Góp ý vào dự thảo quy chế Bảo đảm an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh

ỦY BAN NHÂN DÂN TỈNH BẮC NINH CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Dự Thảo QUY CHẾ Bảo đảm an tồn thơng tin hoạt động ứng dụng cơng nghệ thông tin quan nhà nước địa bàn tỉnh Bắc Ninh (Ban hành kèm theo Quyết định số: /2014/QĐ-UBND ngày tháng năm 2014 UBND Bắc Ninh) Chương QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh Quy chế này quy định bảo đảm an toàn thông tin hoạt động ứng dụng công nghệ thông tin quan nhà nước địa bàn tỉnh Bắc Ninh Điều Đối tượng áp dụng Quy chế này áp dụng tổ chức, cá nhân sau: Các sở, ban, ngành, UBND huyện, thị xã, thành phố và đơn vị nghiệp trực thuộc; UBND xã, phường, thị trấn (sau gọi tắt là quan, đơn vị); Các cán bộ, công chức, viên chức làm việc quan, đơn vị nêu Khoản Điều này Điều Giải thích từ ngữ Trong Quy chế này, từ ngữ hiểu sau: An tồn thơng tin là bảo vệ thơng tin và hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng thơng tin Hệ thống thông tin là tập hợp thiết bị phần cứng, phần mềm và sở liệu thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin Xâm phạm an tồn thơng tin là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, làm sai lệch chức năng, phá hoại trái phép thông tin và hệ thống thông tin Nguy an tồn thơng tin là nhân tố bên bên ngoài có khả ảnh hưởng tới trạng thái an toàn thông tin Đánh giá rủi ro an tồn thơng tin là việc xác định, phân tích nguy an toàn thơng tin có và dự báo mức độ, phạm vi ảnh hưởng và khả gây thiệt hại xảy cố an toàn thông tin Quản lý rủi ro an tồn thơng tin là việc thực đánh giá rủi ro an toàn thông tin, xác định yêu cầu bảo vệ thông tin và hệ thống thông tin và áp dụng giải pháp phòng, chống, giảm thiểu thiệt hại có cố an toàn thơng tin Mạng là khái niệm mạng viễn thông cố định, di động, Internet và mạng máy tính Phần mềm độc hại là phần mềm có khả gây hoạt động khơng bình thường cho phần toàn hệ thống thông tin thực chép, sửa đổi, xóa bỏ trái phép thơng tin lưu trữ hệ thống thông tin Điều Các hành vi bị nghiêm cấm Ngăn chặn trái pháp luật việc truyền tải thông tin mạng; can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sửa chữa, chép, làm sai lệch trái phép thông tin mạng; Cản trở trái pháp luật, gây ảnh hưởng tới hoạt động bình thường hệ thống thơng tin cản trở trái pháp luật, gây ảnh hưởng tới khả truy nhập hợp pháp người sử dụng tới hệ thống thông tin; Tấn công, vô hiệu hóa trái pháp luật làm tác dụng biện pháp bảo vệ an toàn thông tin cho hệ thống thông tin; lợi dụng sơ hở, điểm yếu hệ thống thông tin, công, chiếm quyền điều khiển trái phép hệ thống thông tin; Phát tán thư rác, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo; Lợi dụng mạng để truyền bá thông tin, quan điểm, thực hành vi gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, lợi ích quốc gia mạng; phá hại khối đại đoàn kết toàn dân; tuyên truyền chiến tranh xâm lược, khủng bố; gây hận thù, mâu thuẫn dân tộc, sắc tộc, tôn giáo và bài ngoại; Lợi dụng mạng để truyền bá trái phép tài liệu, hình ảnh, âm dạng thơng tin khác nhằm kích động bạo lực, dâm ô, đồi trụy, tội ác, tệ nạn xã hội, mệ tín dị đoan, phá hoại phong, mỹ tục dân tộc; bôi nhọ, gây thù hận, xâm hại tới quyền và lợi ích hợp pháp tổ chức, cá nhân; Các hành vi bị nghiêm cấm khác theo quy định pháp luật Chương BẢO ĐẢM AN TỒN THƠNG TIN Điều Các biện pháp quản lý kỹ thuật cơng tác bảo đảm an tồn thơng tin Tổ chức mơ hình mạng: Cài đặt, cấu hình, tổ chức hệ thống mạng theo mơ hình Máy khách/Máy chủ (Client/Server), hạn chế sử dụng mơ hình mạng ngang hàng Khi thiết lập dịch vụ môi trường mạng