(CTTĐTBP) - Ngày 28/2, Bộ Thông tin và Truyền thông ban hành văn bản hướng dẫn triển khai một số nhiệm vụ trọng tâm về an toàn thông tin mạng trong năm 2023.
Theo đó, nhằm đẩy mạnh triển khai các hoạt động tuân thủ, bảo đảm an toàn thông tin mạng theo quy định tại các văn bản quy phạm pháp luật và chỉ đạo, điều hành của Thủ tướng Chính phủ tại các chiến lược, đề án, quyết định, chỉ thị, Bộ Thông tin và Truyền thông hướng dẫn và đề nghị các bộ, ngành, địa phương chỉ đạo đơn vị chuyên trách về an toàn thông tin (Sở Thông tin và Truyền thông các tỉnh, thành phố; đơn vị được giao chuyên trách về an toàn thông tin tại các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ) rà soát tổng thể và tổ chức thực hiện để đảm bảo hoàn thành các nhiệm vụ được cấp có thẩm quyền giao.
Triển khai Chiến lược an toàn, an ninh mạng quốc gia
Chiến lược an toàn, an ninh mạng quốc gia đã đề ra các mục tiêu cụ thể và đưa ra nhiệm vụ, giải pháp tổng thể, rõ ràng về an toàn, an ninh mạng đến năm 2025, tầm nhìn năm 2030. Các hoạt động về an toàn thông tin mạng quy mô quốc gia do các bộ, ngành, địa phương triển khai trong năm 2023 cũng như các năm tới đây cần tập trung trọng tâm để triển khai các nhiệm vụ, giải pháp này nhằm đạt được mục tiêu của Chiến lược.
Bộ Thông tin và Truyền thông đề nghị các cơ quan ban hành kế hoạch triển khai Chiến lược đối với các bộ, ngành, địa phương chưa ban hành kế hoạch. Kế hoạch triển khai Chiến lược cần xác định rõ mục tiêu cụ thể đến năm 2025 và mục tiêu cụ thể đến năm 2030, phù hợp với mục tiêu cụ thể của Chiến lược. Từ mục tiêu này, cần phân kỳ mục tiêu cụ thể từng năm (từng quý trong năm nếu có thể) trong giai đoạn để triển khai thực hiện và thuận tiện trong việc giám sát, quản lý thực thi. Đối với các cơ quan có điều kiện, nguồn lực triển khai tốt, khuyến nghị đặt mục tiêu cao hơn mục tiêu của Chiến lược để bù đắp cho kết quả của các cơ quan có điều kiện, nguồn lực khó khăn. Đảm bảo hoàn thành mục tiêu tổng thể trên cả nước.
Nhằm quản lý thực thi Chiến lược (đối với lĩnh vực an toàn thông tin mạng), Bộ Thông tin và Truyền thông sẽ xây dựng và lấy ý kiến các cơ quan liên quan dự thảo Bộ tiêu chí đánh giá kết quả triển khai Chiến lược an toàn, an ninh mạng trước khi ban hành. Từ năm 2023, Bộ Thông tin và Truyền thông sẽ tổ chức đánh giá, xếp hạng và công bố kết quả triển khai thực thi Chiến lược hàng năm đối với lĩnh vực an toàn thông tin mạng. Bố trí nguồn lực để tập trung triển khai các nhiệm vụ được giao tại Chiến lược theo kế hoạch đã ban hành, đảm bảo đạt mục tiêu cụ thể đã đề ra.
Bảo đảm an toàn hệ thống thông tin theo cấp độ
Bảo đảm an toàn hệ thống thông tin theo cấp độ là tinh thần cốt lõi của Luật An toàn thông tin mạng và hành lang pháp lý về an toàn thông tin mạng. Đồng thời, là đặc điểm, đặc trưng riêng của Việt Nam trong công tác bảo đảm an toàn thông tin mạng nhằm tập trung nguồn lực, giải pháp để bảo đảm an toàn theo mức độ quan trọng của thông tin, hệ thống thông tin trong bối cảnh nguồn lực dành cho an toàn thông tin còn nhiều khó khăn, hạn chế.
