Phần mở đầu 1. Sự cần thiết Trong bối cảnh các cuộc tấn công mạng ngày càng gia tăng và phức tạp trên thế giới cũng như ở Việt Nam, việc tăng cường năng lực cho đội ngũ kỹ thuật chuyên trách về ứng cứu sự cố và nâng cao nhận thức cho xã hội về đảm bảo ATTT mạng luôn được mọi quốc gia, mọi tổ chức, doanh nghiệp chú trọng. tình hình ATTT trên thế giới nói chung và Việt Nam nói riêng diễn biến rất phức tạp. Các hình thức tấn công có chủ đích APT, mã độc gián điệp, mạng botnet, DDoS, Deface, Phishing… .đang ngày càng tinh vi, phức tạp và khó lường. Hiện nay đã xuất hiện nhiều tấn công mạng có chủ đích nhằm vào các cơ quan chính phủ, các hệ thống tài chính ngân hàng, các hạ tầng thông tin trọng yếu, các website của các cơ quan, tổ chức, doanh nghiệp của Việt Nam, trong đó có một số vụ đã được công khai trên các phương tiện thông tin đại chúng như: vụ tấn công vào hệ thống của Vietnam Airlines, Vietnamworks, VOV, tấn công vào một số ngân hàng thương mại của Việt Nam, hay sự cố của một số website của doanh nghiệp cung cấp dịch vụ trực tuyến thời gian qua. Bên cạnh đó, mã độc tống tiền Ransomware hiện đang gia tăng phức tạp; xu hướng tấn công vào các thiết bị IoT như hệ thống camera, smart đang ngày càng nhiều; xu hướng sử dụng các mạng xã hội để phát tán mã độc, lừa đảo đảo trúng thưởng, mạo danh và đánh cắp thông tin cũng đang gia tăng rất đáng ngại. Tình hình an ninh mạng tại Việt Nam và trên thế giới đang diễn biến phức tạp, ngày càng có nhiều cuộc tấn công vào các hệ thống CNTT quan trọng của các doanh nghiệp, tổ chức và chính phủ. Một sự cố mất ATTT khi xảy ra mà không được xử lý đúng cách và kịp thời có thể để lại những hậu quả khôn lường, dẫn tới sự phá hủy dữ liệu hoặc làm sụp đổ hệ thống hạ tầng CNTT. Trong những năm gần đây, CNTT &TT có vai trò lớn đối với sự phát triển của mỗi quốc gia, mỗi doanh nghiệp. Ứng dụng CNTT &TT cũng có tác động không nhỏ đến đời sống kinh tế, xã hội của đại bộ phận người dân trên thế giới. CNTT&TT cũng góp phần quan trọng trong vấn đề an ninh và phát triển bền vững của mỗi quốc gia. Do vậy, ứng dụng CNTT&TT trở thành một phần không thể thiếu trong chiến lược phát triển của các doanh nghiệp và các quốc gia trên thế giới. Với tốc độ phát triển và ứng dụng của CNTT&TT ngày càng nhanh như hiện nay, hàng ngày có một lượng thông tin lớn được lưu trữ, chuyển tải thông qua các hệ thống thông tin cũng kéo theo nhiều rủi ro về sự mất ATTT. Thiệt hại do mất an ninh an toàn trên các hệ thống thông tin đã tăng rất nhanh và sẽ ảnh hưởng nghiêm trọng đến sự phát triển kinh tế - xã hội, nếu công tác đảm bảo an ninh an toàn không được triển khai đúng mức. Bởi các kỹ thuật của tội phạm mạng ngày càng cao và tinh vi hơn, số lượng điểm yếu an ninh ngày càng tăng, số vụ xâm phạm an toàn mạng ngày càng nhiều. Tấn công