Luật An toàn thông tin mạng: Những điều cần biết

Diễn đàn - Ngày đăng : 15:45, 18/01/2017

Việc Luật An toàn thông tin (ATTT) mạng được Quốc hội biểu quyết thông qua là một thành công lớn trong quá trình hoàn thiện hệ thống các văn bản pháp luật trong lĩnh vực công nghệ thông tin nói chung và ATTT nói riêng.

Luật ATTT mạng tập trung vào các nội dung nhằm đảm bảo 03 thuộc tính của thông tin là tính bí mật, nguyên vẹn và khả dụng; ngăn chặn việc giả mạo, lợi dụng điểm yếu, lỗ hổng nhằm phát tán phần mềm độc hại, tấn công mạng làm ảnh hưởng đến thông tin và hệ thống thông tin. Về nội dung của Luật, bên cạnh Quy định chung, Luật ATTT mạng còn bao gồm các quy định về Bảo đảm ATTT mạng; Mật mã dân sự; Tiêu chuẩn, quy chuẩn kỹ thuật ATTT mạng; Kinh doanh trong lĩnh vực ATTT mạng; Phát triển nguồn nhân lực ATTT mạng; Quản lý nhà nước về ATTT mạng, cụ thể:

Chương I. Những quy định chung – Chương này gồm 8 điều, từ Điều 1 đến Điều 8 bao gồm các quy định về phạm vi điều chỉnh, đối tượng áp dụng, giải thích từ ngữ, nguyên tắc bảo đảm ATTT mạng,chính sách của nhà nước, hợp tác quốc tế, những hành vi bị cấm trong hoạt động ATTT mạng và xử lý vi phạm pháp luật về ATTT mạng.

- Về phạm vi điều chỉnh: Luật quy định về hoạt động ATTT mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm ATTT mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về ATTT mạng; kinh doanh trong lĩnh vực ATTT mạng; phát triển nguồn nhân lực ATTT mạng; quản lý nhà nước về ATTT mạng.

- Về đối tượng áp dụng: Do hoạt động ATTT có thể liên quan đến hợp tác quốc tế, đặc biệt là hoạt động tham gia đảm bảo ATTT của các cơ quan, tổ chức và cá nhân Việt Nam; tổ chức, cá nhân nước ngoài. Đối tượng của Luật ATTT mạng được quy định gồm cơ quan, tổ chức, cá nhân Việt Nam và tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động ATTT tại Việt Nam.

- Luật ATTT mạng đã giải thích một số từ ngữ như khái niệm ATTT mạng, mạng, hệ thống thông tin, hệ thống thông tin quan trọng quốc gia, chủ quản hệ thống thông tin, xâm phạm ATTT mạng, sự cố ATTT mạng, rủi ro ATTT mạng, đánh giá rủi ro ATTT mạng, quản lý rủi ro ATTT mạng, phần mềm độc hại, hệ thống lọc phần mềm độc hại, địa chỉ điện tử, xung đột thông tin, thông tin cá nhân, chủ thể thông tin cá nhân, xử lý thông tin cá nhân, mật mã dân sự, sản phẩm ATTT mạng, dịch vụ ATTT mạng,...

ATTT mạng tại Luật này được hiểu là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

- Trong Chương này, Luật ATTT mạng cũng quy định rõ 04 nguyên tắc cơ bản trong bảo đảm ATTT: Cơ quan, tổ chức, cá nhân có trách nhiệm bảo đảm ATTT mạng. Hoạt động ATTT của cơ quan tổ chức, cá nhân phải phù hợp với quy định của pháp luật, bảo đảm quốc phòng, an ninh quốc gia, bí mật nhà nước, giữ vững ổn định chính trị,trật tự, an toàn xã hội và thúc đẩy phát triển kinh tế - xã hội; tổ chức, cá nhân tham gia hoạt động trên mạng không được xâm phạm ATTT của tổ chức, cá nhân khác; tổ chức, cá nhân tham gia hoạt động ATTT có trách nhiệm phối hợp với cơ quan quản lý nhà nước có thẩm quyền và với tổ chức, cá nhân khác trong việc bảo đảm ATTT; xử lý sự cố thông tin phải đảm bảo quyền và lợi ích hợp pháp của cá nhân, tổ chức, không xâm phạm đến đời sống riêng tư của cá nhân, bí mật gia đình của cá nhân, hoạt động bảo đảm ATTT phải được thực hiện thường xuyên, liên tục, kịp thời và có hiệu quả.

- Về chính sách của nhà nước về ATTT: Tập trung nguồn lực; đẩy mạnh đào tạo phát triển nguồn nhân lưc; khuyến khích nghiên cứu và phát triển, hỗ trợ xuất khẩu, mở rộng thị trường cho sản phẩm, dịch vụ và chính sách bảo đảm môi trường cạnh tranh lành mạnh, khuyến khích, tạo điều kiện cho tổ chức, cá nhân thuộc mọi thành phần kinh tế trong nước và nước ngoài tham gia đầu tư nghiên cứu và phát triển sản phẩm và cung cấp dịch vụ ATTT.