Internet, cung cấp chức thiết yếu bảo đảm trì hoạt động hệ thống thơng tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và dịch vụ không cần thiết Quản lý hệ thống mạng không dây (Wireless LAN): Khi thiết lập mạng không dây, cần thiết lập thông số an toàn và định kỳ tháng thay đổi mật truy cập nhằm tăng cường công tác bảo mật Tổ chức quản lý tài khoản: Tiến hành rà sốt tháng lần tài khoản và định danh người dùng hệ thống thông tin Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất tài sản liên quan tới hệ thống thơng tin (khóa, thẻ nhận dạng, thư mục lưu trữ,…) cán bộ, cơng chức, viên chức, người lao động khơng cịn cơng tác khơng cịn sử dụng cấp tài khoản Quản lý đăng nhập hệ thống: Các hệ thống thông tin cần giới hạn số lần đăng nhập vào hệ thống, tự động khóa tài khoản liên tục đăng nhập sai vượt số lần quy định Tổ chức theo dõi, giám sát tất phương pháp đăng nhập từ xa, là trường hợp đăng nhập vào hệ thống với mục đích quản trị Tăng cường việc sử dụng mạng riêng ảo (VPN - Virtual Private Network) có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật với độ an toàn cao Quản lý nhật ký kiện (logfile): Hệ thống thông tin cần ghi nhận kiện: trình đăng nhập hệ thống, thao tác cấu hình hệ thống, trình truy xuất hệ thống Thường xuyên kiểm tra, lưu (backup) nhật ký kiện theo tháng để theo dõi, xác định kiện xảy hệ thống và hạn chế việc tràn nhật ký kiện gây ảnh hưởng đến hoạt động hệ thống Chống phần mềm độc hại: Triển khai phần mềm chống mã độc máy tính, thiết bị di động mạng để phát hiện, loại trừ phần mềm độc hại Thường xuyên cập nhật phiên mới, vá lỗi phần mềm chống virus để bảo đảm chương trình quét virus quan máy chủ, máy trạm cập nhật nhất; thiết lập chế độ quét thường xuyên tuần lần Thường xuyên cập nhật vá lỗ hổng bảo mật hệ điều hành và phần mềm ứng dụng máy tính để hạn chế tối đa rủi ro an toàn thông tin Tổ chức quản lý tài nguyên: Kiểm tra, giám sát chức chia sẻ thông tin (Network File and Folder Sharing) Tổ chức cấp phát tài nguyên máy chủ theo danh mục thư mục cho phòng, đơn vị trực thuộc; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên máy sử dụng, tuyệt đối không chia sẻ toàn ổ cứng Khi thực việc chia sẻ tài nguyên máy chủ máy cục cần sử dụng mật để bảo vệ thông tin Bảo đảm an toàn cho Trang thông tin điện tử Cổng thông tin điện tử: Thực theo hướng dẫn công văn số 2132/BTTTT-VNCERT ngày 18 tháng năm 2011 Bộ Thông tin và Truyền thông việc hướng dẫn đảm bảo an toàn thông tin cho Cổng/Trang thông tin điện tử Thiết lập chế lưu và phục hồi cho máy chủ, máy trạm: Máy chủ và máy trạm cần thực biện pháp lưu liệu, thông tin quan trọng nhằm phục vụ cho công tác phục hồi liệu cách nhanh 10 Xử lý khẩn cấp: Khi phát hệ thống thông tin bị công cần thực bước sau: a) Bước 1: Ngắt kết nối máy chủ khỏi mạng b) Bước 2: Sao chép nhật ký kiện và toàn liệu hệ thống thiết bị lưu trữ (phục vụ cho hoạt động phân tích, điều tra) c) Bước 3: Khôi phục hệ thống cách chuyển liệu lưu để hệ thống hoạt động trở lại d) Bước 4: Thực công việc khoản Điều Điều Các biện pháp quản lý vận hành công tác bảo đảm an tồn thơng tin Đối với quan, đơn vị: Ngoài việc thực biện pháp quản lý kỹ thuật quy định Điều Quy chế này, phải thực nội dung sau: a) Phổ biến, hướng dẫn thực quy định ứng dụng CNTT UBND tỉnh Bắc Ninh ban hành b) Trang bị kiến thức, kỹ an toàn thông tin cho cán bộ, công chức, viên chức để vận hành, khai thác, sử dụng hệ thống thông tin cách an toàn c) Xác định và phân bổ kinh phí cần thiết cho hoạt động liên quan đến việc bảo đảm an toàn thông tin Đối với cán chuyên trách CNTT: Ngoài việc thực biện pháp quản lý kỹ thuật quy định