mạng vào các hệ thống thông tin ngày càng trở lên nghiêm trọng. Vì vậy, việc nghiên cứu các giải pháp đảm bảo an ninh an toàn cho các hệ thống thông tin là rất cần thiết. Để đảm bảo các hệ thống thông tin hoạt động ổn định, bảo đảm an ninh an toàn thông tin là việc làm rất cần thiết. Giải quyết vấn đề an ninh an toàn của hệ thống thông tin là việc làm của cả xã hội và là vấn đề cấp bách. Khi xảy ra sự cố mất an toàn thông tin nếu không được xử lý hoặc xử lý không đúng cách có thể để lại những hậu quả to lớn không chỉ là rò rỉ dữ liệu, thiệt hại tài chính… mà còn ảnh hưởng tới uy tín, hình ảnh của tổ chức. Cùng sự phát triển CNTT, các nguy cơ về lộ lọt mất ATTT ngày càng tăng, các hình thức tấn công trên mạng ngày càng đa dạng, tinh vi và nguy hiểm. Nhận thức vấn đề này, BHXH Việt Nam luôn xem việc đảm bảo ATTT là ưu tiên hàng đầu trong phát triển, ứng dụng CNTT và triển khai chính quyền điện tử. Vì vậy, nhóm nghiên cứu đã lựa chọn chuyên đề “Một số vấn đề chung về ứng cứu khẩn cấp sự cố an toàn thông tin và yêu cầu đặt ra đối với ngành Bảo hiểm xã hội Việt Nam ” làm chuyên đề nghiên cứu. Chuyên đề này là một nhánh nghiên cứu của Đề tài “Xây dựng hệ thống quy trình ứng cứu khẩn cấp sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam” do ông Lê Vũ Toàn làm chủ nhiệm. 2. Mục tiêu nghiên cứu - Nghiên cứu lý thuyết, quy định pháp luật về ứng cứu khẩn cấp sự cố an toàn thông tin; - Phân loại, phân nhóm các sự cố an toàn thông tin từ đó định hướng xây dựng quy trình ứng cứu cho từng nhóm các sự cố, đồng thời làm rõ trách nhiệm của BHXH Việt Nam và các đơn vị trực thuộc trong thực hiện ứng cứu khẩn cấp sự cố ATTT. - Nghiên cứu, làm rõ một số khái niệm, một số vấn đề chung liên quan đến ATTT, ứng cứu khẩn cấp sự cố ATTT. - Phân tích, làm rõ các yêu cầu, trách nhiệm, nghĩa vụ của tổ chức, cá nhân thuộc BHXH Việt Nam và các đơn vị liên quan trong thực hiện ứng cứu khẩn cấp sự cố ATTT. 3. Đối tượng và phạm vi nghiên cứu - Các văn bản pháp luật của nhà nước, các văn bản của BHXH Việt Nam, các bài báo về công tác ứng cứu sự cố và đảm bảo An toàn thông tin. - Tới cơ quan, tổ chức, cá nhân Việt Nam, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động an toàn thông tin mạng tại BHXH Việt Nam. 4. Cách tiếp cận và phương pháp nghiên cứu - Phương pháp mô tả: tổng quan tài liệu, tổng hợp phân tích tài liệu - Nghiên cứu, phân tích lý thuyết về đảm bảo an toàn thông tin và ứng cứu sự cố an toàn thông tin làm cơ sở cho việc xây dựng quy trình ứng cứu khẩn cấp sự cố an toàn thông tin Ngành BHXH Việt Nam. 5. Kết cấu chuyên đề Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ thể như sau: Chương 1. Một số vấn đề chung về ứng cứu khẩn cấp sự cố an toàn thông tin. Chương 2. Quy định pháp luật về ứng cứu khẩn cấp sự cố an toàn thông tin. Chương 3. Trách nhiệm của Bảo hiểm xã hội Việt Nam trong ứng cứu khẩn cấp sự cố an toàn thông tin.
