An toàn thông tin mạng là tiêu chí đặc biệt quan trọng

Dự thảo "Quyết định của Thủ tướng Chính phủ quy định về việc sử dụng các thiết bị, máy móc đối với các hệ thống thông tin chính phủ điện tử để bảo đảm an toàn thông tin mạng", hiện đang được Bộ TT&TT lấy ý kiến đóng góp của các cơ quan, tổ chức, doanh nghiệp và người dân để hoàn thiện.

Cục An toàn thông tin, đơn vị được Bộ TT&TT giao trách nhiệm chủ trì soạn thảo Quyết định này cho biết, mục tiêu của việc xây dựng dự thảo "Quyết định của Thủ tướng quy định về việc sử dụng các thiết bị, máy móc đối với các hệ thống thông tin Chính phủ điện tử để bảo đảm an toàn thông tin mạng" là nhằm đảm bảo các sản phẩm, máy móc, thiết bị quan trọng khi sử dụng trong các hệ thống thông tin Chính phủ an toàn, không tồn tại những lỗ hổng, điểm yếu. 

Cùng với đó, thúc đẩy phát triển thị trường kiểm tra, đánh giá an toàn thông tin cho các sản phẩm, thiết bị, máy móc; nâng cao năng lực kiểm tra, đánh giá an toàn thông tin cho các doanh nghiệp đã được cấp phép.

an toàn thông tin mạng
Bộ TT&TT nhấn mạnh quan điểm, an toàn thông tin mạng là tiêu chí đặc biệt quan trọng đối với thiết bị, máy móc dùng trong các hệ thống Chính phủ điện tử (Ảnh minh họa)

Theo dự thảo, Quyết định của Thủ tướng quy định về việc sử dụng các thiết bị, máy móc đối với các hệ thống thông tin Chính phủ điện tử để bảo đảm an toàn thông tin mạng sẽ được áp dụng đối với cơ quan, tổ chức sử dụng kinh phí đầu tư, kinh phí thường xuyên từ nguồn vốn ngân sách nhà nước. Khuyến khích các cơ quan, tổ chức khác áp dụng quy định tại văn bản này khi sử dụng thiết bị, máy móc để tăng cường bảo đảm an toàn thông tin cho hệ thống thông tin của mình.

Đơn vị soạn thảo cũng nhấn mạnh quan điểm an toàn thông tin mạng là tiêu chí đặc biệt quan trọng đối với thiết bị, máy móc khi đầu tư, mua sắm, thuê dịch vụ, trước khi đưa vào sử dụng, trong quá trình sử dụng và sau khi sử dụng.

Thiết bị, máy móc phải được thực hiện kiểm tra, đánh giá và có xác nhận đáp ứng an toàn thông tin trước khi đưa vào sử dụng trong hệ thống thông tin phục vụ Chính phủ điện tử. Thiết bị, máy móc cũng phải đáp ứng các yêu cầu đảm bảo an toàn thông tin cơ bản như quy định tại Quyết định.

 

Đặc biệt, một trong những nguyên tắc sử dụng thiết bị, máy móc để đảm bảo an toàn thông tin mạng là ưu tiên sử dụng máy móc, thiết bị được sản xuất trong nước theo quy định tại Điều 4 Nghị định 73 ngày 05/9/2019 của Chính phủ quy định về quản lý đầu tư ứng dụng CNTT sử dụng nguồn vốn ngân sách nhà nước.

5 nhóm yêu cầu an toàn thông tin mạng cơ bản

Tại dự thảo Quyết định, Bộ TT&TT đề xuất các yêu cầu an toàn thông tin mạng cơ bản, bao gồm: Yêu cầu an toàn cơ bản với thiết bị, máy móc; Yêu cầu về kiểm tra, đánh giá an toàn thông tin trước khi mua sắm, đầu tư hoặc thuê dịch vụ; Yêu cầu đối với thiết bị, máy móc trước khi đưa vào sử dụng; Yêu cầu đảm bảo an toàn thông tin mạng đối với thiết bị, máy móc trong quá trình vận hành, khai thác; Yêu cầu bảo đảm an toàn và bảo mật dữ liệu khi thiết bị, máy móc không còn được sử dụng hoặc thay đổi mục đích sử dụng.

Trong đó, về an toàn cơ bản đối với thiết bị, máy móc, yêu cầu đặt ra là thiết bị, máy móc không tồn tại lỗ hổng, điểm yếu an toàn thông tin bao gồm lỗ hổng đã được công bố hoặc phát hiện trong kiểm tra đánh giá; thiết bị, máy móc phải được cài đặt, cấu hình các chức năng đúng theo tài liệu mô tả của thiết bị, máy móc hoặc theo yêu cầu của chủ quản hệ thống.

Thiết bị, máy móc trước khi mua sắm, đầu tư phải thực hiện kiểm tra, đánh giá và khắc phục lỗ hổng, điểm yếu an toàn thông tin; kiểm tra, đánh giá và khắc phục lỗ hổng, điểm yếu an toàn thông tin đối với cả mã nguồn phần mềm nội bộ (phần mềm có thể lập trình thêm, sửa tính năng). Được xác nhận đáp ứng các tiêu chí, yêu cầu kỹ thuật về đảm bảo an toàn thông tin

Thiết bị, máy móc trước khi đưa vào sử dụng phải cập nhật thông tin về hiện trạng thiết bị; cài đặt phần mềm bảo vệ hoặc thiết lập các biện pháp bảo vệ cần thiết cho thiết bị, máy móc; rà soát, thay đổi cấu hình mặc định để đảm bảo an toàn thông tin cho thiết bị, máy móc; thiết lập phân quyền ở mức độ tối thiểu cho người sử dụng; rà soát và tắt các chức năng không cần thiết. Người được giao sử dụng thiết bị phải cam kết và ký thỏa thuận bảo đảm an toàn thông tin cho thiết bị theo yêu cầu của chủ quản hệ thống thông tin.

Bên cạnh đó, thiết bị, máy móc trong quá trình vận hành, khai thác còn phải được được cấu hình lưu giữ nhật ký, xử lý, khắc phục ngay các điểm yếu, lỗ hổng, rủi ro khi phát hiện… Thiết bị, máy móc không còn được sử dụng hoặc thay đổi mục đích sử dụng phải sao lưu, hủy bỏ theo quy quy trình thống nhất, tập trung để đảm bảo dữ liệu không để lộ lọt ra bên ngoài.

Vân Anh

90% bộ, tỉnh mới bảo đảm an toàn thông tin theo mô hình 4 lớp mức cơ bản

90% bộ, tỉnh mới bảo đảm an toàn thông tin theo mô hình 4 lớp mức cơ bản

Theo đại diện Cục An toàn thông tin, hiện nay 100% các bộ, tỉnh đã thực hiện bảo đảm an toàn thông tin theo mô hình 4 lớp, tuy nhiên 90% trong số đó mới triển khai mô hình 4 lớp ở mức cơ bản.