Luật An toàn thông tin mạng: Bảo vệ hệ thống thông tin theo cấp độ

08:06 | 15/06/2016 | CHÍNH SÁCH - CHIẾN LƯỢC

Tiếp theo bài giới thiệu về nội dung Luật An toàn thông tin mạng đăng tại các số trước, trong số này, Tạp chí An toàn thông tin giới thiệu các quy định về bảo vệ hệ thống thông tin trong Luật An toàn thông tin mạng (từ Điều 21 đến Điều 27, Mục 3, Chương II).

Luật An toàn thông tin mạng: Bảo vệ hệ thống thông tin theo cấp độ

Về nguyên tắc, việc bảo đảm an toàn hệ thống thông tin theo cấp độ được thực hiện thường xuyên, liên tục từ khâu lập kế hoạch, thiết kế, xây dựng, vận hành đến lúc thanh lý, hủy bỏ; tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật. Người sử dụng kết nối, truy cập hợp pháp vào hệ thống thông tin có trách nhiệm tuân thủ quy định về bảo đảm an toàn thông tin cho hệ thống do cơ quan, tổ chức có thẩm quyền ban hành. Hệ thống thông tin kết nối trực tiếp với nhau phải thuộc cùng một cấp độ hoặc thuộc hai cấp độ liên tiếp nhau.Yêu cầu bảo đảm an toàn hệ thống thông tin theo từng cấp độ là yêu cầu tối thiểu tương ứng với cấp độ đó.

Phương án bảo đảm an toàn thông tin theo cấp độ tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật, bao gồm các nội dung: Bảo đảm an toàn thông tin trong khâu thiết kế, xây dựng; Bảo đảm an toàn thông tin trong quá trình vận hành; Kiểm tra, đánh giá an toàn thông tin; Quản lý rủi ro an toàn thông tin; Giám sát an toàn thông tin; Dự phòng, ứng cứu sự cố, khôi phục sau thảm họa; Kết thúc vận hành, khai thác, thanh lý, hủy bỏ.

Quy định trong Luật về bảo vệ hệ thống thông tin gồm các nội dung chính sau:

Về phân loại cấp độ an toàn hệ thống thông tin

Phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ.

Hệ thống thông tin được phân loại theo cấp độ an toàn như sau:

- Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

- Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

- Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia;

- Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia;

- Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

Về nhiệm vụ bảo vệ hệ thống thông tin

Bao gồm những nội dung: Xác định cấp độ an toàn thông tin của hệ thống thông tin; Đánh giá và quản lý rủi ro an toàn hệ thống thông tin; Đôn đốc, giám sát, kiểm tra công tác bảo vệ hệ thống thông tin; Tổ chức triển khai các biện pháp bảo vệ hệ thống thông tin; Thực hiện chế độ báo cáo theo quy định; Tổ chức tuyên truyền, nâng cao nhận thức về an toàn thông tin mạng.

Về biện pháp bảo vệ hệ thống thông tin

Gồm các nội dung: Ban hành quy định về bảo đảm an toàn thông tin mạng trong thiết kế, xây dựng, quản lý, vận hành, sử dụng, nâng cấp, hủy bỏ hệ thống thông tin; Áp dụng biện pháp quản lý, kỹ thuật theo tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng để phòng, chống nguy cơ, khắc phục sự cố an toàn thông tin mạng; Kiểm tra, giám sát việc tuân thủ quy định và đánh giá hiệu quả của các biện pháp quản lý và kỹ thuật được áp dụng; Giám sát an toàn hệ thống thông tin.

Về giám sát an toàn hệ thống thông tin

Giám sát an toàn hệ thống thông tin là hoạt động lựa chọn đối tượng giám sát, thu thập, phân tích trạng thái thông tin của đối tượng giám sát nhằm xác định những nhân tố ảnh hưởng đến an toàn hệ thống thông tin; báo cáo, cảnh báo hành vi xâm phạm an toàn thông tin mạng hoặc hành vi có khả năng gây ra sự cố an toàn thông tin mạng đối với hệ thống thông tin; tiến hành phân tích yếu tố then chốt ảnh hưởng tới trạng thái an toàn thông tin mạng; đề xuất thay đổi biện pháp kỹ thuật.

