Cơ quan chủ quản cần nhận thức vai trò của hệ thống thông tin theo cấp độ

(ICTPress) - Các chuyên gia về an toàn thông tin đã đóng góp nhiều ý kiến xây dựng dự thảo tiêu chuẩn quốc gia đối với hệ thống thông tin (HTTT) theo cấp độ.

Chiều 9/12, Bộ TT&TT đã tổ chức Hội thảo xin ý kiến chuyên gia về tiêu chuẩn bảo đảm an toàn thông tin (ATTT). Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng đã chủ trì Hội thảo. Tham dự hội thảo có các chuyên gia ATTT từ các đơn vị thuộc Bộ TT&TT, các doanh nghiệp ATTT FPT, Misoft, CMC, Bakav, VNCS,  Hiệp hội ATTT...

Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng phát biểu tại Hội thảo

Phát biểu chỉ đạo Hội thảo, Thứ trưởng Nguyễn Thành Hưng nhấn mạnh: “Xây dựng tiêu chuẩn về “Yêu cầu cơ bản về hệ thống thông tin theo cấp độ” là công việc hệ trọng vì có tác động rộng lớn đến toàn xã hội. Việc xây dựng tiêu chuẩn phải có sự đồng thuận, tìm ra cách hài hòa nhất để đưa ra các khuyến nghị tối thiểu trên tinh thần cơ quan chủ quản hệ thống thông tin phải có trách nhiệm. Tình hình ATTT luôn diễn biến những rủi ro nên tiêu chuẩn sẽ được liên tục bổ sung, cập nhật khi có điều kiện”.

Luật An toàn thông tin (ATTT) mạng được Quốc hội thông qua ngày 19/11/2015 và có hiệu lực từ ngày 1/7/2016. Trong đó, Luật quy định việc quản lý và thực thi bảo vệ hệ thống thông tin (HTTT) theo cấp độ ATTT.

Để có những quy định chi tiết về việc bảo đảm an toàn HTTT theo từng cấp độ, cơ quan, tổ chức căn cứ vào các quy định của Nghị định số 85/2016-NĐ-CP ngày 1/7/2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Theo Quy định Điều 19, Nghị định 85, việc bảo đảm an toàn HTTT phải đảm bảo các yêu cầu an toàn cơ bản theo tiêu chuẩn, quy chuẩn kỹ thuật về ATTT. Nghị định cũng giao nhiệm vụ cho Bộ TT&TT xây dựng dự thảo tiêu chuẩn và ban hành quy chuẩn kỹ  thuật về ATTT. Thực hiện nhiệm vụ được giao, Cục ATTT chủ trì xây dựng dự thảo Tiêu chuẩn về “Yêu cầu cơ bản về hệ thống thông tin theo cấp độ”.

Theo Cục ATTT, dự thảo Tiêu chuẩn được xây dựng trên cơ sở tham khảo các tiêu chuẩn quốc tế, tiêu chuẩn của các nước phát triển về CNTT và các tiêu chuẩn quốc gia đã ban hành. Các tiêu chuẩn được lựa chọn các nội dung cho phù hợp với cơ cấu tổ chức, công tác quản lý nhà nước về ATTT cũng như điều kiện thực tế của Việt Nam hiện nay. Đặc biệt đối tượng và phạm vi áp dụng tiêu chuẩn phải phù hợp với quy định tại Nghị định 85 là các hệ thống thông tin phục vụ ứng dụng CNTT trong hoạt động của cơ quan, tổ chức nhà nước và cung cấp dịch vụ trực tuyến phục vụ người dân và doanh nghiệp.

Trên cơ sở đó, dự thảo được xây dựng trên cơ sở tham chiếu 2 tiêu chuẩn, tiêu chuẩn SP800-53 của Mỹ để xây dựng các yêu cầu về kỹ thuật và tiêu chuẩn ISO/IEC 27001:2013 để xây dựng các yêu cầu về quản lý. Các nội dung được lựa chọn để xây dựng tiêu chuẩn tập trung vào nội dung bảo vệ hệ thống thông tin trên môi trường mạng và đảm bảo các yêu cầu này là cơ bản, khả thi và phù hợp với đối tượng áp dụng. Những nội dung khác như an toàn vật lý, bảo vệ thông tin cá nhân… có trong các tiêu chuẩn tham chiếu sẽ được nghiên cứu xây dựng thành các tiêu chuẩn phù hợp.

Để phân chia các yêu cầu thành 5 cấp độ phù hợp, trước hết các yêu cầu cho cấp độ 5 được xây dựng. Đối với các yêu cầu cụ thể, các nội dung của mỗi yêu cầu được sắp xếp theo thứ tự từ cơ bản đến nâng cao. Các yêu cầu cầu cơ bản có các tiêu chí: cần thiết, dễ triển khai và không phải chi phí đầu tư lớn. Các yêu cầu mở trên các mức cơ bản là yêu cầu có mức triển khai phức tạp và đòi hỏi chuyên môn cao hơn. Các mức yêu cầu ở mức độ nâng cao là các yêu cầu phải nâng cấp đầu tư để đáp ứng yêu cầu đặt ra.

Trên cở cấp độ 5 đầy đủ các yêu cầu, các cấp độ còn lại được giản lược bởi các yêu cầu cho phù hợp với từng cấp độ theo tiêu chí xác định cấp độ quy định ở Nghị định 85.