Bộ Thông tin và Truyền thông đề nghị tập trung rà soát, hoàn thành việc phân loại, xác định và phê duyệt đề xuất cấp độ an toàn đối với 100% hệ thống thông tin đang vận hành trước ngày 31/3/2023. Để các cơ quan thuận tiện trong quá trình xây dựng, thẩm định và phê duyệt, hồ sơ mẫu của hồ sơ đề xuất cấp độ đã được Bộ Thông tin và Truyền thông (Cục An toàn thông tin) hướng dẫn, cung cấp trước đây tại địa chỉ:
https://ais.gov.vn/thong-tin-tham-khao/mau-hsdxcd.htm.
Bộ Thông tin và Truyền thông sẽ công bố Nền tảng hỗ trợ bảo đảm an toàn hệ thống thông tin theo cấp độ để các cơ quan có thể sử dụng, phục vụ hoạt động này tại các cơ quan. Triển khai đầy đủ phương án bảo đảm an toàn hệ thống thông tin theo cấp độ cho 100% hệ thống thông tin đang vận hành trước ngày 30/9/2023. Căn cứ hồ sơ đề xuất cấp độ và phương án bảo đảm an toàn hệ thống thông tin đã được phê duyệt, đề nghị tổ chức rà soát, đánh giá và triển khai đầy đủ phương án bảo đảm an toàn thông tin, bảo đảm tất cả yêu cầu quản lý, yêu cầu kỹ thuật đều được đáp ứng, đặc biệt là các yêu cầu chưa đáp ứng tại thời điểm phê duyệt hồ sơ đề xuất cấp độ.
Đối với các hệ thống thông tin đầu tư mới hoặc mở rộng, nâng cấp, khuyến nghị xây dựng và phê duyệt hồ sơ đề xuất cấp độ trước khi phê duyệt báo cáo nghiên cứu khả thi (hoặc hồ sơ tương đương) và triển khai đầy đủ phương án bảo đảm an toàn thông tin đã được phê duyệt tại hồ sơ đề xuất cấp độ trước khi đưa vào vận hành, khai thác theo quy định tại khoản 6, điều 9 Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ. Định kỳ trước 25 hàng tháng, cung cấp thông tin về tình hình, kết quả triển khai về Bộ Thông tin và Truyền thông (Cục An toàn thông tin) để tổng hợp, báo cáo Thủ tướng Chính phủ. Sau khi Nền tảng hỗ trợ bảo đảm an toàn hệ thống thông tin theo cấp độ được khai trương đưa vào sử dụng, thông tin và số liệu sẽ được Bộ Thông tin và Truyền thông giám sát, truy xuất trực tiếp từ Nền tảng.
Duy trì và nâng cao hiệu quả công tác bảo đảm an toàn thông tin theo mô hình “4 lớp”
Bảo đảm an toàn thông tin theo mô hình “4 lớp” (Lực lượng tại chỗ; Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp; Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ; Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia) được Thủ tướng Chính phủ chỉ đạo thực hiện tại Chỉ thị số 14/CT-TTg ngày 07/6/2019 của Thủ tướng Chính phủ về việc tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam. Hiện nay, thống kê theo báo cáo của các cơ quan, 100% bộ, cơ quan ngang bộ, địa phương đã triển khai bảo đảm an toàn thông tin theo mô hình “4 lớp”. Tuy nhiên, theo đánh giá của Bộ Thông tin và Truyền thông, công tác bảo đảm an toàn thông tin theo mô hình “4 lớp” của các cơ quan vẫn ở mức cơ bản, chưa đáp ứng được đầy đủ yêu cầu để bảo đảm an toàn thông tin.
Bộ Thông tin và Truyền thông đề nghị các cơ quan triển khai thực hiện các giải pháp về lực lượng tại chỗ: tổ chức, kiện toàn lực lượng tại chỗ theo hướng chuyên nghiệp, cơ động, có tối thiểu 5 chuyên gia an toàn thông tin mạng (bao gồm cả chuyên gia thuê ngoài) thông qua hoạt động đào tạo, tuyển dụng hoặc thuê ngoài chuyên gia. Tích cực khai thác, sử dụng Nền tảng điều phối xử lý sự cố an toàn thông tin mạng quốc gia do Cục An toàn thông tin triển khai (tại địa chỉ irlab.vn) trong công tác báo cáo sự cố, ứng cứu sự cố, huấn luyện, diễn tập để nâng cao năng lực cán bộ và được hỗ trợ khi xảy ra sự cố an toàn thông tin mạng.
