Bộ Tài chính đổi mới cơ chế quản lý an toàn an ninh mạng

Một số nội dung thay đổi, cập nhật, bổ sung

Bộ Tài chính cho biết, quy chế mới (Quyết định số 1013/QĐ-BTC ngày 19/5/2023, thay thế Quyết định số 201/QĐ-BTC ngày 12/02/2018) tập trung vào 4 điểm quan trọng gồm: Sửa đổi phạm vi áp dụng; sửa đổi quy định xác định chủ quản hệ thống thông tin (HTTT), ủy quyền thực hiện trách nhiệm của chủ quản HTTT; các quy định liên quan; sửa đổi về thẩm quyền và thủ tục xác định cấp độ HTTT; bổ sung các quy định về an ninh mạng; bổ sung quy định cụ thể áp dụng riêng cho Cơ quan Bộ Tài chính.

Sửa đổi phạm vi áp dụng của quy chế: Quy chế ATANM Bộ Tài chính (cũ) được áp dụng cho tất cả các đơn vị hành chính, sự nghiệp, doanh nghiệp (DN) thuộc Bộ Tài chính. Theo hướng dẫn của Vụ Pháp chế về việc tránh phát sinh quy phạm pháp luật trong quyết định ban hành quy chế nội bộ, Cục Tin học và Thống kê tài chính đề xuất và được chấp thuận về giới hạn phạm vi áp dụng của quy chế trong phạm vi các tổ chức hành chính, sự nghiệp thuộc cơ cấu tổ chức của Bộ Tài chính (theo Nghị định số 87/2017/NĐ-CP ngày 26/7/2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính, Bộ Tài chính gồm 25 tổ chức hành chính và 04 tổ chức sự nghiệp).

Các tổ chức sự nghiệp khác (Học viện Tài chính, các trường học) và doanh nghiệp thuộc Bộ áp dụng theo quy định của pháp luật về ATANM.

Sửa đổi quy định xác định chủ quản HTTT, ủy quyền thực hiện trách nhiệm của chủ quản HTTT; các quy định liên quan: Theo quy định của pháp luật về ATANM, chủ quản HTTT chịu trách nhiệm tổ chức thực hiện công tác ATANM của cơ quan, tổ chức.

Thông tư số 12/2022/TT-BTTTT (thay thế Thông tư số 03/2017/TT-BTTTT) đã sửa đổi quy định về xác định chủ quản tại khoản 1 Điều 4. Do đó, Cục Tin học và Thống kê tài chính đã đề xuất và được đưa vào quy định mới của Bộ Tài chính về xác định chủ quản hệ thống thông tin Bộ Tài chính tại Quy chế như sau (khoản 1 Điều 4):

a) Bộ Tài chính là chủ quản của HTTT được xây dựng, thiết lập, nâng cấp, mở rộng từ dự án hoặc kế hoạch thuê dịch vụ thuộc thẩm quyền phê duyệt của Bộ trưởng Bộ Tài chính; chủ quản HTTT được được xây dựng, thiết lập, nâng cấp, mở rộng từ dự án, kế hoạch thuê dịch vụ, đề cương và dự toán chi tiết thuộc thẩm quyền phê duyệt của tổ chức thuộc Cơ quan Bộ, tổ chức sự nghiệp trực thuộc Bộ.

b) Tổng cục là chủ quản của hệ thống thông tin được xây dựng, thiết lập, nâng cấp, mở rộng từ dự án, kế hoạch thuê dịch vụ, đề cương và dự toán chi tiết thuộc thẩm quyền phê duyệt của Tổng cục, đơn vị thuộc Tổng cục”.

Thông tư số 12/2022/TT-BTTTT quy định về ủy quyền thực hiện trách nhiệm của chủ quản HTTT tại khoản 3 Điều 4. Theo ý kiến tham gia của Cục An toàn thông tin (ATTT), Bộ Thông tin và Truyền thông (TT&TT) về dự thảo Quy chế, Cục Tin học và Thống kê tài chính đã rà soát, xác định trong số các đơn vị thuộc Bộ, chỉ các Tổng cục và đơn vị cấp tương đương có đủ năng lực để Bộ ủy quyền thực hiện trách nhiệm của chủ quản các HTTT do Bộ làm chủ quản. Trên cơ sở đó, quy định mới của Bộ Tài chính về ủy quyền chủ quản đối với HTTT do Bộ làm chủ quản như sau (điểm a khoản 1 Điều 4): “Bộ Tài chính ủy quyền cho Tổng cục thực hiện trách nhiệm của chủ quản HTTT đối với hệ thống thông tin do Tổng cục làm chủ đầu tư dự án, chủ trì thực hiện kế hoạch thuê dịch vụ.”

