7 vấn đề cơ bản về an toàn thông tin cần được giải quyết trong luật (P1)

CÁC NGUYÊN TẮC ĐỊNH HƯỚNG XÂY DỰNG DỰ THẢO LUẬT

Tương tự bất kỳ văn bản Luật nào, dự thảo Luật An toàn thông tin (ATTT) tuân thủ những nguyên tắc chung, kèm theo một số yếu tố đặc thù của Luật chuyên ngành:

a)Có tính thực tiễn, phù hợp thông lệ quốc  tế : Đây là nguyên tắc đầu tiên và căn bản nhất của công việc xây dựng văn bản Luật.

b)Có tính tương đối : Quy định các biện pháp bảo vệ ATTT phải được cân nhắc trên cơ sở ước tính chi phí cho áp dụng biện pháp bảo vệ phải ở mức hợp lý so với thiệt hại do mất ATTT gây ra.

c)Có tính đây đủ : Quy định về bảo đảm ATTT phải áp dụng cho tất cả các giai đoạn trong vòng đời của thông tin và HTTT, đồng thời bao trùm lên các nội dung về ATTT hiện có trong các văn bản dưới Luật đã được ban hành.

d)Có tính khái quát : Đây cũng là nguyên tắc chung của việc xây dựng văn bản Luật, chỉ nêu những yêu cầu có tính phổ quát tối thiểu, đặc biệt đối với lĩnh vực CNTT luôn có sự thay đổi rất nhanh chóng.

BẢO VỆ AN TOÀN CHO THÔNG TIN VÀ HỆ THỐNG THÔNG TIN

Các thuật ngữ, khái niệm trong lĩnh vực ATTT khá đa dạng và tương đối mới mẻ ở Việt Nam. An toàn thông tin là gì? Có nhiều cách định nghĩa nhưng phổ biến nhất là: ATTT là sự bảo vệ thông tin và hệ thống thông tin tránh bị truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi, xóa bỏ hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin [1,2].

Thông tin có thể tồn tại dưới dạng truyền thống là bản giấy hoặc dưới dạng điện tử, được tạo lập bằng phương tiện điện tử và được chia sẻ, truyền đưa qua mạng - nơi gây ra nguy cơ mất ATTT phổ biến hiện nay. Vòng đời của loại hình thông tin điện tử được mô tả khái quát trong Hình 1a.

Hình 1b cho thấy, khi thông tin được lưu chuyển, truyền đưa trên mạng, các đối tượng liên quan sẽ có hành vi bị điều chỉnh theo các quy định về sử dụng mật mã để mã hóa, bảo mật thông tin; quy định về ngăn chặn, không được gửi thư rác trái phép, phát tán mã độc và phần mềm độc hại và quy định về điều phối, ứng cứu sự cố mạng khi xảy ra sự cố mất ATTT.

Nếu thông tin tồn tại hoặc được lưu trữ trong phương tiện mang tin rời rạc, không kết nối mạng thì việc bảo đảm ATTT chính là bảo vệ vật lý cho phương tiện mang tin. Vì vậy, việc bảo vệ vật lý này giống với việc bảo vệ vật lý cho các tài sản hữu hình khác, không có yếu tố đặc thù. Trong các trường hợp còn lại, trừ khi truyền đưa qua mạng, thông tin tồn tại trong hệ thống thông tin (HTTT). Do đó, việc bảo đảm ATTT chính là bảo vệ thông tin và HTTT. Để bảo đảm ATTT, bên cạnh xem xét vòng đời của thông tin, cũng cần xem xét tới vòng đời của HTTT, bao gồm các giai đoạn: thiết kế, xây dựng, vận hành, nâng cấp và hủy bỏ HTTT. Mỗi giai đoạn trong vòng đời của HTTT lại có yêu cầu đặc thù về ATTT khác nhau và được mô tả khái quát trong Hình 2a. Trong các giai đoạn trên, giai đoạn vận hành là giai đoạn có nhiều yêu cầu đặc thù về ATTT nhất vì công nghệ thay đổi nhanh, đòi hỏi phải định kỳ thực hiện đánh giá rủi ro, cập nhật phiên bản phần mềm mới nhất...

Khi thông tin được lưu trữ, xử lý thông qua các hệ thống thông tin, các đối tượng liên quan sẽ có hành vi bị điều chỉnh theo các quy định về tuân thủ, áp dụng tiêu chuẩn, quy chuẩn kỹ thuật; quy định về thẩm định an toàn thông tin trong thiết kế; quy định về phân loại và bảo vệ an toàn thông tin theo cấp độ khi xây dựng, vận hành, hủy bỏ hệ thống thông tin; quy định về quản lý an toàn thông tin đối với việc kinh doanh sản phẩm và dịch vụ an toàn thông tin cùng một số các quy định khác có liên quan (Hình 2b)

Về cơ bản, có thể phân thành 02 loại xâm phạm ATTT là:

-Xâm phạm vật lý theo các hình thức truyền thống như: chặt đứt dây cáp, tác động vật lý làm hỏng thiết bị, lấy cắp thiết bị. Chế tài cho các hành vi xâm phạm vật lý đã được quy định tương đối đầy đủ trong các văn bản pháp luật hiện hành.

-Xâm phạm qua mạng: Đây là vấn đề đặc thù, gắn chặt với việc sử dụng CNTT&TT, mới phát sinh và trở nên hiện tượng phổ biến ở Việt Nam cũng như trên phạm vi toàn cầu. Hành lang pháp lý hiện hành còn thiếu, chưa phù hợp với tình hình thực tiễn.

MỤC TIÊU VÀ PHẠM VI ĐIỀU CHỈNH CỦA DỰ THẢO LUẬT ATTT

Từ việc phân tích trên, mục tiêu và phạm vi điều chỉnh xuyên suốt của dự thảo Luật ATTT (phiên bản 4.1, ngày 11/3/2014) là tạo ra hành lang pháp lý rõ ràng nhằm:

-Bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin và HTTT trước nguy cơ bị xâm phạm ATTT qua mạng.

-Bảo đảm môi trường mạng quốc gia của Việt Nam an toàn, lành mạnh, phục vụ phát triển kinh tế, xã hội.

Ngoài ra, dự thảo Luật ATTT cũng nhằm mục tiêu hoàn thiện thêm một bước nữa hệ thống "nội luật“, thiết lập hàng rào kỹ thuật để tạo lập thị trường và năng lực công nghệ trong nước, phù hợp với thông lệ quốc tế.

ThS. Nguyễn Huy Dũng

(còn nữa)

(TCTTTT Kỳ 2/3/2014)