1 BẢO HIỂM XÃ HỘI VIỆT NAM - - CHUYÊN ĐỀ Một số vấn đề chung ứng cứu khẩn cấp cố an tồn thơng tin yêu cầu đặt ngành Bảo hiểm xã hội Việt Nam Người thực hiện: Mao Sơn Thành Đề tài: XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM Chủ nhiệm: KS Lê Vũ Toàn Hà Nội - 2021 BẢO HIỂM XÃ HỘI VIỆT NAM - - CHUYÊN ĐỀ Một số vấn đề chung ứng cứu khẩn cấp cố an tồn thơng tin u cầu đặt ngành Bảo hiểm xã hội Việt Nam Đề tài: XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM Chủ nhiệm: KS Lê Vũ Toàn Hà Nội - 2021 MỤC LỤC Danh mục từ viết tắt TT 10 11 12 13 14 15 16 17 18 Danh mục An tồn thơng tin Ứng cứu khẩn cấp Bảo hiểm xã hội Bảo hiểm y tế Bảo hiểm thất nghiệp Công nghệ thông tin Cơ sở liệu Công nghệ thông tin Công nghệ thông tin truyền thông Chữ viết tắt, rút gọn ATTT ƯCKC BHXH BHYT BHTN CNTT CSDL CNTT CNTT &TT Phần mở đầu Sự cần thiết Trong bối cảnh công mạng ngày gia tăng phức tạp giới Việt Nam, việc tăng cường lực cho đội ngũ kỹ thuật chuyên trách ứng cứu cố nâng cao nhận thức cho xã hội đảm bảo ATTT mạng quốc gia, tổ chức, doanh nghiệp trọng tình hình ATTT giới nói chung Việt Nam nói riêng diễn biến phức tạp Các hình thức cơng có chủ đích APT, mã độc gián điệp, mạng botnet, DDoS, Deface, Phishing… ngày tinh vi, phức tạp khó lường Hiện xuất nhiều cơng mạng có chủ đích nhằm vào quan phủ, hệ thống tài ngân hàng, hạ tầng thơng tin trọng yếu, website quan, tổ chức, doanh nghiệp Việt Nam, có số vụ công khai phương tiện thông tin đại chúng như: vụ công vào hệ thống Vietnam Airlines, Vietnamworks, VOV, công vào số ngân hàng thương mại Việt Nam, hay cố số website doanh nghiệp cung cấp dịch vụ trực tuyến thời gian qua Bên cạnh đó, mã độc tống tiền Ransomware gia tăng phức tạp; xu hướng công vào thiết bị IoT hệ thống camera, smart ngày nhiều; xu hướng sử dụng mạng xã hội để phát tán mã độc, lừa đảo đảo trúng thưởng, mạo danh đánh cắp thơng tin gia tăng đáng ngại Tình hình an ninh mạng Việt Nam giới diễn biến phức tạp, ngày có nhiều công vào hệ thống CNTT quan trọng doanh nghiệp, tổ chức phủ Một cố ATTT xảy mà không xử lý cách kịp thời để lại hậu khôn lường, dẫn tới phá hủy liệu làm sụp đổ hệ thống hạ tầng CNTT Trong năm gần đây, CNTT &TT có vai trò lớn phát triển quốc gia, doanh nghiệp Ứng dụng CNTT &TT có tác động khơng nhỏ đến đời sống kinh tế, xã hội đại phận người dân giới CNTT&TT góp phần quan trọng vấn đề an ninh phát triển bền vững quốc gia Do vậy, ứng dụng CNTT&TT trở thành phần thiếu chiến lược phát triển doanh nghiệp quốc gia giới Với tốc độ phát triển ứng dụng CNTT&TT ngày nhanh nay, hàng ngày có lượng thông tin lớn lưu trữ, chuyển tải thông qua hệ thống thông tin kéo theo nhiều rủi ro ATTT Thiệt hại an ninh an tồn hệ thống thơng tin tăng