Về giám sát, bảo vệ chuyên nghiệp: hoàn thành mở rộng phạm vi giám sát, bảo vệ cho 100% hệ thống thông tin thuộc phạm vi quản lý trước ngày 30/11/2023. Đối với các hệ thống thông tin cấp độ 3 trở lên, khuyến nghị tổ chức giám sát, bảo vệ đầy đủ các lớp: lớp mạng, lớp ứng dụng, lớp cơ sở dữ liệu, lớp thiết bị đầu cuối.
Kiểm tra tuân thủ quy định của pháp luật về an toàn thông tin mạng
Thống kê theo báo cáo của các cơ quan, năm 2022 chỉ có khoảng 5% cơ quan tổ chức đoàn kiểm tra, đánh giá tuân thủ quy định của pháp luật về an toàn thông tin đối với các đơn vị, tổ chức, doanh nghiệp thuộc phạm vi quản lý. Điều này dẫn đến mức độ tuân thủ các quy định về bảo đảm an toàn thông tin của các đơn vị trực thuộc các bộ, ngành, địa phương còn lỏng lẻo, hạn chế, chưa được quan tâm thực hiện đầy đủ. Đây là một trong những nguyên nhân cơ bản khiến cho nguy cơ mất an toàn thông tin trong hoạt động của cơ quan, tổ chức còn nhiều vấn đề đáng lo ngại.
Bộ Thông tin và Truyền thông cũng đề nghị trong năm 2023, tổ chức tối thiểu 1 đoàn kiểm tra, đánh giá tuân thủ các quy định pháp luật về an toàn thông tin đối với các đơn vị, tổ chức, doanh nghiệp thuộc phạm vi quản lý. Từ đó, đưa hoạt động bảo đảm an toàn thông tin trở nên quy củ, hiệu quả. Trong đó, ưu tiên, tập trung kiểm tra tuân thủ quy định pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ (theo Luật An toàn thông tin mạng, Nghị định số 85/2016/NĐ-CP và các văn bản hướng dẫn) và bảo vệ thông tin, dữ liệu cá nhân (theo quy định tại Mục 2 Chương II Luật An toàn thông tin mạng); ưu tiên kiểm tra, đánh giá đối với các đơn vị, tổ chức, doanh nghiệp đang được giao quản lý, vận hành nhiều hệ thống thông tin hoặc hệ thống thông tin quan trọng, dùng chung.
Diễn tập thực chiến an toàn thông tin mạng
Thủ tướng Chính phủ đã ban hành Chỉ thị số 18/CT-TTg ngày 13/10/2022 về việc đẩy mạnh ứng cứu sự cố an toàn thông tin mạng Việt Nam, trong đó nêu rõ các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương: “Tổ chức diễn tập thực chiến tối thiểu 1 lần/năm đối với hệ thống thông tin cấp độ 3 trở lên, nhằm đánh giá khả năng phòng ngừa xâm nhập và khả năng phát hiện kịp thời các điểm yếu về quy trình, công nghệ, con người”.
Bộ trưởng Bộ Thông tin và Truyền thông đã ban hành Chỉ thị số 60/CT-BTTTT ngày 16/9/2021 về việc tổ chức triển khai diễn tập thực chiến bảo đảm an toàn thông tin mạng, trong đó nêu rõ đơn vị chuyên trách về an toàn thông tin: “Tham mưu cho các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương về kế hoạch, bố trí kinh phí hàng năm để tổ chức ít nhất 1 cuộc diễn tập thực chiến chuyên đề an toàn thông tin, ứng cứu sự cố mạng trong phạm vi của bộ, ngành, địa phương”.
