Bảo đảm An toàn thông tin theo cấp độ: Từ chính sách đến giải pháp

Toàn cảnh phiên chuyên đề “Đảm bảo ATTT theo cấp độ” tại Hội thảo quốc tế Ngày ATTT 2017

Hành lang pháp lý về bảo đảm ATTT cho HTTT cơ bản hoàn thiện

Luật ATTT mạng được thông qua vào năm 2015, chính thức có hiệu lực từ 01/7/2016. Đồng bộ với thời điểm Luật ATTT mạng có hiệu lực, nhiều văn bản hướng dẫn Luật ATTT được ban hành, trong đó có Nghị định số 85/NĐ-CP hướng dẫn thi hành Luật ATTT mạng về bảo đảm ATTT HTTT theo cấp độ. Bộ TTTT cũng đã ban hành Thông tư 03 ngày 24/4/2017 quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn HTTT theo cấp độ và có hiệu lực từ 01/7/2017.

“Cho đến thời điểm này, có thể nói hành lang pháp lý về bảo đảm ATTT tại Việt Nam và hành lang pháp lý quy định về quyền và trách nhiệm các bên liên quan trong bảo vệ HTTT là tương đối đầy đủ”, ông Dũng nhấn mạnh.

Theo ông Dũng, hành lang pháp lý bảo đảm ATTT được dựa trên 3 nguyên tắc: bảo vệ có trọng tâm, trọng điểm theo hướng ưu tiên thực hiện phân loại thông tin, HTTT và ưu tiên bảo vệ các hệ thống quan trọng hơn trước; Công tác bảo đảm ATTT là công tác mang tính thường xuyên, liên tục; Các hành lang pháp lý đều mang tính yêu cầu tối thiểu.

Đối với những lĩnh vực quan trọng, Thủ tướng Chính phủ đã có Quyết định 632/QĐ-TTg ngày 10/5/2017 ban hành “Danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm ATTT mạng và HTTT quan trọng quốc gia”, bao gồm 11 lĩnh vực: giao thông, năng lượng, tài nguyên và môi trường, thông tin, y tế, tài chính, ngân hàng, quốc phòng, an ninh, đô thị, chính quyền điện tử.

Ông Dũng cho biết, đây là 11 lĩnh vực quan trọng mà chúng ta đang tập trung nguồn lực bảo đảm ATTT mạng từ góc độ vĩ mô. Định kỳ hàng năm, Bộ TTTT sẽ phối hợp với các Bộ, ngành  tiến hành rà soát các hệ thống khác ngoài 11 lĩnh vực trên. Một số lĩnh vực cấp bách cần thiết sẽ được bổ sung vào danh sách. Một số lĩnh vực trong 11 lĩnh vực trên được bảo đảm ATTT rồi thì có thể xem xét đưa ra khỏi danh sách. Còn theo góc độ cụ thể của từng cơ quan, tổ chức, cấp độ an toàn HTTT được phân loại từ cấp độ 1 - 5. Cấp độ càng cao thì mức độ càng quan trọng để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ HTTT phù hợp theo cấp độ (Hình 1).

Hình 1: Phân loại và xác định cấp độ của hệ thống thông tin theo sự ảnh hưởng

HTTT cấp độ 1  là HTTT phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng. HTTT cấp độ 2 là những hệ thống ảnh hưởng đến lợi ích công cộng, ví dụ, website của các cơ quan công quyền, cung cấp thông tin, biểu mẫu phục vụ hành chính công của người, dân khi bị ảnh hưởng, gián đoạn, bị sai lệch sẽ bị ảnh hưởng công cộng ở mức độ nào đó.

HTTT cấp độ 3 là HTTT làm ảnh hưởng đến sản xuất, lợi ích công cộng, an ninh quốc phòng, an ninh quốc gia như các hệ thống thanh toán điện tử, cung cấp dịch vụ công mức độ 3, 4 khi bị phá hoại sẽ ảnh hưởng đến lợi ích của xã hội trên diện rộng.

HTTT cấp độ 4 là HTTT quốc gia phục vụ phát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc; HTTT điều khiển công nghiệp trực tiếp phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng câp I theo phân cấp của pháp luật về xây dựng.

HTTT cấp độ 5 là HTTT xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia; hoặc là HTTT phục vụ lưu trữ dữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọng của quốc gia; hoặc là hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế…

“HTTT cấp độ 4, 5 rất quan trọng, đặc biệt HTTT cấp độ 5 sẽ ảnh hưởng đặc biệt nghiêm trọng đến quốc phòng, quốc gia như hệ thống điều khiển vệ tinh viễn thông, hệ thống chuyển mạch phục vụ kết nối Internet việt Nam ra quốc tế…”, ông Dũng nhấn mạnh.