nhanh ảnh hưởng nghiêm trọng đến phát triển kinh tế - xã hội, công tác đảm bảo an ninh an tồn khơng triển khai mức Bởi kỹ thuật tội phạm mạng ngày cao tinh vi hơn, số lượng điểm yếu an ninh ngày tăng, số vụ xâm phạm an tồn mạng ngày nhiều Tấn cơng mạng vào hệ thống thông tin ngày trở lên nghiêm trọng Vì vậy, việc nghiên cứu giải pháp đảm bảo an ninh an toàn cho hệ thống thông tin cần thiết Để đảm bảo hệ thống thông tin hoạt động ổn định, bảo đảm an ninh an tồn thơng tin việc làm cần thiết Giải vấn đề an ninh an tồn hệ thống thơng tin việc làm xã hội vấn đề cấp bách Khi xảy cố an tồn thơng tin không xử lý xử lý không cách để lại hậu to lớn khơng rị rỉ liệu, thiệt hại tài chính… mà cịn ảnh hưởng tới uy tín, hình ảnh tổ chức Cùng phát triển CNTT, nguy lộ lọt ATTT ngày tăng, hình thức công mạng ngày đa dạng, tinh vi nguy hiểm Nhận thức vấn đề này, BHXH Việt Nam xem việc đảm bảo ATTT ưu tiên hàng đầu phát triển, ứng dụng CNTT triển khai quyền điện tử Vì vậy, nhóm nghiên cứu lựa chọn chuyên đề “Một số vấn đề chung ứng cứu khẩn cấp cố an toàn thông tin yêu cầu đặt ngành Bảo hiểm xã hội Việt Nam ” làm chuyên đề nghiên cứu Chuyên đề nhánh nghiên cứu Đề tài “Xây dựng hệ thống quy trình ứng cứu khẩn cấp sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam” ông Lê Vũ Toàn làm chủ nhiệm Mục tiêu nghiên cứu - Nghiên cứu lý thuyết, quy định pháp luật ứng cứu khẩn cấp cố an tồn thơng tin; - Phân loại, phân nhóm cố an tồn thơng tin từ định hướng xây dựng quy trình ứng cứu cho nhóm cố, đồng thời làm rõ trách nhiệm BHXH Việt Nam đơn vị trực thuộc thực ứng cứu khẩn cấp cố ATTT - Nghiên cứu, làm rõ số khái niệm, số vấn đề chung liên quan đến ATTT, ứng cứu khẩn cấp cố ATTT - Phân tích, làm rõ yêu cầu, trách nhiệm, nghĩa vụ tổ chức, cá nhân thuộc BHXH Việt Nam đơn vị liên quan thực ứng cứu khẩn cấp cố ATTT Đối tượng phạm vi nghiên cứu - Các văn pháp luật nhà nước, văn BHXH Việt Nam, báo công tác ứng cứu cố đảm bảo An tồn thơng tin - Tới quan, tổ chức, cá nhân Việt Nam, tổ chức, cá nhân nước ngồi trực tiếp tham gia có liên quan đến hoạt động an tồn thơng tin mạng BHXH Việt Nam Cách tiếp cận phương pháp nghiên cứu - Phương pháp mô tả: tổng quan tài liệu, tổng hợp phân tích tài liệu - Nghiên cứu, phân tích lý thuyết đảm bảo an tồn thơng tin ứng cứu cố an tồn thơng tin làm sở cho việc xây dựng quy trình ứng cứu khẩn cấp cố an tồn thơng tin Ngành BHXH Việt Nam Kết cấu chuyên đề Ngoài phần mở đầu kết luận, Chuyên đề chia thành chương, cụ thể sau: Chương Một số vấn đề chung ứng cứu khẩn cấp cố an tồn thơng tin Chương Quy định pháp luật ứng cứu khẩn cấp cố an tồn thơng tin Chương Trách nhiệm Bảo hiểm xã hội Việt Nam ứng cứu khẩn cấp cố an tồn thơng tin Chương Một số vấn đề chung ứng cứu khẩn cấp cố an tồn thơng tin 1.1 Một số khái niệm 1.1.1 An toàn thông