Xây dựng tiêu chuẩn quốc gia đối với an toàn hệ thống thông tin theo cấp độ

Chiều 9/12, Bộ TT&TT đã tổ chức Hội thảo xin ý kiến chuyên gia về tiêu chuẩn bảo đảm an toàn thông tin (ATTT). Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng đã chủ trì Hội thảo. Tham dự hội thảo có các chuyên gia ATTT từ các đơn vị thuộc Bộ TT&TT, các doanh nghiệp CNTT, ATTT, Hiệp hội ATTT...

Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng chủ trì Hội thảo

Phát biểu chỉ đạo Hội thảo, Thứ trưởng Nguyễn Thành Hưng nhấn mạnh: “Xây dựng tiêu chuẩn về “Yêu cầu cơ bản về hệ thống thông tin theo cấp độ” là công việc hệ trọng vì có tác động rộng lớn đến toàn xã hội. Việc xây dựng tiêu chuẩn phải có sự đồng thuận, tìm ra cách hài hòa nhất để đưa ra các khuyến nghị tối thiểu trên tinh thần cơ quan chủ quản hệ thống thông tin phải có trách nhiệm. Tình hình ATTT luôn diễn biến những rủi ro nên tiêu chuẩn sẽ được liên tục bổ sung, cập nhật khi có điều kiện”.

Luật An toàn thông tin (ATTT) mạng được Quốc hội khóa 13 thông qua ngày 19/11/2015 và có hiệu lực từ ngày 01/7/2016. Trong đó, Luật quy định việc quản lý và thực thi bảo vệ hệ thống thông tin theo cấp độ ATTT. Để có những quy định chi tiết về việc bảo đảm an toàn hệ thống thông tin (HTTT) theo từng cấp độ, cơ quan, tổ chức căn cứ vào các quy định của Nghị định số 85/2016-NĐ-CP (Nghị định 85) ngày 01/7/2016 về bảo đảm an toàn HTTT theo cấp độ.

Nghị định 85 quy định cụ thể tiêu chí xác định 5 cấp độ. Cụ thể: Cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng. Cấp độ 2 là HTTT có một trong các tiêu chí: 1- HTTT phục vụ hoạt động nội bộ của cơ quan, tổ chức và có xử lý thông tin riêng, thông tin cá nhân của người sử dụng nhưng không xử lý thông tin bí mật nhà nước; 2- HTTT phục vụ người dân, doanh nghiệp; 3- Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một cơ quan, tổ chức… Cấp độ 3 là HTTT xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh khi bị phá hoại sẽ làm tổn hại tới quốc phòng, an ninh quốc gia; HTTT phục vụ người dân, doanh nghiệp thuộc một trong các hình thức: Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 3 trở lên theo quy định của pháp luật; cung cấp dịch vụ trực tuyến thuộc danh mục dịch vụ kinh doanh có điều kiện; cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trở lên... Cấp độ 4 là HTTT quốc gia phục vụ phát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc; HTTT điều khiển công nghiệp trực tiếp phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng câp I theo phân cấp của pháp luật về xây dựng. Cấp độ 5 là HTTT xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia; hoặc là HTTT phục vụ lưu trữ dữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọng của quốc gia; hoặc là hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế…

Theo Quy định tại Điều 19 của Nghị định 85, việc bảo đảm an toàn HTTT phải đảm bảo các yêu cầu an toàn cơ bản theo tiêu chuẩn, quy chuẩn kỹ thuật về ATTT. Theo đó, Bộ TT&TT xây dựng dự thảo tiêu chuẩn và ban hành quy chuẩn kỹ  thuật về ATTT. Thực hiện nhiệm vụ được giao, Cục ATTT chủ trì xây dựng dự thảo Tiêu chuẩn về “Yêu cầu cơ bản về hệ thống thông tin theo cấp độ”.

Toàn cảnh Hội thảo

Nội dung chính của dự thảo Tiêu chuẩn bao gồm các yêu cầu kỹ thuật và yêu cầu quản lý. Yêu cầu kỹ thuật chia làm 4 nhóm bao gồm 139 tiêu chí cụ thể. Yêu cầu quản lý gồm: Chính sách ATTT; Tổ chức bảo đảm ATTT; Bảo đảm nguồn nhân lực; Quản lý thiết kế; Xây dựng hệ thống; Quản lý vận hành an toàn HTTT; Quản lý an toàn thiết bị đầu cuối.

Theo Cục ATTT, dự thảo Tiêu chuẩn được xây dựng trên cơ sở tham khảo các tiêu chuẩn quốc tế, tiêu chuẩn của các nước phát triển về CNTT và các tiêu chuẩn quốc gia đã ban hành. Các tiêu chuẩn được lựa chọn có nội dung cho phù hợp với cơ cấu tổ chức, công tác quản lý nhà nước về ATTT cũng như điều kiện thực tế của Việt Nam hiện nay. Đặc biệt đối tượng và phạm vi áp dụng tiêu chuẩn phải phù hợp với quy định tại Nghị định 85 là các hệ thống thông tin phục vụ ứng dụng CNTT trong hoạt động của cơ quan, tổ chức nhà nước và cung cấp dịch vụ trực tuyến phục vụ người dân và doanh nghiệp.