Điều Quy chế này, phải thực nội dung sau a) Tham mưu cho lãnh đạo quan, đơn vị công tác bảo đảm an toàn thông tin; vận hành an toàn hệ thống thông tin quan, đơn vị; triển khai biện pháp bảo đảm an toàn thông tin cho tất cán bộ, công chức, viên chức quan, đơn vị b) Nắm vững và thực nghiêm túc quy định bảo vệ bí mật Nhà Nước Thường xuyên tự cập nhật kiến thức an toàn thơng tin, nguy tiềm ẩn gây thơng tin và biện pháp phịng tránh tiến hành hoạt động quản lý hay kỹ thuật nghiệp vụ c) Thực việc đánh giá, báo cáo rủi ro gây an toàn thông tin và mức độ nghiêm trọng rủi ro Các rủi ro gây an toàn thơng tin xảy truy cập trái phép, sử dụng trái phép, mất, thay đổi phá hủy thông tin và hệ thống thông tin d) Phối hợp chặt chẽ với quan Cơng an cơng tác phịng ngừa, đấu tranh, ngăn chặn hoạt động xâm phạm an toàn thông tin Đối với cán bộ, công chức, viên chức: a) Thường xuyên cập nhật sách, quy trình, thủ tục an toàn thơng tin đơn vị thực hướng dẫn an toàn thông tin cán chuyên trách công nghệ thông tin b) Hạn chế việc sử dụng chức chia sẻ tài nguyên, sử dụng chức này cần bật thuộc tính bảo mật mật và thực việc thu hồi chức này sử dụng xong c) Các tài khoản đăng nhập hệ điều hành cần phải đặt mật khẩu, không sử dụng phải khóa tài khoản Nếu khơng sử dụng máy tinh thời gian cần tắt máy ngắt kết nối mạng để tránh bị tin tặc lợi dụng, điều khiển máy tính từ xa d) Sử dụng chức mã hóa mức hệ điều hành để bảo đảm liệu nhạy cảm tài khoản, mật khẩu, tập tin quan trọng, mã hóa Các tập tin đính kèm thư điện tử, tải xuống từ Internet chép từ thiết bị lưu trữ cần kiểm tra để tránh lây nhiễm phần mềm độc hại Điều Xây dựng quy chế nội bảo đảm an tồn thơng tin Các quan, đơn vị phải ban hành quy chế nội bảo đảm an toàn thông tin tùy theo điều kiện cụ thể, quy định rõ vấn đề sau: a) Mục tiêu và phương hướng thực công tác bảo đảm an toàn cho hệ thống thông tin b) Nguyên tắc phân loại và quản lý mức độ ưu tiên tài nguyên hệ thống thông tin (phần mềm, liệu, trang thiết bị,…) c) Quản lý phân quyền và trách nhiệm cá nhân tham gia sử dụng hệ thống thông tin d) Quản lý và điều hành máy chủ, thiết bị mạng, thiết bị bảo vệ mạng cách an toàn e) Kiểm tra, rà soát và khắc phục cố an toàn hệ thống thông tin sử dụng biện pháp Điều 5, Điều và Điều Quy chế này f) Nguyên tắc chung sử dụng an toàn và hiệu toàn cá nhân tham gia sử dụng hệ thống thông tin g) Tổ chức thực Sở Thông tin và Truyền thông hướng dẫn quan, đơn vị xây dựng quy chế nội bảo đảm an toàn thông tin Điều Xây dựng áp dụng quy trình bảo đảm an tồn thông tin Các quan, đơn vị phải xây dựng và áp dụng quy trình bảo đảm an toàn cho hệ thống thông tin nhằm giảm thiểu nguy gây cố, tạo điều kiện cho việc khắc phục và truy vết trường hợp có cố xảy Nội dung quy trình bao gồm bước sau: a) Lập kế hoạch bảo vệ an toàn cho hệ thống thông tin b) Xây dựng hệ thống bảo vệ an toàn thông tin c) Quản lý và vận hành hệ thống bảo vệ an toàn thông tin d) Kiểm tra đánh giá hoạt động hệ thống bảo vệ an toàn thông tin e) Bảo trì và nâng cấp hệ thống bảo vệ an toàn thông tin Sở Thông tin và Truyền thông hướng dẫn quan, đơn vị bước để xây dựng quy trình bảo đảm an toàn thông tin cho hệ thống thông tin Chương TRÁCH NHIỆM BẢO ĐẢM AN TỒN THƠNG TIN Điều Trách nhiệm Sở Thông tin Truyền thông Tham mưu cho UBND tỉnh công tác bảo đảm an toàn thông tin hoạt động ứng dụng công nghệ thông tin quan nhà nước tỉnh Bắc Ninh Hàng năm xây dựng kế hoạch, dự toán nguồn kinh phí để triển khai cơng tác bảo đảm an toàn thông tin cho hệ thống thông tin UBND tỉnh giao quản lý Chủ trì, phối hợp với quan liên quan thành lập đoàn kiểm tra an toàn thông tin định kỳ hàng