tin Hệ thống thông tin tập hợp phần cứng, phần mềm sở liệu thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ trao đổi thông tin mạng ATTT hoạt động bảo vệ tài sản thông tin lĩnh vực rộng lớn Nó bao gồm sản phẩm quy trình nhằm ngăn chặn truy cập, phá hoại, sửa đổi, sử dụng, tiết lộ,…một cách trái phép nhằm đảm bảo cho hệ thống thông tin thực chức năng, phục vụ đối tượng cách sẵn sàng, xác tin cậy ATTT việc bảo vệ chống truy nhập (access), sử dụng (use), tiết lộ (disclose), sửa đổi (modify), phá hủy (destroy) thông tin cách trái phép (unauthorised) ATTT mạng bảo vệ thông tin, hệ thống thông tin mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật tính khả dụng thơng tin - Tính bí mật “confidentiality”: đảm bảo thông tin truy xuất đối tượng cấp quyền - Tính tồn vẹn “Integrity”: đảm bảo thông tin không bị sửa đổi, hủy bỏ không phép Nếu thông tin bị thay đổi bên nhận phải phát - Tính sẵn sàng “Availability”: cho phép thơng tin sử dụng cách kịp thời đáng tin cậy Theo Nghị định 64-2007/NĐ-CP ngày 10/4/2007 Chính phủ ứng dụng CNTT hoạt động quan nhà nước: “An tồn thơng tin an tồn kỹ thuật cho hoạt động sở hạ tầng thông tin, bao gồm an tồn phần cứng phần mềm theo tiêu chuẩn kỹ thuật Nhà nước ban hành; trì tính chất bí mật, tồn vẹn, sẵn sàng thơng tin lưu trữ, xử lý truyền dẫn mạng” Luật An tồn thơng tin mạng ban hành năm 2015 thể chế hóa chủ trương, đường lối, sách Đảng Nhà nước an tồn thơng tin, đáp ứng yêu cầu phát triển bền vững kinh tế - xã hội, bảo vệ thông tin hệ thống thơng tin, góp phần bảo đảm quốc phịng, an ninh, chủ quyền lợi ích quốc gia khơng gian mạng Theo đó: “An tồn thơng tin mạng bảo vệ thông tin, hệ thống thông tin mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật tính khả dụng thông tin” Sự đời Luật An ninh mạng bước đột phá lịch sử lập pháp Việt Nam, đảm bảo quyền nghĩa vụ cơng dân khơng gian mạng Theo đó: “An ninh mạng bảo đảm hoạt động không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an tồn xã hội, quyền lợi ích hợp pháp quan, tổ chức, cá nhân” 1.1.2 Sự cớ an toàn thơng tin Sự cố an tồn thông tin (information security incident): Một loạt kiện an tồn thơng tin khơng mong muốn khơng dự tính có khả ảnh hưởng đáng kể đến hoạt động nghiệp vụ đe dọa an tồn thơng tin Một số khái niệm ứng cứu cố an tồn thơng tin: a Sự cố an tồn thơng tin mạng việc thơng tin, hệ thống thông tin bị công gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật tính khả dụng (sau gọi tắt cố) b Ứng cứu cố an tồn thơng tin mạng hoạt động nhằm xử lý, khắc phục cố gây an tồn thơng tin mạng gồm: theo dõi, thu thập, phân tích, phát hiện, cảnh báo, điều tra, xác minh cố, ngăn chặn cố, khôi phục liệu khơi phục hoạt động bình thường hệ thống thơng tin 10 c Sự cố an tồn thông tin mạng nghiêm trọng cố đáp ứng đồng thời tiêu chí