Sửa đổi về thẩm quyền và thủ tục xác định cấp độ HTTT:

Điều 6 Thông tư 12/2022/TT-BTTTT quy định việc tổ chức thẩm định Hồ sơ đề xuất cấp độ được thực hiện của đơn vị chuyên trách về an toàn thông tin. Tại Bộ Tài chính, tình huống HTTT do Cục Tin học và Thống kê tài chính hoặc Cục CNTT trực thuộc Tổng cục đồng thời đóng cả hai vai trò (đơn vị vận hành HTTT, đơn vị chuyên trách ATANM của chủ quản HTTT) diễn ra rất nhiều. Theo góp ý của Cục ATTT, đối với tình huống này tại Bộ Tài chính, cần áp dụng quy định tại khoản 2 Điều 6 Thông tư 12/2022/TT-BTTTT, tức là Cục Tin học và Thống kê tài chính trình Bộ Tài chính, Cục CNTT thuộc Tổng cục trình Tổng cục thành lập Hội đồng thẩm định độc lập. Do đó, Cục Tin học và Thống kê tài chính đã đề xuất và được đưa vào quy định mới áp dụng phương án trình thành lập Hội đồng thẩm định độc lập (bao gồm các cá nhân có trách nhiệm hoặc có chuyên môn, kinh nghiệm về công tác ATANM và không tham gia công tác xây dựng, vận hành HTTT).

Bổ sung các quy định về an ninh mạng: Quy chế được bổ sung các quy định của Luật An ninh mạng, Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ quy định chi tiết thi hành một số điều của Luật An ninh mạng.

Bổ sung quy định cụ thể áp dụng riêng cho Cơ quan Bộ Tài chính: Hệ thống thông tin thuộc Cơ quan Bộ Tài chính do Bộ Tài chính làm chủ quản, Cục Tin học và Thống kê tài chính đóng vai trò đơn vị chuyên trách ATANM, sử dụng chung hệ thống mạng nội bộ và Trung tâm dữ liệu (TTDL). Do đó, Bộ Tài chính đưa vào quy định cụ thể áp dụng cho các HTTT và thiết bị xử lý thông tin tại Cơ quan Bộ.

Giao trách nhiệm cụ thể về ATANM cho các đơn vị chức năng

Theo quy chế, các đơn vị thuộc Bộ Tài chính tự kiểm tra, đánh giá hàng năm trong nội bộ đơn vị, trong phạm vi trách nhiệm của đơn vị đối với công tác ATANM theo quy định của pháp luật và quy định tại Quy chế này.

Chủ quản HTTT, đơn vị vận hành HTTT, đơn vị chuyên trách an toàn an ninh mạng thực hiện các nhiệm vụ sau: Xác định cấp độ an toàn của HTTT (lập hồ sơ đề xuất cấp độ; tổ chức thẩm định, phê duyệt hồ sơ đề xuất cấp độ) và triển khai phương án bảo đảm an toàn HTTT theo cấp độ theo quy định từ Điều 13 đến Điều 19 của Nghị định số 85/2016/NĐ-CP; từ Điều 7 đến Điều 10 của Thông tư số 12/2022/ TT-BTTTT và khoản 1 Điều 5 của Quy chế này. Việc xác định HTTT, bao gồm HTTT sử dụng camera giám sát, để xác định cấp độ căn cứ trên nguyên tắc được quy định tại khoản 1 Điều 5 Nghị định 85/2016/NĐ-CP, Điều 7 Thông tư 12/2022/TT-BTTTT và các hướng dẫn bổ sung của Bộ TT&TT (nếu có).

Bảo đảm an ninh mạng cho HTTT quan trọng về an ninh quốc gia theo quy định từ Điều 12 đến Điều 15 của Luật An ninh mạng, Điều 7 đến Điều 17 của Nghị định số 53/2022/ NĐ-CP.