Đối tượng giám sát an toàn hệ thống thông tin gồm tường lửa, kiểm soát truy nhập, tuyến thông tin chủ yếu, máy chủ quan trọng, thiết bị quan trọng hoặc thiết bị đầu cuối quan trọng.

Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin, doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng có trách nhiệm phối hợp với chủ quản hệ thống thông tin trong việc giám sát an toàn hệ thống thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền.

Về trách nhiệm của chủ quản hệ thống thông tin

Chủ quản hệ thống thông tin có trách nhiệm thực hiện bảo vệ hệ thống thông tin theo quy định tại các điều 22, 23 và 24 của Luật.

Chủ quản hệ thống thông tin sử dụng ngân sách nhà nước thực hiện trách nhiệm quy định tại mục trên và có trách nhiệm sau đây: Có phương án bảo đảm an toàn thông tin mạng được cơ quan nhà nước có thẩm quyền thẩm định khi thiết lập, mở rộng hoặc nâng cấp hệ thống thông tin; Chỉ định cá nhân, bộ phận phụ trách về an toàn thông tin mạng.

Về hệ thống thông tin quan trọng quốc gia

Khi thiết lập, mở rộng và nâng cấp hệ thống thông tin quan trọng quốc gia phải thực hiện kiểm định an toàn thông tin trước khi đưa vào vận hành, khai thác.

Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và Bộ, ngành có liên quan xây dựng Danh mục hệ thống thông tin quan trọng quốc gia trình Thủ tướng Chính phủ ban hành.

Về trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia

- Chủ quản hệ thống thông tin quan trọng quốc gia có trách nhiệm sau đây: Thực hiện quy định tại khoản 2 Điều 25 của Luật; Định kỳ đánh giá rủi ro an toàn thông tin mạng. Việc đánh giá rủi ro an toàn thông tin mạng phải do tổ chức chuyên môn được cơ quan nhà nước có thẩm quyền chỉ định thực hiện; Triển khai biện pháp dự phòng cho hệ thống thông tin; Lập kế hoạch bảo vệ, lập phương án và diễn tập phương án bảo vệ hệ thống thông tin quan trọng quốc gia.

- Bộ Thông tin và Truyền thông có trách nhiệm sau đây:

+ Chủ trì, phối hợp với chủ quản hệ thống thông tin quan trọng quốc gia, Bộ Công an và Bộ, ngành có liên quan hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia, trừ hệ thống thông tin quy định tại khoản 3 và khoản 4 Điều 27;

+ Yêu cầu doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin, doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng tham gia tư vấn, hỗ trợ kỹ thuật, ứng cứu sự cố an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia.

- Bộ Công an chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia do Bộ Công an quản lý; phối hợp với Bộ Thông tin và Truyền thông, chủ quản hệ thống thông tin quan trọng quốc gia, Bộ, ngành, Ủy ban nhân dân các cấp có liên quan trong việc bảo vệ hệ thống thông tin quan trọng quốc gia khác khi có yêu cầu của cơ quan nhà nước có thẩm quyền.

- Bộ Quốc phòng chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia do Bộ Quốc phòng quản lý.

- Ban Cơ yếu Chính phủ chủ trì tổ chức triển khai giải pháp dùng mật mã để bảo vệ thông tin trong hệ thống thông tin quan trọng quốc gia của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội; phối hợp với chủ quản hệ thống thông tin quan trọng quốc gia trong việc giám sát an toàn thông tin mạng theo quy định của pháp luật.

Những nội dung này sẽ được Chính phủ quy định cụ thể trong Nghị định về bảo vệ hệ thống thông tin theo cấp độ an toàn thông tin, trong đó có quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ.