Quyết định 05/2017/QĐ-TTg d Sự cố an tồn thơng tin mạng thơng thường cố khơng phải cố an tồn thơng tin mạng nghiêm trọng e Đầu mối ứng cứu cố phận cá nhân thành viên mạng lưới ứng cứu cố an tồn thơng tin mạng quốc gia cử để thay mặt cho thành viên liên lạc trao đổi thông tin với Cơ quan điều phối quốc gia ứng cứu cố thành viên khác hoạt động điều phối, ứng cứu cố 1.1.3 Ứng cứu khẩn cấp sự cố an toàn thông tin Ứng cứu sự cố an toàn thông tin hoạt động nhằm xử lý, khắc phục cố gây an tồn thơng tin mạng gồm: theo dõi, thu thập, phân tích, phát hiện, cảnh báo, điều tra, xác minh cố, ngăn chặn cố, khơi phục liệu khơi phục hoạt động bình thường hệ thống thông tin Ứng cứu khẩn cấp bảo đảm an toàn thông tin hoạt động ứng cứu cố tình xảy cố nghiêm trọng, tình thảm họa, theo yêu cầu quan nhà nước có thẩm quyền nhằm bảo đảm an tồn thơng tin Quy định chung ứng cứu cố an tồn thơng tin thơng thường quy định Quyết định số 05/2017/QĐ-TTg ngày 16/03/2017 việc quy định điều phối, ứng cứu cố an tồn thơng tin mạng tồn quốc Thơng tư số 20/2017/TT-BTTTT ngày 12/09/2017 quy định điều phối, ứng cứu cố an tồn thơng tin mạng tồn quốc xác định phân cấp tổ chức thực ứng cứu cố bảo đảm an tồn thơng tin mạng toàn quốc phương án ứng cứu cố Căn vào định này, xác định phạm vi áp dụng, xây dựng quy trình chung cho ứng cứu cố thông thường Quy định phân cấp tổ chức thực ứng cứu cố bảo đảm an tồn thơng tin mạng quy định từ Điều đến Điều Quyết định số 05/2017/QĐ-TTg 10 44 - Bảo mật: thiết bị Firwall Internet, Firewall lõi - Các thiết bị Máy chủ - Lưu trữ: Các máy chủ BHXH Việt Nam trang bị từ 2012 chạy ảo hóa tài nguyên phụ vụ nhu cầu nội tải BHXH Tỉnh/TP - Hệ thống phục vụ người dùng: Hội nghị truyền hình trực tuyến, hệ thống Antivirus, quản lý vá – lỗ hổng, hệ thống Quản lý truy cập WAN, phát ngăn chặn công chưa biết tới EDR a Thiết bị mạng: Thiết bị mạng gồm thiết bị sau: - Thiết bị định tuyến Router WAN - Thiết bị chuyển mạch: Thiết bị chuyển mạch lõi, chuyển mạch phân phối, chuyển mạch truy cập - Thiết bị tối ưu WAN - Thiết bị cân WAN - Thiết bị hội nghị truyền hình: Bao gồm thiết bị điều khiển tập trung, Codec, Camera b Thiết bị máy chủ, lưu trữ Tùy vào quy mô Tỉnh/TP, đơn vị trang bị thiết bị máy chủ gồm thiết bị sau: - Thiết bị máy chủ vật lý: Tỉnh/TP trang bị từ 04 máy chủ vật lý trở lên để phục vụ hoạt động quản lý - Máy chủ ảo hóa: Các máy chủ vật lý ảo hóa để tối ưu hóa sử dụng cho công việc chung đơn vị - Thiết bị lưu trữ: Được sử dụng chung để lưu trữ cho máy chủ ảo hóa c Thiết bị an toàn bảo mật Thiết bị an toàn bảo mật gồm thiết bị sau: - Thiết bị tường lửa cho kết nối WAN Thiết bị tường lửa cho kết nối Internet Thiết bị lọc Web Proxy Hệ thống quản lý truy cập WAN Hệ thống Cách ly Web Phần mềm phòng chống mã độc 44 45 - Phần mềm phát ngăn chặn công