Bộ Tài chính đảm bảo an toàn thông tin mạng
An toàn thông tin - Ngày đăng : 09:06, 19/01/2021
Chính vì vậy, Bộ Tài chính luôn ưu tiên bố trí kinh phí cho công tác ứng cứu sự cố, bảo đảm ATTTM, bao gồm: mua sắm, duy trì, nâng cấp sản phẩm ATTTM; thuê dịch vụ đánh giá ATTTM, dịch vụ giám sát ATTTM, huấn luyện và diễn tập ứng cứu sự cố ATTTM. Tỷ lệ kinh phí cho ATTTM so với tổng kinh phí chi cho CNTT năm 2020 của Bộ Tài chính đạt 12%.
Hiện trạng tổ chức và nguồn nhân lực bảo đảm ATTTM
TạiQuychếAntoànthôngtinmạngBộTàichínhbanhànhtheoQuyếtđịnhsố201/QĐ-BTCngày12/02/2020,BộTàichínhđãchỉđịnhcácbộphậnđầumốichịutráchnhiệmvềantoànthôngtin (ATTT) nhưsau:CụcTinhọcvàThốngkêtàichínhlàđơnvịchuyêntráchvềantoànthôngtincấpBộ;CụcCNTTcácTổngcụcthuộcBộlàđơnvịchuyêntráchvề ATTTcấpTổngcụcthuộcBộ;Bộphậnchuyêntráchvề CNTTthuộcdoanhnghiệp (DN) (phòngCNTThoặcđơnvị,bộphậncóchứcnăngtươngđương)làđơnvịchuyêntráchvề ATTTcủa DN.
Theođó,CụcTinhọcvàThốngkêtàichínhvàcácCụcCNTTthuộcKhobạcNhànước,TổngcụcThuế,TổngcụcHảiquanđãthànhlậpphòngQuảnlýantoàn/anninhthôngtintừnăm2013;CụcCNTTthuộcỦybanChứngkhoánNhànướcthànhlậpphòngquảnlýanninhthôngtinđầunăm2016.Cácphòngquảnlýantoàn/anninhthôngtinnàycónhânsựtừ2-7người.Ngoàiphòngquảnlýantoàn/anninhthôngtin,cánbộquảntrịhệthốngcủamộtsốđơnvịcũngtrựctiếpthamgiacôngtácbảođảmantoànanninhthôngtincủađơnvị(trựctiếpquảntrị,vậnhànhhệthốnganninhmạng).
ViệcphâncôngLãnhđạophụtráchantoànthôngtinmạngBộTàichínhthựctếnhưsau:ThứtrưởngBộTàichínhphụtráchlĩnhvựcCNTTcủaBộTàichínhđồngthờiphụtráchcôngtácbảođảmantoànthôngtincủaBộTàichính;PhóTổngcụctrưởngcácTổngcụcthuộcBộ,PhóCụctrưởngCụcTinhọcvàThốngkêtàichínhđượcgiaotráchnhiệmphụtráchlĩnhvựcCNTTcủađơnvịđồngthờiphụtráchcôngtácbảođảmantoànthôngtincủađơnvị;TạiCụcCNTTcácTổngcục thuộc Bộ, Cục trưởng hoặc Phó Cục trưởng phụ trách trực tiếp bộ phận chuyên trách về an toàn thông tin (phòng Quản lý an toàn/an ninh thông tin).
Bên cạnh đó, các đơn vị chuyên trách về ATTTM của Bộ Tài chính đều đã thành lập Đội ứng cứu sự cố ATTTM và chỉ định đầu mối ứng cứu sự cố. Hàng năm, Bộ Tài chính tổ chức từ 02-04 khóa đào tạo chuyên sâu về ATTTM cho cán bộ chuyên trách, cán bộ kiêm nhiệm về ATTTM của Bộ và các đơn vị thuộc Bộ.
Ngoài ra, Bộ Tài chính thường xuyên tuyên truyền, nâng cao nhận thực và trách nhiệm về an toàn thông tin cho cán bộ thuộc Bộ thông qua các hình thức: đào tạo cơ bản về ATTTM; cảnh báo, hướng dẫn về ATTTM bằng văn bản hoặc qua thư điện tử.