Cùng với việc phân loại HTTT, Nghị định 85/NĐ-CP và Thông tư 03 đã hướng dẫn quy trình, các bước để cơ quan chủ quản HTTT phân loại HTTT và tiến hành các bước bảo vệ HTTT.

Hình 2: Chu trình bảo đảm ATTT

Thông tư 03 của Bộ TTTT đưa ra những yêu cầu tối thiểu gồm 5 bước (thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ) phải tuân thủ theo những chuẩn mực nào nên HTTT cấp độ càng cao thì càng có yêu cầu nghiêm ngặt hơn. Thông tư 03 bắt buộc áp dụng đối với tất cả cơ quan, tổ chức thiết lập HTTT cung cấp dịch vụ phục vụ cho công cộng khi bị phá hoại ảnh hưởng đến lợi ích công cộng, không chỉ bao gồm các cơ quan hành chính nhà nước, mà còn các tổ chức ngân hàng, cung cấp dịch vụ, giao dịch thương mại điện tử, trực tuyến…

Cùng với việc ban hành Thông tư 03, Bộ TTTT và Bộ KHCN đã ban hành tiêu chuẩn TCVN 119300:2017 ngày 25/9/2017. Theo ông Nguyễn Huy Dũng, do ATTT là lĩnh vực mới, việc ban hành tiêu chuẩn này mang tính khuyến nghị áp dụng. Sau đó, Bộ TTTT sẽ tiếp nhận khuyến nghị, phản ánh để tiến tới ban hành quy chuẩn quốc gia để bắt buộc áp dụng.

Việc xây dựng TCVN được Bộ TTTT và Bộ KHCN nghiên cứu dựa trên Bộ tiêu chuẩn ISO 27000 cũng như Bộ tiêu chuẩn SP 800 của Viện tiêu chuẩn và công nghệ quốc gia Hoa Kỳ (NIST), lựa chọn những yếu tố phù hợp với Việt  Nam. Cơ quan, tổ chức nào đáp ứng các chuẩn quốc tế ISO và của NIST thì cũng đáp ứng TCVN Việt Nam 119300:2017.

Thực thi bảo đảm ATTT đối với HTTT

Trên cơ sở văn bản pháp lý ATTT cơ bản hoàn thiện, đại diện Cục ATTT cho biết đã đến lúc thực thi trong thực tế. Nếu có những vấn đề gì phát sinh sẽ được điều chỉnh kịp thời.

Tuy có nhiều việc phải làm, nhưng theo ông Dũng cho biết mỗi cơ quan, tổ chức cần phải xác định công tác bảo đảm ATTT bắt đầu từ đâu. “Công tác bảo đảm ATTT không phụ thuộc vào chúng ta mạnh cái gì nhất mà phụ thuộc vào cái gì chúng ta yếu nhất bởi nguy cơ thường đến từ những gì chúng ta yếu nhất”, ông Dũng cho hay.

Theo đại diện Cục ATTT, mỗi một cơ quan tổ chức có một yếu tố đặc thù. Hành lang pháp lý đã quy định như vậy nhưng để chọn điểm bắt đầu của việc bảo đảm ATTT cho HTTT cụ thể thì cơ quan, tổ chức phải tự đánh giá tình hình thực tiễn từ chính đơn vị mình để bắt đầu công tác bảo đảm ATTT từ điểm yếu nhất mà tổ chức thấy trong HTTT của đơn vị mình.

Theo nhận định của Cục ATTT, điểm yếu nhất của chúng ta hiện nay cần phải khắc phục là nhận thức của người dùng, bao gồm cả người dùng cuối đến cán bộ kỹ thuật, cán bộ quản trị, kể cả nhận thức của lãnh đạo cao nhất.

Bên cạnh xác định cấp độ để phân loại HTTT, áp dụng các biện pháp bảo đảm ATTT theo cấp độ, Cục ATTT mong các tổ chức cần cân bằng hài hòa những yếu tố về con người, giải pháp, quy trình, cân bằng giữa các yếu tố đầu tư một lần, chi thường xuyên, đào tạo, diễn tập…

Bộ TTTT cũng đang phối hợp với Bộ Tài chính để hoàn thiện dự thảo Thông tư của Bộ Tài chính để hướng dẫn chi thường xuyên từ ngân sách nhà nước để phục vụ cho các hoạt động bảo đảm ATTT, để các cơ quan, đơn vị có điều kiện định kỳ hàng năm kiểm tra đánh giá ATTT, triển khai đào tạo, diễn tập ATTT… để các cơ quan lập dự toán và các DN sẽ có thị trường rộng hơn. Thông qua đó tạo ra được một trường minh bạch, công bằng để các bên cùng tham gia sao cho rõ quyền và trách nhiệm của các bên, đại diện Cục ATTT cho hay.