chưa biết đến - Phần mềm quản lý vá 3.1.3.3 Hạ tầng công nghệ thông tin BHXH Quận/Huyện Hình Hạ tầng công nghệ thông tin BHXH Quận/Huyện Hệ thống hạ tầng công nghệ thông tin BHXH cấp Huyện đảm bảo kết nối, phục vụ người dùng đầu cuối BHXH quận/huyện kết nối WAN/Internet hệ thống thông tin Ngành bao gồm a Thiết bị mạng: - Thiết bị tường lửa/định tuyến: Tùy vào quy mô nhu cầu sử dụng mà Quận/Huyện trang bị thiết bị tường lửa kết hợp định tuyến dùng cho kết nối WAN Internet 45 46 - Thiết bị kết nối không dây: Được quản lý, kiếm sốt, thiết lập sách b - kết nối Internet tập trung BHXH Tỉnh/Tp Hệ thống hội nghị trực tuyến: Bao gồm Codec, Camera Thiết bị an toàn bảo mật Hệ thống quản lý truy cập WAN Phần mềm phòng chống mã độc Phần mềm phát ngăn chặn công chưa biết đến Phần mềm quản lý vá 3.1.3.3 Hệ thống phần mềm - Phần mềm ứng dụng nội bộ: Hệ thống Cấp mã số BHXH Quản lý BHYT Hộ gia đình; Hệ thống Quản lý Thu Sổ - Thẻ; Hệ thống Xét duyệt sách; Hệ thống Kế toán tập trung; Hệ thống Quản lý đầu tư quỹ; Hệ thống Tổng hợp phân tích liệu tập trung, Hệ thống Đào tạo trực tuyến; Hệ thống Quản lý văn điều hành; Hệ thống Quản lý định danh truy cập; Hệ thống Chữ ký số chuyên dùng ngành BHXH - Phần mềm phục vụ người dân, doanh nghiệp: Cổng thông tin điện tử BHXH Việt Nam địa phương; Cổng dịch vụ công BHXH Việt Nam (GDĐT); Hệ thống ứng dụng dịch vụ thông tin tảng thiết bị di động (VssID); Hệ thống Giám định BHYT (Cổng tiếp nhận liệu giám định BHYT); Hệ thống Quản lý đấu thầu thuốc; Hệ thống chăm sóc khách hàng; Hệ thống Thu nộp, chi trả BHXH điện tử; Hệ thống Quản lý tài khoản đầu tư tự động 3.1.3.4 Hệ thống giám sát ứng cứu BHXH Việt Nam đầu tư xây dựng Trung tâm điều hành hệ thống CNTT ngành BHXH đồng thời thuê nhân trực Trung tâm điều hành từ đơn vị cung cấp dịch vụ có chất lượng cao (Cơng ty TNHH MTV Ứng dụng Kỹ thuật Sản xuất TECAPRO) nhằm chuyên nghiệp hóa, tập trung hóa cơng tác giám sát, quản trị vận hành hệ thống ứng dụng CNTT, đảm bảo an tồn cho hệ thống thơng tin, giúp hệ thống thông tin ngành BHXH hoạt động liên tục 24/7, giảm thiểu tối đa nguy đe dọa an tồn thơng 46 47 tin, thời gian gián đoạn hoạt động nghiệp vụ vấn đề kỹ thuật; Nâng cao khả quản trị, vận hành, giám sát khắc phục cố kịp thời cho toàn hệ thống CNTT ngành BHXH Trung tâm quản lý điều hành hệ thống CNTT ngành BHXH Công ty TNHH chứng nhận DAS Việt Nam đánh giá trao chứng nhận hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO 27001:2013 từ tháng 12/2019 Việc thuê dịch vụ quản trị, vận hành hệ thống CNTT Ngành BHXH giúp Ngành BHXH nắm bắt nhanh chóng tình trạng hoạt động ứng dụng, dịch vụ, thành phần hạ tầng hệ thống CNTT, khắc phục cố kịp thời, nâng cao tính sẵn sàng hiệu suất hoạt động hệ thống CNTT, dịch vụ, ứng dụng phục vụ hiệu cho hoạt động nghiệp vụ Ngành Trong