Bộ Tài chính đảm bảo an toàn thông tin mạng

Bộ Tài chính xác định bảo đảm an toàn, an ninh mạng (ATANM) được coi là yếu tố then chốt để chuyển đổi số (CĐS) thành công và bền vững, đồng thời là phần xuyên suốt, không thể tách rời của CĐS.
09:06 AM 19/01/2021 In bài viết này

Chính vì vậy, Bộ Tài chính luôn ưu tiên bố trí kinh phí cho công tác ứng cứu sự cố, bảo đảm ATTTM, bao gồm: mua sắm, duy trì, nâng cấp sản phẩm ATTTM; thuê dịch vụ đánh giá ATTTM, dịch vụ giám sát ATTTM, huấn luyện và diễn tập ứng cứu sự cố ATTTM. Tỷ lệ kinh phí cho ATTTM so với tổng kinh phí chi cho CNTT năm 2020 của Bộ Tài chính đạt 12%.

Hiện trạng tổ chức và nguồn nhân lực bảo đảm ATTTM

Tại Quy chế An toàn thông tin mạng Bộ Tài chính ban hành theo Quyết định số 201/QĐ-BTC ngày 12/02/2020, Bộ Tài chính đã chỉ định các bộ phận đầu mối chịu trách nhiệm về an toàn thông tin (ATTT) như sau: Cục Tin học Thống tài chính đơn vị chuyên trách về an toàn thông tin cấp Bộ; Cục CNTT các Tổng cục thuộc Bộ đơn vị chuyên trách về ATTT cấp Tổng cục thuộc Bộ; Bộ phận chuyên trách về CNTT thuộc doanh nghiệp (DN) (phòng CNTT hoặc đơn vị, bộ phận chức năng tương đương) đơn vị chuyên trách về ATTT của DN.

Bộ tài chính đảm bảo an toàn thông tin mạng - Ảnh 1.

Theo đó, Cục Tin học Thống tài chính các Cục CNTT thuộc Kho bạc Nhà nước, Tổng cục Thuế, Tổng cục Hải quan đã thành lập phòng Quản an toàn/an ninh thông tin từ năm 2013; Cục CNTT thuộc Ủy ban Chứng khoán Nhà nước thành lập phòng quản an ninh thông tin đầu năm 2016. Các phòng quản an toàn/an ninh thông tin này nhân sự từ 2-7 người. Ngoài phòng quản an toàn/an ninh thông tin, cán bộ quản trị hệ thống của một số đơn vị cũng trực tiếp tham gia công tác bảo đảm an toàn an ninh thông tin của đơn vị (trực tiếp quản trị, vận hành hệ thống an ninh mạng).

Việc phân công Lãnh đạo phụ trách an toàn thông tin mạng Bộ Tài chính thực tế như sau: Thứ trưởng Bộ Tài chính phụ trách lĩnh vực CNTT của Bộ Tài chính đồng thời phụ trách công tác bảo đảm an toàn thông tin của Bộ Tài chính; Phó Tổng cục trưởng các Tổng cục thuộc Bộ, Phó Cục trưởng Cục Tin học Thống tài chính được giao trách nhiệm phụ trách lĩnh vực CNTT của đơn vị đồng thời phụ trách công tác bảo đảm an toàn thông tin của đơn vị; Tại Cục CNTT các Tổng cục thuộc Bộ, Cục trưởng hoặc Phó Cục trưởng phụ trách trực tiếp bộ phận chuyên trách về an toàn thông tin (phòng Quản lý an toàn/an ninh thông tin).

Bên cạnh đó, các đơn vị chuyên trách về ATTTM của Bộ Tài chính đều đã thành lập Đội ứng cứu sự cố ATTTM và chỉ định đầu mối ứng cứu sự cố. Hàng năm, Bộ Tài chính tổ chức từ 02-04 khóa đào tạo chuyên sâu về ATTTM cho cán bộ chuyên trách, cán bộ kiêm nhiệm về ATTTM của Bộ và các đơn vị thuộc Bộ.

Ngoài ra, Bộ Tài chính thường xuyên tuyên truyền, nâng cao nhận thực và trách nhiệm về an toàn thông tin cho cán bộ thuộc Bộ thông qua các hình thức: đào tạo cơ bản về ATTTM; cảnh báo, hướng dẫn về ATTTM bằng văn bản hoặc qua thư điện tử.