Đơn vị chuyên trách ATANM phối hợp với đơn vị vận hành HTTT tổ chức quản lý lỗ hổng, điểm yếu ATANM theo các nội dung sau: Lập danh sách toàn bộ thiết bị, phần mềm CNTT đang sử dụng trong phạm vi quản lý của chủ quản HTTT: nhãn hiệu phần cứng, tên phần mềm và phiên bản (hệ điều hành, cơ sở dữ liệu, ứng dụng, các tiện ích khác). Thiết lập, duy trì kênh tiếp nhận thông tin về lỗ hổng, điểm yếu ATANM từ các cơ quan, tổ chức có chức năng cảnh báo về ATANM; các đơn vị cung cấp thiết bị, phần mềm CNTT thuộc phạm vi điểm a khoản này...

Kiểm tra, đánh giá việc tuân thủ quy định của pháp luật về ATANM; kiểm tra, đánh giá hiệu quả của các biện pháp bảo đảm ATTT theo phương án bảo đảm ATTT được phê duyệt: Cục Tin học và Thống kê tài chính thực hiện kiểm tra, đánh giá các Tổng cục, các đơn vị thuộc Cơ quan Bộ, đơn vị sự nghiệp trực thuộc Bộ Tài chính trong chương trình, kế hoạch kiểm tra công tác ứng dụng CNTT hàng năm hoặc chương trình kiểm tra theo chuyên đề về an toàn an ninh mạng được Bộ trưởng Bộ Tài chính phê duyệt Cục Tin học và Thống kê tài chính, Tổng cục xây dựng, phê duyệt kế hoạch ứng phó sự cố bảo đảm ATTT mạng; phương án ứng phó, khắc phục sự cố an ninh mạng cho các HTTT thuộc quản lý của đơn vị theo đề cương tại Phụ lục II Quyết định số 05/2017/QĐ-TTg (đối với hệ thống cấp độ 4, 5); Phụ lục III ban hành kèm theo Thông tư số 20/2017/TT-BTTT (đối với hệ thống cấp độ 1, 2, 3) và quy định tại Điều 25 của Nghị định số 53/2022/NĐ-CP; tổ chức triển khai kế hoạch, phương án sau khi phê duyệt. Đối với nội dung (thuộc kế hoạch ứng phó sự cố bảo đảm ATTT mạng; phương án ứng phó, khắc phục sự cố an ninh mạng) vượt thẩm quyền quyết định của đơn vị, đơn vị lấy ý kiến của các đơn vị liên quan, báo cáo Lãnh đạo Bộ Tài chính xem xét, quyết định.

Đơn vị chuyên trách ATANM có trách nhiệm theo dõi, nắm bắt thông tin trên phương tiện thông tin đại chúng và mạng Internet về các sự kiện mất ATANM có thể tác động tới đơn vị; chủ động kiểm tra, rà soát trong nội bộ đơn vị theo các văn bản cảnh báo, hướng dẫn của các cơ quan chức năng và các tổ chức về ATTT (gửi trực tiếp cho đơn vị hoặc do Văn phòng Bộ, Cục Tin học và Thống kê tài chính sao gửi chủ quản HTTT); Thiết lập kênh trao đổi thông tin với các đối tác cung cấp thiết bị, phần mềm, giải pháp ATTT của đơn vị để nắm bắt kịp thời vấn đề, sự cố có khả năng tác động tới HTTT của đơn vị. Đơn vị chuyên trách ATANM cử 01 lãnh đạo chịu trách nhiệm triển khai công tác ATANM và 1 cán bộ làm đầu mối tiếp nhận cảnh báo ATTT từ Cục Tin học và Thống kê tài chính, các cơ quan, tổ chức có chức năng cảnh báo ATTT mạng, an ninh mạng (thông qua thư điện tử hoặc các kênh trao đổi thông tin khác).

Phòng ngừa, xử lý hành vi xâm phạm an ninh mạng: Đơn vị chuyên trách an toàn an ninh mạng của chủ quản HTTT phối hợp với đơn vị vận hành HTTT thực hiện các nhiệm vụ sau trong phạm vi HTTT thuộc quản lý của chủ quản HTTT, theo quy định của Luật An ninh mạng và Nghị định số 53/2022/NĐ-CP.

(Bài đăng ấn phẩm in Tạp chí TT&TT số 6 tháng 6/2023)