Việc thực hiện Pentest hệ thống thông tin được quy định tại văn bản nào? và có yêu cầu nào đối với việc thực hiện pentest phải là đơn vị có yêu cầu như thế nào hay không?
Người anh em thân mến,
Việc thực hiện kiểm thử xâm nhập (pentest) hệ thống thông tin tại Việt Nam được quy định trong các văn bản pháp luật sau:
Luật An toàn thông tin mạng: Văn bản hợp nhất số 29/VBHN-VPQH năm 2018 quy định về bảo vệ thông tin cá nhân và an toàn thông tin mạng.
Nghị định 147/2024/NĐ-CP: Ban hành ngày 09/11/2024, quy định về quản lý, cung cấp và sử dụng dịch vụ Internet và thông tin trên mạng, bao gồm việc giám sát thông tin trên mạng.
Thông tư 21/2024/TT-BTTTT: Quy định về quy chuẩn kỹ thuật cho thiết bị camera giám sát sử dụng giao thức Internet, có liên quan đến việc đảm bảo an toàn thông tin mạng.
Về yêu cầu đối với đơn vị thực hiện pentest, các văn bản trên không quy định cụ thể về tiêu chuẩn hay điều kiện bắt buộc. Tuy nhiên, để đảm bảo chất lượng và hiệu quả của quá trình pentest, các tổ chức thường lựa chọn các đơn vị có:
Chứng chỉ chuyên môn: Như CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional), hoặc CISSP (Certified Information Systems Security Professional).
Kinh nghiệm thực tiễn: Đã thực hiện pentest cho các hệ thống tương tự.
Tuân thủ quy định pháp luật: Đảm bảo hoạt động pentest không vi phạm các quy định về an toàn thông tin và bảo vệ dữ liệu cá nhân.
Để cập nhật thông tin chi tiết và mới nhất, người anh em nên tham khảo trực tiếp các văn bản pháp luật liên quan hoặc liên hệ với cơ quan chức năng có thẩm quyền.