; OS Command Injection; XPath Injection; Remote File Inclusion (RFI); Local File Inclusion (LFI); Cross-Site Scripting (XSS); Cross-Site Request Forgery (CSRF).

Khả năng tự khôi phục lại hệ thống bình thường sau sự cố: ​Trong trường hợp thiết bị phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), thiết bị đảm bảo hoạt động bình thường trong lần khởi động kế tiếp./.​

Quyết định: QD724.BTTTT.2024.pdf

​​​