Ban hành quy định và chính sách về bảo đảm ATTTM

Bộ Tài chính đã lần lượt ban hành các quy định, quy chế sau về ATTT: Quyết định số 2615/QĐ-BTC ngày 19/10/2012 của Bộ trưởng Bộ Tài chính ban hành Quy định về việc đảm bảo ATTT trên môi trường máy tính và mạng máy tính; Quyết định số 3317/QĐ-BTC ngày 24/12/2014 của Bộ trưởng Bộ Tài chính ban hành Quy định về việc đảm bảo ATTT trên môi trường máy tính và mạng máy tính (thay thế Quyết định số 2615/QĐ-BTC); Quyết định số 627/QĐ-BTC ngày 05/4/2017 của Bộ trưởng Bộ Tài chính về việc sửa đổi, bổ sung một số điều của Quy định về việc đảm bảo ATTT trên môi trường máy tính và mạng máy tính ban hành kèm theo Quyết định số 3317/QĐ- BTC ngày 24/12/2014; Quyết định số 201/QĐ-BTC ngày 12/02/2018 của Bộ trưởng Bộ Tài chính về việc ban hành Quy chế ATTT mạng Bộ Tài chính (thay thế Quyết định số 3317/QĐ-BTC và Quyết định số 627/QĐ-BTC).

Bộ tài chính đảm bảo an toàn thông tin mạng - Ảnh 2.

Ngoài ra, Bộ Tài chính cũng đã ban hành kế hoạch triển khai các hoạt động liên quan đến công tác đào tạo, phát triển nguồn nhân lực an toàn, an ninh thông tin; tuyên truyền, phổ biến, nâng cao nhận thức trách nhiệm về ATTT; triển khai các biện pháp tăng cường năng lực phòng chống phần mềm độc hại; triển khai phương án công tác giám sát an toàn hệ thống thông tin; triển khai phương án bảo đảm ATTT tổng thể; xây dựng phương án ứng cứu khẩn cấp bảo đảm ATTT mạng; đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho các cán bộ, bộ phận chuyên trách ứng cứu sự cố ATTT mạng: Bộ Tài chính đã Thông báo số 313/TB-BTC ngày 09/5/2018 về ý kiến chỉ đạo của Lãnh đạo Bộ về việc triển khai Quy chế ATTT mạng Bộ Tài chính, trong đó yêu cầu các đơn vị thuộc Bộ lập kế hoạch triển khai tất cả các hoạt động liên quan đến ATTTM theo quy định của Nhà nước của Bộ Tài chính tới năm 2020. Bộ Tài chính đã tổng hợp các kế hoạch này, gửi Bộ TT&TT tại công văn số 843/ BTC-THTK ngày 17/7/2018.

 Phòng, chống phần mềm độc hại

Bộ Tài chính và các đơn vị thuộc Bộ đều đã triển khai hệ thống quản trị phòng, chống mã độc tập trung. Các hệ thống này cho phép giám sát theo thời gian thực tình hình cập nhật mẫu mã độc và lây nhiễm mã độc trên từng máy chủ, máy trạm làm việc của Bộ.

Theo đó, tỷ lệ tổ chức đơn vị trực thuộc triển khai 100% máy chủ, máy trạm đã được cài đặt phần mềm phòng, chống mã độc: 90% đơn vị trực thuộc Bộ đã triển khai cài đặt phần mềm phòng, chống mã độc. Các đơn vị còn lại có một số máy sử dụng hệ điều hành UNIX chưa triển khai được do: thị trường Việt Nam hiện nay không có phần mềm phòng, chống mã độc cài đặt trên hệ điều hành UNIX cho phép cập nhật mẫu mã độc từ hệ thống quản trị tập trung; ngoài ra, có rất ít phần mềm phòng, chống mã độc hỗ trợ cài đặt trên UNIX, do hệ điều hành này có khả năng nhiễm mã độc rất thấp. Bộ Tài chính đang nghiên cứu phương án giải quyết vấn đề này.

Công tác kiểm tra, đánh giá an toàn thông tin

Theo Quy chế An toàn thông tin mạng Bộ Tài chính, việc kiểm tra công tác bảo đảm an toàn thông tin mạng (kiểm tra đánh giá về tuân thủ quy định của pháp luật, đánh giá hiệu quả các biện pháp bảo vệ) được phân cấp như sau: Cục Tin học và Thống kê tài chính kiểm tra định kỳ 02 năm đối với các Tổng cục, DN, đơn vị sự nghiệp thuộc Bộ trong chương trình kiểm tra công tác ứng dụng CNTT hàng năm và theo kế hoạch được Bộ Tài chính phê duyệt; Các Tổng cục kiểm tra định kỳ hàng năm trong nội bộ đơn vị, lồng ghép trong chương trình kiểm tra công tác ứng dụng CNTT hàng năm hoặc tiến hành độc lập theo kế hoạch được Lãnh đạo đơn vị phê duyệt. Các đơn vị thuộc Bộ đã triển khai công tác kiểm tra theo đúng quy định này.