năm kiểm tra đột xuất phát có dấu hiệu vi phạm an toàn thông tin Xây dựng và triển khai chương trình đào tạo, tổ chức hội nghị, hội thảo an toàn thông tin nhằm phổ biến, cập nhật kiến thức an toàn thơng tin Khi có cố an toàn thơng tin tùy theo mức độ cố, phối hợp Trung tâm Ứng cứu khẩn cẩp máy tính Việt Nam (VNCERT) và đơn vị có liên quan hướng dẫn xử lý, ứng cứu; thực yêu cầu điều phối ứng cứu cố và báo cáo, phản hồi đầy đủ kết thực cho Trung tâm VNCERT; thực nghĩa vụ thành viên mạng lưới ứng cứu cố mạng Internet Hướng dẫn, giám sát đơn vị xây dựng quy chế, quy trình bảo đảm an toàn cho hệ thống thơng tin theo quy định Nhà nước; thông báo cho quan, đơn vị biết và có biện pháp phịng ngừa, ngăn chặn nguy an toàn thông tin Điều 10 Trách nhiệm Công an tỉnh Phối hợp với Sở Thông tin và Truyền thông kiểm tra công tác bảo đảm an toàn thông tin Thường xuyên thông báo cho quan, đơn vị phương thức, thủ đoạn loại tội phạm xâm phạm an toàn, an ninh thông tin để có biện pháp phịng ngừa, đấu tranh, ngăn chặn Điều 11 Trách nhiệm quan, đơn vị người đứng đầu Quan tâm và ưu tiên bố trí kinh phí cho việc triển khai biện pháp bảo đảm an toàn thông tin hoạt động ứng dụng CNTT quan, đơn vị Xây dựng quy chế, quy trình nội bảo đảm an toàn thông tin theo quy định tài Điều và Điều và quy định pháp luật Khi có cố an toàn thơng tin phải kịp thời đạo khắc phục ngay, ưu tiên sử dụng cán kỹ thuật chuyên trách quan, đơn vị và thông báo văn cho Sở Thông tin và Truyền thông, quan cấp quản lý trực tiếp để biết và phối hợp xử lý Phối hợp chặt chẽ với quan Công an cơng tác phịng ngừa, đấu tranh, ngăn chặn hoạt động xâm phạm an toàn thông tin Tạo điều kiện thuận lợi cho quan chức tham gia khắc phục cố và thực theo hướng dẫn Báo cáo tình hình và kết thực công tác bảo đảm an toàn thông tin quan, đơn vị và gửi Sở Thông tin và Truyền thơng có u cầu Điều 12 Trách nhiệm cán bộ, công chức, viên chức Nghiêm chỉnh chấp hành quy chế nội bộ, quy trình an toàn thơng tin quan quy định khác pháp luật, nâng cao ý thức cảnh giác và trách nhiệm bảo đảm an toàn thông tin đơn vị Khi phát cố phải báo với quan cấp và phận chuyên trách CNTT để kịp thời ngăn chặn, xử lý Chương TỔ CHỨC THỰC HIỆN Điều 13 Khen thưởng xử lý vi phạm Hàng năm, Sở Thông tin và Truyền thông dựa kết kiểm tra, đánh giá, báo cáo công bảo đảm an toàn thông tin quan, đề xuất UBND tỉnh xem xét khen thưởng cho cá nhân, đơn vị có nhiều thành tích cơng tác bảo đảm an toàn thông tin theo quy định hành Tổ chức, cá nhân có hành vi vi phạm quy chế này tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt hành bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại phải bồi thường theo quy định pháp luật Điều 14 Điều khoản thi hành Sở Thơng tin và Truyền thơng chủ trì, phối hợp với Sở, Ban, Ngành, UBND huyện, thị xã, thành phố và quan có liên quan triển khai thực Quy chế này Trong trình thực nếu có phát sinh khó khăn, vướng mắc cần sửa đổi, bổ sung quan, đơn vị kịp thời báo cáo Sở Thông tin và Truyền thông tổng hợp trình UBND tỉnh xem xét, giải quyết./ ... hoạt động ứng dụng công nghệ thông tin quan nhà nước tỉnh Bắc Ninh Hàng năm xây dựng kế hoạch, dự tốn nguồn kinh phí để triển khai cơng tác bảo đảm an toàn thông tin cho hệ thống thông tin. .. chế nội bảo đảm an toàn thông tin Điều Xây dựng áp dụng quy trình bảo đảm an tồn thơng tin Các quan, đơn vị phải xây dựng và áp dụng quy trình bảo đảm an toàn cho hệ thống thông tin nhằm... đạo quan, đơn vị công tác bảo đảm an toàn thông tin; vận hành an toàn hệ thống thông tin quan, đơn vị; triển khai biện pháp bảo đảm an toàn thông tin cho tất cán bộ, công chức, viên chức quan,