Ban hành quy định và chính sách về bảo đảm ATTTM
Bộ Tài chính đã lần lượt ban hành các quy định, quy chế sau về ATTT: Quyết định số 2615/QĐ-BTC ngày 19/10/2012 của Bộ trưởng Bộ Tài chính ban hành Quy định về việc đảm bảo ATTT trên môi trường máy tính và mạng máy tính; Quyết định số 3317/QĐ-BTC ngày 24/12/2014 của Bộ trưởng Bộ Tài chính ban hành Quy định về việc đảm bảo ATTT trên môi trường máy tính và mạng máy tính (thay thế Quyết định số 2615/QĐ-BTC); Quyết định số 627/QĐ-BTC ngày 05/4/2017 của Bộ trưởng Bộ Tài chính về việc sửa đổi, bổ sung một số điều của Quy định về việc đảm bảo ATTT trên môi trường máy tính và mạng máy tính ban hành kèm theo Quyết định số 3317/QĐ- BTC ngày 24/12/2014; Quyết định số 201/QĐ-BTC ngày 12/02/2018 của Bộ trưởng Bộ Tài chính về việc ban hành Quy chế ATTT mạng Bộ Tài chính (thay thế Quyết định số 3317/QĐ-BTC và Quyết định số 627/QĐ-BTC).
Ngoàira,BộTàichínhcũngđãbanhànhkếhoạchvàtriểnkhaicáchoạtđộngliênquanđếncôngtácđàotạo,pháttriểnnguồnnhânlựcantoàn,anninhthôngtin;tuyêntruyền,phổbiến,nângcaonhậnthứcvàtráchnhiệmvề ATTT;triểnkhaicácbiệnpháp tăngcườngnănglựcphòng chốngphầnmềmđộchại;triểnkhaiphươngáncôngtácgiámsátantoànhệthốngthôngtin;triểnkhaiphươngánbảođảm ATTTtổngthể;xâydựngphươngánứngcứukhẩncấpbảođảm ATTTmạng;đẩymạnhhoạtđộngcủamạnglướiứngcứusựcố,tăngcườngnănglựcchocáccánbộ,bộphậnchuyêntráchứngcứusựcố ATTT mạng:BộTàichínhđãcóThôngbáosố313/TB-BTCngày09/5/2018vềýkiếnchỉđạocủaLãnhđạoBộvềviệctriểnkhaiQuychếATTTmạngBộ Tàichính,trongđóyêucầucácđơnvịthuộcBộlậpkếhoạchtriểnkhaitấtcảcáchoạtđộngliênquanđếnATTTMtheoquyđịnhcủaNhànướcvàcủaBộTàichínhtớinăm2020.BộTàichínhđãtổnghợpcáckếhoạch này, gửi Bộ TT&TT tại công văn số 843/ BTC-THTK ngày 17/7/2018.
Phòng, chống phần mềm độc hại
Bộ Tài chính và các đơn vị thuộc Bộ đều đã triển khai hệ thống quản trị phòng, chống mã độc tập trung. Các hệ thống này cho phép giám sát theo thời gian thực tình hình cập nhật mẫu mã độc và lây nhiễm mã độc trên từng máy chủ, máy trạm làm việc của Bộ.
Theo đó, tỷ lệ tổ chức đơn vị trực thuộc triển khai 100% máy chủ, máy trạm đã được cài đặt phần mềm phòng, chống mã độc: 90% đơn vị trực thuộc Bộ đã triển khai cài đặt phần mềm phòng, chống mã độc. Các đơn vị còn lại có một số máy sử dụng hệ điều hành UNIX chưa triển khai được do: thị trường Việt Nam hiện nay không có phần mềm phòng, chống mã độc cài đặt trên hệ điều hành UNIX cho phép cập nhật mẫu mã độc từ hệ thống quản trị tập trung; ngoài ra, có rất ít phần mềm phòng, chống mã độc hỗ trợ cài đặt trên UNIX, do hệ điều hành này có khả năng nhiễm mã độc rất thấp. Bộ Tài chính đang nghiên cứu phương án giải quyết vấn đề này.
Công tác kiểm tra, đánh giá an toàn thông tin
Theo Quy chế An toàn thông tin mạng Bộ Tài chính, việc kiểm tra công tác bảo đảm an toàn thông tin mạng (kiểm tra đánh giá về tuân thủ quy định của pháp luật, đánh giá hiệu quả các biện pháp bảo vệ) được phân cấp như sau: Cục Tin học và Thống kê tài chính kiểm tra định kỳ 02 năm đối với các Tổng cục, DN, đơn vị sự nghiệp thuộc Bộ trong chương trình kiểm tra công tác ứng dụng CNTT hàng năm và theo kế hoạch được Bộ Tài chính phê duyệt; Các Tổng cục kiểm tra định kỳ hàng năm trong nội bộ đơn vị, lồng ghép trong chương trình kiểm tra công tác ứng dụng CNTT hàng năm hoặc tiến hành độc lập theo kế hoạch được Lãnh đạo đơn vị phê duyệt. Các đơn vị thuộc Bộ đã triển khai công tác kiểm tra theo đúng quy định này.