Bộ tài chính đảm bảo an toàn thông tin mạng - Ảnh 3.

Về công tác đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập định kỳ: các đơn vị thuộc Bộ đã tổ chức thuê doanh nghiệp được cấp phép cung cấp dịch vụ đánh giá ATTTM thực hiện đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập định kỳ cho các hệ thống thông tin thuộc phạm vi quản lý của đơn vị.

Triển khai Chỉ thị số 14/CT-TTg ngày 07/6/2019 của Thủ tướng Chính phủ về việc tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam, Bộ Tài chính đã có công văn số 5870 /BTC-THTK ngày 18/5/2020 gửi các đơn vị thuộc Bộ về việc triển khai bảo đảm an toàn thông tin cho hệ thống thông tin theo mô hình "4 lớp".

Cho đến thời điểm hiện tại, Bộ Tài chính đã hoàn thành triển khai 02 lớp (tổ chức lực lượng bảo vệ tại chỗ; tổ chức hoặc thuê DN độc lập kiểm tra, đánh giá định kỳ); đang tổ chức đấu thầu thuê dịch vụ giám sát an toàn hệ thống thông tin để triển khai 02 lớp còn lại (tổ chức hoặc thuê doanh nghiệp giám sát, bảo vệ chuyên nghiệp; kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia của Bộ TT&TT). Bộ Tài chính dự kiến hoàn thành triển khai mô hình 4 lớp trong quý I/2021.

Các đơn vị là chủ quản hệ thống thông tin thuộc Bộ Tài chính đều đã thiết lập các hệ thống sao lưu định kỳ thông tin, dữ liệu và có kịch bản khôi phục hoạt động của hệ thống sau khi gặp sự cố. Một số đơn vị (Kho bạc Nhà nước, Tổng cục Thuế, Tổng cục Hải quan) đã thiết lập hệ thống dự phòng thảm họa cho các hệ thống quan trọng. Các đơn vị có hệ thống dự phòng thảm họa đều có kịch bản ngắt chuyển giữa hệ thống chính và hệ thống dự phòng khi xảy ra sự cố và định kỳ diễn tập việc ngắt chuyển này. Ngoài ra, các đơn vị còn có kịch bản xử lý thủ công trong trường hợp hệ thống CNTT xảy ra sự cố ngừng hoạt động.

thể khẳng định Bộ Tài chính luôn quan tâm, ưu tiên đầu cho công tác bảo đảm ATTT  nỗ lực tìm các giải pháp phù hợp, hiệu quả để bảo đảm an toàn mức cao nhất cho các hệ thống thông tin của Bộ. Công tác bảo đảm ATTT đã được triển khai một cách toàn diện từ chính sách, tổ chức cho đến giải pháp kỹ thuật, bản đáp ứng yêu cầu đặt ra đối với an toàn bảo mật thông tin.

Tuy nhiên, bên cạnh đó Bộ Tài chính cũng gặp một số khó khăn trong việc bảo đảm an toàn thông tin như: Nhân lực chuyên trách về an toàn thông tin của các đơn vị thuộc Bộ thiếu cả về số lượng chất lượng. Khó khăn này đặc biệt khó giải quyết trong giai đoạn hiện nay (Chính phủ đang quyết liệt triển khai tinh giản biên chế). quá nhiều yêu cầu, quy trình, thủ tục về an toàn thông tin mạng, an ninh mạng theo Luật ATTT mạng, Luật An ninh mạng các văn bản dưới Luật, tạo thêm gánh nặng cho đội ngũ CNTT bộ phận chuyên trách ATTT hiện còn thiếu yếu của các đơn vị.