Đối với các yêu cầu về quản lý tham chiếu từ tiêu chuẩn ISO/IEC 27001:2013 thì các yêu cầu được lựa chọn là các yêu cầu cơ bản và phù hợp với các hệ thống thông tin phục vụ trong các cơ quan, tổ chức nhà nước và hệ thống thông tin phục vụ người dân và doanh nghiệp. Các yêu cầu nâng cao yêu cầu việc triển khai phức tạp, yêu cầu chi phí lớn và áp dụng chính cho đối tượng là các doanh nghiệp thì được lựa chọn có chọn lọc các yêu cầu này. Các nội dung mang tính tuân thủ, quy phạm cũng không được lựa chọn đưa vào vì đã có các quy định khác của pháp luật liên quan.

Nội dung chính của dự thảo Tiêu chuẩn dự kiến bao gồm các yêu cầu kỹ thuật và yêu cầu quản lý. Yêu cầu kỹ thuật chia làm 4 nhóm bao gồm 139 tiêu chí cụ thể. Yêu cầu quản lý gồm: Chính sách ATTT; Tổ chức bảo đảm ATTT; Bảo đảm nguồn nhân lực; Quản lý thiết kế; Xây dựng hệ thống; Quản lý vận hành an toàn hệ thống thông tin; Quản lý an toàn thiết bị đầu cuối.

Các chuyên gia tham dự Hội thảo

Đánh giá về nội dung Dự thảo, chuyên gia MISOFT, ông Vũ Bảo Thạch đồng tình nhất trí xây dựng Dự thảo trong việc tham chiếu Tiêu chuẩn SP800-53 và ISO 27001:2013. Theo Nghị định 85, các hệ thống thông tin được phân loại theo 5 cấp độ và cấp độ 5 là cấp độ cao nhất. Theo đó, ông Thạch cho rằng hệ thống thông tin cấp độ 5 cần được bảo đảm ATTT mạnh nhất với những giải pháp tốt nhất. Đặc biệt cần có sự phân biệt rõ ràng giữa các cấp độ. Để đánh giá một hệ thống thông tin thuộc cấp độ nào, cần phải tiến hành “đánh giá rủi ro” trước, từ đó kết hợp với việc áp dụng các biện pháp kỹ thuật. “Khi xác định HTTT thuộc cấp độ 1 thì cần đặt câu hỏi biện pháp bảo đảm có thừa không, còn đối với cấp độ 5 thì câu hỏi sẽ là biện pháp bảo đảm ATTT có thiếu không”. Đặc biệt, đối với HTTT cấp độ 4, 5, cần phải tiến hành đánh giá ATTT trước khi tiến hành mua sắm trang thiết bị.

Ông Vũ Bảo Thạch cũng khuyến nghị tham chiếu Tiêu chuẩn ST800-82 về đảm bảo ATTT cho tự động hóa điều khiển. Đây là mức độ bảo đảm ATTT cao hơn hẳn so với Tiêu chuẩn SP800-53, được Mỹ áp dụng cho các nhà máy điện hạt nhân và các nhà máy lọc dầu…

Các chuyên gia tại Hội thảo cũng đưa ra quan điểm cho rằng nhận thức HTTT có vai trò quan trọng đối với cơ quan nhà nước, nhất là lãnh đạo các cơ quan chủ quản HTTT.

Ông Triệu Trần Đức, CMC Inforsec khẳng định, để đảm bảo ATTT nhận thức đóng vai trò quan trọng bậc nhất. Nếu làm tốt về nhận thức, có những trường hợp chỉ cần sử dụng những giải pháp có chi phí chỉ bằng 1/50 mà hiệu quả vẫn cao. Đặc biệt, ông Đức lưu ý nhận thức về đảm bảo ATTT của những đơn vị, tổ chức sở hữu, quản lý HTTT cấp độ 4, 5 cần phải cao hơn hẳn so với cấp độ 1, 2, 3.

 Trong khi đó, ông Nguyễn Khắc Lịch, Phó Giám đốc VNCERT cũng cho rằng, không hẳn cứ đầu tư nhiều tiền thì ATTT được đảm bảo tốt hơn. ATTT về bản chất có 3 trục lớn là: tổ chức, con người và trang thiết bị. Nếu biết kết hợp 3 trục này một cách tối ưu thì sẽ không cần tiêu tốn quá nhiều tiền cho ATTT.

Ông Nguyễn Chí Thành, Chánh Văn phòng Hiệp hội ATTT Việt Nam (VNISA) đã đưa ra hai khó khăn cơ bản trong đảm bảo ATTT tại Việt Nam là: tài chính không nhiều và nguồn nhân lực yếu. Doanh nghiệp thì đầu tư cho ATTT theo kiểu “tiền đến đâu làm đến đó”. Nhiều Bộ, Ban, ngành thậm chí chưa có cán bộ chuyên trách về CNTT, ATTT. Theo đó, ông Thành kiến nghị nên quy định mức tối thiểu, tối đa về việc bảo đảm ATTT để tạo điều kiện cho các cơ quan, doanh nghiệp áp dụng vào điều kiện thực tế của đơn vị mình.

Trả lời ý kiến này, ông Nguyễn Huy Dũng, Phó Cục trưởng Cục ATTT cho rằng, quy định tối thiểu thì dễ, quy định tối đa thì khó quá vì làm gì có ATTT tuyệt đối.

Được biết, Bộ TT&TT sẽ tiếp tục tổ chức lấy ý kiến của các tổ chức, cơ quan nhà nước, các bên đóng góp cho Dự thảo.

Minh Anh