- Về hợp tác quốc tế: Hợp tác quốc tế về ATTT tôn trọng độc lập, chủ quyền và toàn vẹn lãnh thổ quốc gia, không can thiệp vào công tác nội bộ của nhau, bình đẳng và các bên cùng có lợi; phù hợp với luật pháp quốc tế và quy định của pháp luật, cam kết quốc tế của Việt Nam, thúc đẩy phát triển kinh tế, xã hội và bảo đảm an ninh quốc gia; và ưu tiên các hoạt động hợp tác trong các lĩnh vực nghiên cứu, ứng dụng khoa học, mở rộng hợp tác quốc tế trong việc phòng, chống hành vi vi phạm pháp luật về ATTT mạng, điều tra xử lý sự cố ATTT mạng, ngăn chặn lợi dụng mạng để khủng bố và các hoạt động động hợp tác quốc tế khác có liên quan.

- Quy định các hành vi bị nghiêm cấm về ATTT được thể hiện với 06 hành vi bị cấm (Điều 7).

Chương II. Bảo đảm ATTT mạng – Chương này gồm 04 mục và 21 Điều gồm các Mục: Bảo vệ thông tin mạng, Bảo vệ thông tin cá nhân, Bảo vệ hệ thống thông tin, Ngăn chặn xung đột thông tin trên mạng. Trong đó có các Mục đặc biệt quan trọng và đã được nghiên cứu kỹ là Bảo vệ thông tin cá nhân và Bảo vệ hệ thống thông tin, đây là hai vấn đề nhạy cảm đã được nhiều đại biểu Quốc hội quan tâm tại kỳ họp Quốc hội vừa qua.

* Bảo vệ thông tin mạng: quy định về phân loại thông tin; quản lý gửi thông tin; phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại;bảo đảm an toàn tài nguyên viễn thông; ứng cứu sự cố ATTT mạng và ứng cứu khẩn cấp bảo đảm ATTT mạng quốc gia; trách nhiệm của cơ quan, tổ chức, cá nhân trong bảo đảm ATTT trên mạng.

* Bảo vệ thông tin cá nhân: Cá nhân có trách nhiệm tự bảo vệ thông tin cá nhân của mình và có ý thức tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch trên mạng. Mục này còn quy định trách nhiệm của tổ chức, cá nhân trong việc xử lý thông tin cá nhân và trách nhiệm của cơ quan nhà nước trong việc bảo mật, lưu trữ thông tin cá nhân do mình thu thập.

Về nguyên tắc bảo vệ thông tin cá nhân: Cá nhân phải có ý thức tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng; tổ chức cá, nhân xử lý thông tin cá nhân có trách nhiệm bảo vệ ATTT đối với thông tin cá nhân do mình xử lý; việc bảo vệ thông tin cá nhân thực hiện theo quy định của Luật này và quy định của pháp luật liên quan. Ngoài ra việc xử lý thông tin cá nhân phục vụ mục đích bảo đảm quốc phòng, an ninh, trật tự an toàn xã hội và chỉ để phục vụ nhu cầu sử dụng cá nhân đơn thuần không thuộc phạm vi điều chỉnh của luật này.

* Bảo vệ hệ thống thông tin: Theo đó, để có thể đảm bảo ATTT một cách hiệu quả thì trước hết cần phải xác định cấp độ của hệ thống thông tin, bao gồm 5 cấp độ (từ cấp 1 đến 5). Trong đó, cấp độ 1 là cấp độ thấp nhất, mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia; còn cấp độ 05 là cấp độ cao nhất, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

* Ngăn chặn xung đột thông tin trên mạng: Mục này quy định nội dung trách nhiệm của tổ chức, cá nhân trong việc ngăn chặn xung đột thông tin trên mạng và ngăn chặn hoạt động sử dụng mạng để khủng bố.

 Chương III. Mật mã dân sự - Chương này có 07 Điều quy định các nội dung liên quan đến sản phẩm, dịch vụ mật mã dân sự và các hoạt động có liên quan đến kinh doanh sản phẩm, dịch vụ mật mã dân sự.

Kinh doanh sản phẩm mật mã dân sự là ngành nghề sản xuất cần có sự quản lý của nhà nước. Vì vậy, doanh nghiệp sản xuất sản phẩm mật mã dân sự phải được cơ quan quản lý mật mã dân sự cấp phép.

Chương IV. Tiêu chuẩn, quy chuẩn kỹ thuật ATTT mạng Chương này gồm 03 Điều từ Điều 37 đến Điều 39 quy định các nội dung về tiêu chuẩn, quy chuẩn kỹ thuật ATTT mạng; quản lý tiêu chuẩn, quy chuẩn kỹ thuật ATTT mạng và chứng nhận, công bố hợp quy và đánh giá, kiểm định ATTT mạng.