Về công tác đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập định kỳ: các đơn vị thuộc Bộ đã tổ chức thuê doanh nghiệp được cấp phép cung cấp dịch vụ đánh giá ATTTM thực hiện đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập định kỳ cho các hệ thống thông tin thuộc phạm vi quản lý của đơn vị.
Triển khai Chỉ thị số 14/CT-TTg ngày 07/6/2019 của Thủ tướng Chính phủ về việc tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam, Bộ Tài chính đã có công văn số 5870 /BTC-THTK ngày 18/5/2020 gửi các đơn vị thuộc Bộ về việc triển khai bảo đảm an toàn thông tin cho hệ thống thông tin theo mô hình "4 lớp".
Cho đến thời điểm hiện tại, Bộ Tài chính đã hoàn thành triển khai 02 lớp (tổ chức lực lượng bảo vệ tại chỗ; tổ chức hoặc thuê DN độc lập kiểm tra, đánh giá định kỳ); đang tổ chức đấu thầu thuê dịch vụ giám sát an toàn hệ thống thông tin để triển khai 02 lớp còn lại (tổ chức hoặc thuê doanh nghiệp giám sát, bảo vệ chuyên nghiệp; kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia của Bộ TT&TT). Bộ Tài chính dự kiến hoàn thành triển khai mô hình 4 lớp trong quý I/2021.
Các đơn vị là chủ quản hệ thống thông tin thuộc Bộ Tài chính đều đã thiết lập các hệ thống sao lưu định kỳ thông tin, dữ liệu và có kịch bản khôi phục hoạt động của hệ thống sau khi gặp sự cố. Một số đơn vị (Kho bạc Nhà nước, Tổng cục Thuế, Tổng cục Hải quan) đã thiết lập hệ thống dự phòng thảm họa cho các hệ thống quan trọng. Các đơn vị có hệ thống dự phòng thảm họa đều có kịch bản ngắt chuyển giữa hệ thống chính và hệ thống dự phòng khi xảy ra sự cố và định kỳ diễn tập việc ngắt chuyển này. Ngoài ra, các đơn vị còn có kịch bản xử lý thủ công trong trường hợp hệ thống CNTT xảy ra sự cố ngừng hoạt động.
CóthểkhẳngđịnhBộTàichínhluônquantâm,ưutiênđầutưchocôngtácbảođảm ATTTvànỗlựctìmcácgiảiphápphùhợp,hiệuquảđểbảođảmantoànởmứccaonhấtchocáchệthốngthôngtincủaBộ.Côngtácbảođảm ATTTđãđượctriểnkhaimộtcáchtoàndiệntừchínhsách,tổchứcchođếngiảiphápkỹthuật,cơbảnđápứngyêucầuđặtrađốivớiantoànbảomậtthôngtin.
Tuynhiên,bêncạnhđóBộTàichínhcũnggặpmộtsốkhókhăntrongviệcbảođảm an toànthông tin như:Nhân lựcchuyêntráchvềantoànthôngtincủacácđơnvịthuộcBộthiếucảvềsốlượngvàchấtlượng.Khókhănnàyđặcbiệtkhógiảiquyếttronggiaiđoạnhiệnnay(Chínhphủđangquyếtliệttriểnkhaitinhgiảnbiênchế).Cóquánhiềuyêucầu,quytrình,thủtụcvềantoànthôngtinmạng,anninhmạngtheoLuậtATTTmạng,LuậtAnninhmạngvàcácvănbảndướiLuật,tạothêmgánhnặngchođộingũCNTTvàbộphậnchuyêntrách ATTThiệncònthiếuvàyếucủacácđơnvị.
Kế hoạch triển khai giai đoạn 2021-2025
Theo hướng dẫn của Bộ TT&TT về xây dựng kế hoạch ứng dụng CNTT và bảo đảm ATTT mạng giai đoạn 2021-2025, trong thời gian tới, Bộ Tài chính sẽ tiếp tục triển khai các hoạt động sau: Thường xuyên rà soát, cập nhật Quy chế ATTT mạng, an ninh mạng Bộ Tài chính. Hoàn thành triển khai, nâng cấp và duy trì bảo đảm ATTT mô hình 4 lớp theo hướng dẫn của Bộ TT&TT; áp dụng hệ thống quản lý ATTT mạng theo tiêu chuẩn, quy chuẩn kỹ thuật vào hoạt động của Bộ Tài chính.