Năm 2022, Bộ Thông tin và Truyền thông đã tổ chức 3 cuộc diễn tập thực chiến quy mô quốc gia. Khoảng 50% bộ, ngành, địa phương đã tổ chức diễn tập thực chiến ở các quy mô khác nhau trong phạm vi quản lý. Kết quả và hiệu quả của các cuộc diễn tập thực chiến bước đầu cho chúng ta thấy sự đúng đắn và cần thiết của mô hình diễn tập này, đối với cả hệ thống thông tin lẫn năng lực của cán bộ an toàn thông tin. Diễn tập thực chiến không chỉ đánh giá khả năng ứng phó trước các cuộc tấn công mạng, tăng cường năng lực và kinh nghiệm của cán bộ làm về an toàn thông tin, cải tiến quy trình ứng cứu sự cố mà còn giúp phát hiện ra nhiều điểm yếu, lỗ hổng nghiêm trọng đang tồn tại trên hệ thống thông tin, có khả năng dẫn đến hậu quả khó lường nếu bị tấn công mạng. Vì vậy, hoạt động này cần được thực hiện định kỳ, thường xuyên.
Bộ Thông tin và Truyền thông đề nghị mỗi bộ, ngành, địa phương tổ chức tối thiểu 1 cuộc diễn tập thực chiến an toàn thông tin mạng trong năm 2023. Trong đó, đảm bảo có tổ chức diễn tập thực chiến cho các hệ thống thông tin cấp độ 3 trở lên. Đối với các hệ thống thông tin được sử dụng để diễn tập thực chiến, khi phát hiện ra lỗ hổng, điểm yếu hoặc sự cố tấn công mạng, ngoài việc cập nhật bản vá, cần thực hiện săn lùng mối nguy hại để phát hiện và xử lý hành vi xâm nhập, phá hoại đã được thực hiện trước khi lỗ hổng, điểm yếu được phát hiện. Từ đó, loại bỏ nguy cơ tiềm ẩn dẫn đến mất an toàn hệ thống thông tin.
Đẩy mạnh tuyên truyền nâng cao nhận thức và phổ biến kỹ năng
Đối với các cuộc tấn công mạng qua hình thức lây nhiễm mã độc, nhất là tấn công mạng có chủ đích, đối tượng tấn công thông thường sẽ tấn công người làm trong tổ chức để từ đó tấn công leo thang sang hệ thống thông tin của tổ chức. Vì vậy, để bảo đảm an toàn thông tin cho cơ quan, tổ chức nhà nước thì việc nâng cao nhận thức và trang bị kỹ năng an toàn thông tin cho cán bộ, công chức, viên chức và người lao động là rất quan trọng. Theo đánh giá, hơn 80% sự cố mất an toàn thông tin là do người sử dụng không có nhận thức và kỹ năng tự bảo vệ.
Đối với người dùng Internet, vấn đề gốc, cốt lõi nhất là làm sao để người dân có thể chủ động bảo vệ mình trên không gian mạng. Vì vậy, cần nâng cao nhận thức và trang bị kỹ năng an toàn thông tin cho đông đảo người dân. An toàn thông tin là lĩnh vực khó, chuyên sâu kỹ thuật. Để người sử dụng ý thức, quan tâm đến vấn đề này thì hoạt động tuyên truyền nâng cao nhận thức và phổ biến kỹ năng cần đáp ứng các tiêu chí: “Rộng”, “Thường xuyên”, “Dễ hiểu” và “Ấn tượng”. Công tác này bước đầu đã được các cơ quan, tổ chức quan tâm nhưng chưa chú trọng thực hiện, chưa có giải pháp đáp ứng được các tiêu chí trên.
Cuối năm 2022, Bộ Thông tin và Truyền thông đã thành lập Liên minh tuyên truyền nâng cao nhận thức, kỹ năng bảo đảm an toàn thông tin cho người dân trên không gian mạng. Liên minh sẽ xây dựng và chia sẻ miễn phí nội dung tuyên truyền và phổ biến kỹ năng dưới nhiều hình thức: video, tài liệu, poster, bài viết… để tất cả các cơ quan, tổ chức, doanh nghiệp sử dụng phục vụ cho hoạt động tuyên truyền, phổ biến kỹ năng cho người sử dụng thuộc phạm vi quản lý của mình.