 Kế hoạch triển khai giai đoạn 2021-2025

Theo hướng dẫn của Bộ TT&TT về xây dựng kế hoạch ứng dụng CNTT và bảo đảm ATTT mạng giai đoạn 2021-2025, trong thời gian tới, Bộ Tài chính sẽ tiếp tục triển khai các hoạt động sau: Thường xuyên rà soát, cập nhật Quy chế ATTT mạng, an ninh mạng Bộ Tài chính. Hoàn thành triển khai, nâng cấp và duy trì bảo đảm ATTT mô hình 4 lớp theo hướng dẫn của Bộ TT&TT; áp dụng hệ thống quản lý ATTT mạng theo tiêu chuẩn, quy chuẩn kỹ thuật vào hoạt động của Bộ Tài chính.

- Thường xuyên rà soát, cập nhật, phê duyệt cấp độ an toàn hệ thống thông tin và triển khai phương án bảo đảm an toàn hệ thống thông tin theo cấp độ. Rà soát hiện trạng, tăng cường đầu tư trang thiết bị và thuê dịch vụ chuyên nghiệp nhằm nâng cao năng lực bảo đảm ATTT, phòng chống mã độc theo mô hình tập trung, ưu tiên cho các hệ thống cung cấp thông tin và dịch vụ công trực tuyến phục vụ người dân và DN và hệ thống trung tâm dữ liệu. Định kỳ, đột xuất thực hiện kiểm tra, đánh giá ATTT theo quy định của pháp luật.

  - Xây dựng và triển khai kế hoạch dự phòng, sao lưu dữ liệu, bảo đảm hoạt động liên tục của cơ quan, tổ chức; sẵn sàng khôi phục hoạt động bình thường của hệ thống sau khi gặp sự cố mất ATTT mạng. 

-  Định kỳ hàng năm tổ chức đào tạo hoặc cử nhân sự chuyên trách/phụ trách về an toàn thông tin/công nghệ thông tin tham gia các khóa đào tạo về quản lý, kỹ thuật về ATTT. 

-  Đẩy mạnh tuyên truyền, phổ biến nâng cao nhận thức và trang bị kỹ năng cơ bản về an toàn thông tin cho cán bộ, công chức, viên chức, người lao động của Bộ Tài chính. 

- Định kỳ tổ chức các chương trình diễn tập, tập huấn bảo đảm ATTT mạng với các phương án, kịch bản phù hợp thực tế cho cán bộ chuyên trách/phụ trách về ATTT của các cơ quan, đơn vị, DN thuộc phạm vi quản lý của Bộ Tài chính. 

- Chỉ đạo các tập đoàn, tổng công ty, doanh nghiệp, tổ chức thuộc phạm vi quản lý thực hiện rà soát, đánh giá, có biện pháp tăng cường bảo đảm an toàn thông tin đối với các hệ thống hạ tầng thông tin, hệ thống điều khiển công nghiệp và các hệ thống thông tin quan trọng khác do doanh nghiệp quản lý, khai thác, vận hành. 

- Kiện toàn, nâng cao năng lực và duy trì hoạt động thường xuyên của Đội ứng cứu sự cố an toàn thông tin mạng; tham gia tích cực vào các hoạt động của Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia; tăng cường chia sẻ, cung cấp thông tin về sự cố an toàn mạng. 

Một số kiến nghị

Để đảm bảo an toàn thông tin mạng thành công, Bộ Tài chính đã đề xuất với Bộ TT&TT đơn giản hóa quy trình, thủ tục về ATTT (thủ tục xác định cấp độ an toàn hệ thống thông tin yêu cầu quá nhiều thời gian công sức của các đơn vị). Hướng dẫn bỏ thủ tục xác định cấp độ đối với các hệ thống thông tin cấp độ 4, 5 được xác định đưa vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia. Bộ Tài chính đang gặp tình trạng phải lập hồ đề xuất cấp độ cho các hệ thống cấp độ 4, 5, gửi Bộ TT&TT thẩm định, sau đó Quyết định phê duyệt cấp độ triển khai phương án bảo đảm ATTTM theo hồ được duyệt; đồng thời, phải lập hồ đề xuất đưa các hệ thống này vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, gửi Bộ Công an thẩm định, sau đó triển khai phương án bảo đảm an ninh mạng được duyệt. Các thủ tục này làm mất quá nhiều thời gian của Bộ Tài chính gây khó khăn cho việc triển khai các phương án bảo vệ hệ thống.

Giảm bớt yêu cầu về báo cáo theo tinh thần của Nghị định 09/2019/NĐ-CP ngày 24/01/2019 của Chính phủ quy định về chế độ báo cáo của cơ quan hành chính nhà nước.

(Bài đăng trên ấn phẩm in tạp chí TT&TT số 17+18 tháng 12/2020)

Kim Hoa
Xem thêm