- Thường xuyên rà soát, cập nhật, phê duyệt cấp độ an toàn hệ thống thông tin và triển khai phương án bảo đảm an toàn hệ thống thông tin theo cấp độ. Rà soát hiện trạng, tăng cường đầu tư trang thiết bị và thuê dịch vụ chuyên nghiệp nhằm nâng cao năng lực bảo đảm ATTT, phòng chống mã độc theo mô hình tập trung, ưu tiên cho các hệ thống cung cấp thông tin và dịch vụ công trực tuyến phục vụ người dân và DN và hệ thống trung tâm dữ liệu. Định kỳ, đột xuất thực hiện kiểm tra, đánh giá ATTT theo quy định của pháp luật.
- Xây dựng và triển khai kế hoạch dự phòng, sao lưu dữ liệu, bảo đảm hoạt động liên tục của cơ quan, tổ chức; sẵn sàng khôi phục hoạt động bình thường của hệ thống sau khi gặp sự cố mất ATTT mạng.
- Định kỳ hàng năm tổ chức đào tạo hoặc cử nhân sự chuyên trách/phụ trách về an toàn thông tin/công nghệ thông tin tham gia các khóa đào tạo về quản lý, kỹ thuật về ATTT.
- Đẩy mạnh tuyên truyền, phổ biến nâng cao nhận thức và trang bị kỹ năng cơ bản về an toàn thông tin cho cán bộ, công chức, viên chức, người lao động của Bộ Tài chính.
- Định kỳ tổ chức các chương trình diễn tập, tập huấn bảo đảm ATTT mạng với các phương án, kịch bản phù hợp thực tế cho cán bộ chuyên trách/phụ trách về ATTT của các cơ quan, đơn vị, DN thuộc phạm vi quản lý của Bộ Tài chính.
- Chỉ đạo các tập đoàn, tổng công ty, doanh nghiệp, tổ chức thuộc phạm vi quản lý thực hiện rà soát, đánh giá, có biện pháp tăng cường bảo đảm an toàn thông tin đối với các hệ thống hạ tầng thông tin, hệ thống điều khiển công nghiệp và các hệ thống thông tin quan trọng khác do doanh nghiệp quản lý, khai thác, vận hành.
- Kiện toàn, nâng cao năng lực và duy trì hoạt động thường xuyên của Đội ứng cứu sự cố an toàn thông tin mạng; tham gia tích cực vào các hoạt động của Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia; tăng cường chia sẻ, cung cấp thông tin về sự cố an toàn mạng.
Mộtsốkiếnnghị
Đểđảmbảoantoànthôngtinmạngthànhcông,BộTàichínhđãđềxuấtvớiBộ TT&TTđơngiảnhóaquytrình,thủtụcvề ATTT(thủtụcxácđịnhcấpđộantoànhệthốngthôngtinyêucầuquánhiềuthờigianvàcôngsứccủacácđơnvị).Hướngdẫnbỏthủtụcxácđịnhcấpđộđốivớicáchệthốngthôngtincấpđộ4,5đượcxácđịnhđưavàoDanhmụchệthốngthôngtinquantrọngvềanninhquốcgia.BộTàichínhđanggặptìnhtrạngphảilậphồsơđềxuấtcấpđộchocáchệthốngcấpđộ4,5,gửiBộ TT&TTthẩmđịnh,sauđókýQuyếtđịnhphêduyệtcấpđộvàtriểnkhaiphươngánbảođảmATTTMtheohồsơđượcduyệt;đồngthời,phảilậphồsơđềxuấtđưacáchệthốngnàyvàoDanhmụchệthốngthôngtinquantrọngvềanninhquốcgia,gửiBộCônganthẩmđịnh,sauđótriểnkhaiphươngánbảođảmanninhmạngđượcduyệt.CácthủtụcnàylàmmấtquánhiềuthờigiancủaBộTàichínhvàgâykhókhănchoviệctriểnkhaicácphươngánbảovệhệthống.
Giảm bớt yêu cầu về báo cáo theo tinh thần của Nghị định 09/2019/NĐ-CP ngày 24/01/2019 của Chính phủ quy định về chế độ báo cáo của cơ quan hành chính nhà nước.
(Bài đăng trên ấn phẩm in tạp chí TT&TT số 17+18 tháng 12/2020)