Bộ Thông tin và Truyền thông đề nghị cơ quan, tổ chức liên hệ Cục An toàn thông tin để được cung cấp miễn phí nội dung (video, tài liệu, poster, bài viết,…) và tổ chức triển khai tuyên truyền nâng cao nhận thức, phổ biến kỹ năng cho cán bộ, công chức, viên chức, người lao động của cơ quan cũng như người dân trên địa bàn do cơ quan quản lý. Tận dụng tối đa tất cả các kênh tuyên truyền như: sự kiện, mạng xã hội, website, hệ thống thư điện tử, tin nhắn SMS, các ứng dụng thông minh… Khuyến nghị việc tuyên truyền qua các kênh nêu trên cần được thực hiện định kỳ hàng tuần, tháng, quý tùy theo nội dung để đảm bảo tính thường xuyên, liên tục. Đối với các địa phương, Bộ Thông tin và Truyền thông đề nghị tuyên truyền tối đa trên các hệ thống thông tin cơ sở (đài truyền thanh, đài truyền hình). Tổ chức xây dựng một số nội dung tuyên truyền ấn tượng, phù hợp với đặc điểm, đặc trưng, bản sắc văn hóa của ngành, địa phương để tạo hiệu quả cao và phạm vi tuyên truyền rộng đến mọi đối tượng của cộng đồng. Tham gia hưởng ứng mạnh mẽ Chiến dịch tuyên truyền nâng cao nhận thức về an toàn thông tin do Bộ Thông tin và Truyền thông phát động, dự kiến diễn ra trong quý II năm 2023.
Bảo vệ thông tin, dữ liệu cá nhân
Thời gian qua, công tác bảo đảm an toàn dữ liệu, thông tin cá nhân vẫn chưa được các cơ quan, tổ chức thực sự quan tâm triển khai. Hiện tượng lộ lọt dữ liệu, thông tin cá nhân vẫn diễn ra với mức độ ngày càng phức tạp, nguy hiểm, ảnh hưởng không nhỏ đến quá trình kết nối, mở rộng, chia sẻ dữ liệu quốc gia, cũng như quá trình chuyển đổi số quốc gia. Năm 2023 là Năm dữ liệu số quốc gia. Khi dữ liệu, thông tin cá nhân càng được tạo ra nhiều dẫn đến nguy cơ lộ lọt, mất an toàn thông tin ngày càng lớn, đặt ra vấn đề bảo vệ dữ liệu, thông tin cá nhân càng trở nên quan trọng.
Bộ Thông tin và Truyền thông đề nghị các cơ quan chỉ đạo các đơn vị triển khai hoạt động thu thập, xử lý, sử dụng, lưu trữ thông tin cá nhân phải tuân thu quy định tại mục 2 Chương II Luật An toàn thông tin mạng và các văn bản hướng dẫn có liên quan. Phê duyệt hồ sơ đề xuất cấp độ và triển khai đầy đủ phương án bảo đảm an toàn hệ thống thông tin theo cấp độ đối với các hệ thống thông tin có thu thập, xử lý, lưu trữ thông tin cá nhân. Đặc biệt là các hệ thống thông tin phục vụ chuyển đổi số, hệ thống thông tin dùng chung.
Các phần mềm nội bộ do cơ quan, đơn vị xây dựng khuyến nghị áp dụng “Khung phát triển phần mềm an toàn (phiên bản 1.0)” theo hướng dẫn tại Công văn số 166/CATTT-ATHTTT ngày 10/02/2022 của Cục An toàn thông tin. Hệ thống thông tin thử nghiệm có thu thập, xử lý, lưu trữ thông tin cá nhân cần phải được bảo đảm an toàn hệ thống thông tin như hệ thống thật đang vận hành. Tăng cường kiểm tra, đánh giá tuân thủ quy định của pháp luật về bảo vệ thông tin cá nhân theo mục 4 nêu trên, đặc biệt thực kiểm tra, đánh giá an toàn thông tin mạng trước khi đưa vào sử dụng, khi nâng cấp, thay đổi, định kỳ theo quy định./.