Dự thảo được xây dựng trên cơ sở tham chiếu 2 tiêu chuẩn, tiêu chuẩn SP800-53 của Mỹ để xây dựng các yêu cầu về kỹ thuật và tiêu chuẩn ISO/IEC 27001:2013 để xây dựng các yêu cầu về quản lý. Các nội dung được lựa chọn để xây dựng tiêu chuẩn tập trung vào nội dung bảo vệ hệ thống thông tin trên môi trường mạng và đảm bảo các yêu cầu này là cơ bản, khả thi và phù hợp với đối tượng áp dụng. Những nội dung khác như an toàn vật lý, bảo vệ thông tin cá nhân… có trong các tiêu chuẩn tham chiếu sẽ được nghiên cứu xây dựng thành các tiêu chuẩn phù hợp.

Các yêu cầu được phân chia thành 5 cấp độ phù hợp, trong đó trước hết cần xây dựng các yêu cầu cho cấp độ 5. Đối với các yêu cầu cụ thể, các nội dung của mỗi yêu cầu được sắp xếp theo thứ tự từ cơ bản đến nâng cao. Các yêu cầu cầu cơ bản có các tiêu chí: cần thiết, dễ triển khai và không phải chi phí đầu tư lớn. Các yêu cầu mở trên các mức cơ bản là yêu cầu có mức triển khai phức tạp và đòi hỏi chuyên môn cao hơn. Các mức yêu cầu ở mức độ nâng cao là các yêu cầu phải nâng cấp đầu tư để đáp ứng yêu cầu đặt ra. Trên cở cấp độ 5 đầy đủ các yêu cầu, các cấp độ còn lại được giản lược bởi các yêu cầu cho phù hợp với từng cấp độ theo tiêu chí xác định cấp độ quy định ở Nghị định 85.

Các chuyên gia tham dự Hội thảo đều đồng thuận với nội dung Dự thảo. Ông Vũ Bảo Thạch, chuyên gia MISOFT, nhất trí xây dựng Dự thảo trên cơ sở tham chiếu Tiêu chuẩn SP800-53 và ISO 27001:2013. Theo ông Thạch, hệ thống thông tin cấp độ 5 cần được bảo đảm ATTT mạnh nhất với những giải pháp tốt nhất. Đặc biệt cần có sự phân biệt rõ ràng giữa các cấp độ. Để đánh giá một hệ thống thông tin thuộc cấp độ nào, cần phải tiến hành “đánh giá rủi ro” trước, từ đó kết hợp với việc áp dụng các biện pháp kỹ thuật. “Khi xác định HTTT thuộc cấp độ 1 thì cần đặt câu hỏi biện pháp bảo đảm có thừa không, còn đối với cấp độ 5 thì câu hỏi sẽ là biện pháp bảo đảm ATTT có thiếu không”. Đặc biệt, đối với HTTT cấp độ 4, 5, cần phải tiến hành đánh giá ATTT trước khi tiến hành mua sắm trang thiết bị.Ông cũng khuyến nghị tham chiếu Tiêu chuẩn ST800-82 về đảm bảo ATTT cho tự động hóa điều khiển. Đây là mức độ bảo đảm ATTT cao hơn hẳn so với Tiêu chuẩn SP800-53, được Mỹ áp dụng cho các nhà máy điện hạt nhân và các nhà máy lọc dầu…

Cũng tại Hội thảo, nhận thức HTTT có vai trò quan trọng đối với cơ quan nhà nước, nhất là lãnh đạo các cơ quan chủ quản HTTT cũng được đề cao. Ông Triệu Trần Đức, CMC Inforsec khẳng định, để đảm bảo ATTT nhận thức đóng vai trò quan trọng bậc nhất. Nếu làm tốt về nhận thức, có những trường hợp chỉ cần sử dụng những giải pháp có chi phí chỉ bằng 1/50 mà hiệu quả vẫn cao. Đặc biệt, ông Đức lưu ý nhận thức về đảm bảo ATTT của những đơn vị, tổ chức sở hữu, quản lý HTTT cấp độ 4, 5 cần phải cao hơn hẳn so với cấp độ 1, 2, 3.

Đại diện cho VNCERT, ông Nguyễn Khắc Lịch, Phó Giám đốc cho biết, không hẳn đầu tư nhiều tiền thì ATTT được đảm bảo tốt hơn. ATTT về bản chất có 3 trục lớn là: tổ chức, con người và trang thiết bị. Nếu biết kết hợp 3 trục này một cách tối ưu thì sẽ không cần tiêu tốn quá nhiều tiền cho ATTT.

Ông Nguyễn Chí Thành, Chánh Văn phòng Hiệp hội ATTT Việt Nam (VNISA) đã đưa ra hai khó khăn cơ bản trong đảm bảo ATTT tại Việt Nam là: tài chính không nhiều và nguồn nhân lực yếu. Doanh nghiệp thì đầu tư cho ATTT theo kiểu “tiền đến đâu làm đến đó”. Nhiều Bộ, Ban, ngành thậm chí chưa có cán bộ chuyên trách về CNTT, ATTT. Theo đó, ông Thành kiến nghị nên quy định mức tối thiểu, tối đa về việc bảo đảm ATTT để tạo điều kiện cho các cơ quan, doanh nghiệp áp dụng vào điều kiện thực tế của đơn vị mình.

Trong thời gian tới, Bộ TT&TT sẽ tiếp tục lấy ý kiến rộng rãi các tổ chức, cơ quan nhà nước… để hoàn thiện dự thảo tiêu chuẩn quốc gia về yêu cầu cơ bản về an toàn HTTT theo cấp độ.