Chương V. Kinh doanh trong lĩnh vực ATTT mạng – đây là lĩnh vực rất mới, nên hành lang pháp lý cho hoạt động kinh doanh sản phẩm, dịch vụ ATTT mạng còn chưa đầy đủ do đó Luật ATTT mạnghướng tới việc hoàn thiện hành lang pháp lý thông thoáng, công bằng, phù hợp với thông lệ quốc tế, thúc đẩy thị trường phát triển bền vững. Chương này gồm có 02 mục là:

Cấp giấy phép kinh doanh sản phẩm, dịch vụ ATTT mạng, theo đó Kinh doanh trong lĩnh vực ATTT được quy định tại Điều 40 là loại hình kinh doanh có điều kiện bao gồm kinh doanh sản phẩm ATTT và kinh doanh dịch vụ ATTT cần phải tuân thủ theo pháp luật về ngành nghề kinh doanh có điều kiện. Quy định về sản phẩm ATTT lưu hành trên thị trường là yếu tố quan trọng nhằm đảm bảo ATTT và hệ thống thông tin vì vậy đối với mọi sản phẩm ATTT được lưu hành trên thị trường đều phải được Bộ Thông tin và Truyền thông cấp giấy chứng nhận lưu hành, đây là biện pháp nhằm quản lý chặt các sản phẩm có tính chuyên dụng.

Hoạt động sản xuất, kinh doanh, dịch vụ cũng như trong các hoạt động sinh hoạt của đời sống xã hội ít nhiều đều có liên quan đến công nghệ, hệ thống, ngay cả sinh hoạt hàng ngày của người dân. Các cá nhân, tổ chức luôn phải đối mặt với nhiều loại hình tấn công trên mạng, mức độ ngày càng thường xuyên hơn như làm biến dạng trang tin, lừa đảo trên mạng, tấn công từ chối dịch vụ, phát tán mã độc hại và vi-rút máy tính, thư rác, đánh cắp thông tin, phá hoại dữ liệu, làm gián đoạn và phá rối hoạt động của các hệ thống thông tin, phần mềm gián điệp, tấn công hệ thống ngân hàng và mạng bán hàng trực tuyến, tin nhắn lừa đảovà ý thức về bảo vệ thông tin, dữ liệu của tổ chức, cá nhântrên môi trường mạng chưa cao nên cần phải có các cơ quan chuyên môn kiểm soát qua các thủ tục cấp phép cung cấp sản phẩm, dịch vụ,...

Các loại giấy phép quy định trong Luật sẽ giảm dần hoặc khoanh hẹp hơn với một số đối tượng nhất định với điều kiện ý thức của người dân đã tăng lên hoặc hoạt động kiểm soát của cơ quan nhà nước tốt hơn về lĩnh vực ATTT. Các thủ tục này là các quy định ràng buộc các tổ chức, cá nhân có ý thức chủ động bảo vệ thông tin của mình trên môi trường mạng. Tuy nhiên, thủ tục này cũng có những nguy cơ nhất định như làm cho cơ quan quản lý “lơ là” và tin tưởng, thiếu kiểm soát thường xuyên đối với những tổ chức, cá nhân đã được cấp phép.

Quản lý nhập khẩu sản phẩm ATTT mạng: Mục này gồm 2 điều từ Điều 47 đến Điều 48 quy định về nguyên tắc quản lý nhập khẩu sản phẩm ATTT mạng; sản phẩm nhập khẩu theo giấy phép ATTT mạng.

Chương VI. Phát triển nguồn nhân lực ATTT mạngNội dung của Chương này quy định về các hoạt động đào tạo, bồi dưỡng nghiệp vụ về ATTT mạng, văn bằng, chứng chỉ đào tạo về ATTT mạng tại Việt Nam, thể hiện đúng đường lối chủ trương của Đảng và Nhà nước ta trong thời gian vừa qua.

Để có kiến thức chuyên ngành về ATTT và nâng cao trình độ cho cán bộ quản lý kỹ thuật về ATTT thì chủ quản hệ thống thông tin sử dụng nguồn vốn ngân sách nhà nước phải có trách nhiệm đào tạo, bồi dưỡng kiến thức nghiệp vụ cho các đối tượng này. Đồng thời, các Bộ chức năng phải xây dựng kế hoạch và tổ chức thực hiện đào tạo, bồi dưỡng kiến thức, nghiệp vụ về ATTT cho cán bộ, công chức, viên chức trong cơ quan, tổ chức nhà nước.

Chương VII. Quản lý nhà nước về ATTT mạng - Mặc dù các Chương, Điều của Luật đã có những quy định về phân công trách nhiệm cụ thể của các bộ, ngành, địa phương trong việc chỉ đạo, phối hợp tổ chức các biện pháp đảm bảo ATTT, Chương VII của Luật vẫn hệ thống hoá các quyền và nghĩa vụ của từng cơ quan quản lý nhà nước và địa phương để giúp các cơ quan này có thể tham chiếu một cách hệ thống cơ bản về các quyền hạn và trách nhiệm của mình trong quá trình đảm bảo ATTT.

- Chương VIII. Điều khoản thi hành– Quy định về thời điểm có hiệu lực của Luật và giao Chính phủ quy định chi tiết các điều, khoản được giao trong Luật và hướng dẫn những nội dung cần thiết khác của Luật này để đáp ứng yêu cầu quản lý nhà nước về ATTT mạng.

NH