Một số thuật ngữ trong Luật An toàn thông tin mạng
- Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.
- Hệ thống thông tin quan trọng quốc gia là hệ thống thông tin mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.
- Chủ quản hệ thống thông tin là cơ quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin.
- Xâm phạm an toàn thông tin mạng là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép thông tin, hệ thống thông tin.
- Sự cố an toàn thông tin mạng là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng.
-Rủi ro an toàn thông tin mạng là những nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng tới trạng thái an toàn thông tin mạng.
- Đánh giá rủi ro an toàn thông tin mạng là việc phát hiện, phân tích, ước lượng mức độ tổn hại, mối đe dọa đối với thông tin, hệ thống thông tin.
- Quản lý rủi ro an toàn thông tin mạng là việc đưa ra các biện pháp nhằm giảm thiểu rủi ro an toàn thông tin mạng.

‹ › ×

Tin liên quan

Tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ

11:00 | 29/02/2024

Thủ tướng Chính phủ vừa ký Chỉ thị số 09/CT-TTg ngày 23/2/2024 về tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ.

Bảo đảm an toàn hệ thống thông tin theo cấp độ

09:00 | 23/08/2022

Bộ Thông tin và Truyền thông đã ban hành Thông tư số 12/2022/TT-BTTTT quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Ban hành tài liệu hướng dẫn xác định và bảo vệ hệ thống thông tin theo cấp độ

08:00 | 02/08/2019

Mới đây, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) chính thức công bố tài liệu hướng dẫn xác định và thực thi bảo vệ hệ thống thông tin theo cấp độ.

Tin cùng chuyên mục

Google “bắt tay” chống lừa đảo trực tuyến trên quy mô toàn cầu

16:00 | 18/10/2024

Trong nỗ lực chung tay đẩy lùi nạn lừa đảo trực tuyến đang ngày càng gia tăng, Google vừa công bố hợp tác với Liên minh Chống lừa đảo toàn cầu (GASA) và Liên đoàn Nghiên cứu DNS (DNS RF) để triển khai sáng kiến Trao đổi Tín hiệu Toàn cầu (GSE).

Xây dựng hệ thống an ninh chung để đảm bảo an ninh chuỗi cung ứng toàn cầu

13:00 | 09/10/2024

Trong những năm gần đây, chuỗi cung ứng toàn cầu đang phải đối mặt với vô vàn thách thức, từ đại dịch covid-19 gây ra gián đoạn sản xuất, gián đoạn các tuyến vận tải biển do cướp biển hoặc thời tiết khắc nghiệt, cho đến các lệnh trừng phạt kinh tế, tất cả đều góp phần tạo nên một bức tranh ảm đạm cho hệ thống cung ứng toàn cầu.

Video giả mạo bằng AI trên YouTube có thể bị xóa nếu người dùng yêu cầu

08:00 | 22/07/2024

YouTube vừa cập nhật chính sách mới, cho phép người dùng gửi yêu cầu xóa video khi phát hiện nội dung do trí tuệ nhân tạo (AI) tạo ra mô phỏng khuôn mặt hoặc giọng nói của bản thân. Chính sách mới này là một phần trong quy trình bảo vệ quyền riêng tư được cập nhật, cho phép trao nhiều quyền hơn cho người dùng để chống lại nạn giả mạo bằng công nghệ AI.

Những kết quả nổi bật trong thực hiện nhiệm vụ cơ yếu, bảo mật và an toàn thông tin của tỉnh Bình Định

11:00 | 19/06/2024

Thời gian qua, với quyết tâm cao, tinh thần đoàn kết, đồng lòng của Đảng bộ, chính quyền và Nhân dân, tỉnh Bình Định đã đạt được những kết quả quan trọng, toàn diện trên tất cả các lĩnh vực. Đóng góp vào thành quả chung đó có vai trò rất quan trọng của công tác cơ yếu, thực hiện các nhiệm vụ bảo mật thông tin lãnh đạo, chỉ đạo của cấp ủy, chính quyền, chỉ huy của lực lượng vũ trang bảo đảm an toàn, bí mật, chính xác, kịp thời trong mọi tình huống.