suốt trình thuê dịch vụ, hệ thống CNTT Ngành theo dõi sát sao, kịp thời phát hiện, cảnh báo xử lý lỗi phát sinh hệ thống góp phần giúp hệ thống ứng dụng CNTT tồn Ngành hoạt động liên tục 24/7 đáp ứng 100% nhu cầu phục vụ người dân đơn vị sử dụng lao động Hiện Ngành BHXH tiếp tục mở rộng phạm vi hệ thống CNTT, xây dựng kế hoạch triển khai công tác chuyển đổi số Ngành theo Quyết định số 942/QĐ-TTg Thủ tướng Chính phủ phê duyệt Chiến lược phát triển Chính phủ điện tử hướng tới Chính phủ số giai đoạn 20212025, định hướng đến năm 2030 triển khai thêm giải pháp đảm bảo an toàn bảo mật hệ thống ứng dụng nghiệp vụ quan trọng khác việc bố trí số lượng cán làm việc theo ca đáp ứng yêu cầu thực quản trị, vận hành cho hệ thống CNTT toàn Ngành 47 48 3.2 Trách nhiệm Bảo hiểm xã hội Việt Nam ứng cứu khẩn cấp cố an tồn thơng tin 3.2.1 Trách nhiệm xây dựng hệ thống, mạng lưới 3.2.1.1 Kết nối hệ thống, mạng lưới quốc gia a BHXH Việt Nam xây dựng thực kế hoạch ứng phó cố bảo đảm an tồn thơng tin mạng (sau gọi tắt kế hoạch ứng phó cố) để đảm bảo nhân lực, vật lực, tài lực điều kiện cần thiết để sẵn sàng triển khai kịp thời, hiệu phương án ứng cứu cố bảo đảm an tồn thơng tin mạng, cụ thể sau: - Cơ quan điều phối quốc gia xây dựng, trình Bộ Thơng tin Truyền thơng phê duyệt để thực kế hoạch ứng phó cố bảo đảm an tồn thơng tin mạng quốc gia kế hoạch hoạt động mạng lưới ứng cứu cố - Trung tâm CNTT – BHXH Việt Nam xây dựng, trình thủ trưởng quan chủ quản phê duyệt để thực kế hoạch ứng phó cố bảo đảm an tồn thơng tin mạng cho quan nhà nước, tổ chức trị, tổ chức trị - xã hội phạm vi bộ, ngành quản lý b BHXH Việt Nam xây dựng kế hoạch ứng phó cố bảo đảm an tồn thơng tin mạng theo đề cương Phụ lục II Quyết định 05/2017/QĐ-TTg, trọng nội dung: Các kịch công, nguy cơ, tình cố có khả xảy ra, phương án ứng cứu theo kịch bản, tình dự kiến cơng tác huấn luyện, diễn tập Trường hợp cần thiết, Bộ Thông tin Truyền thông xem xét điều chỉnh số điểm đề cương cho phù hợp với tình hình yêu cầu cố an tồn thơng tin mạng c Cơ quan điều phối quốc gia hướng dẫn việc xây dựng, triển khai kế hoạch ứng phó cố, dự phịng ứng cứu, xử lý cố an tồn thơng tin mạng; tổ chức hoạt động huấn luyện, diễn tập theo vùng, miền quốc gia, quốc tế; định kỳ kiểm tra, đánh giá việc triển khai kế hoạch ứng phó cố an tồn 48 49 thơng tin mạng bộ, ngành, địa phương tổ chức, doanh nghiệp 3.2.1.2 Xây dựng hệ thống, mạng lưới nội ngành BHXH Việt Nam Với mục tiêu đảm bảo ATTT mạng cho hệ thống thông tin ngành BHXH, tập trung đảm bảo ATTT cho hệ thống thơng tin quan trọng, có khả thích ứng cách chủ động, linh hoạt giảm thiểu cố, nguy cơ, đe dọa ATTT mạng đề phương án ứng cứu gặp cố ATTT mạng Đồng thời đảm bảo nguồn lực điều kiện cần thiết để sẵn sàng triển khai kịp thời, hiệu phương án ứng cứu cố ATTT mạng Bảo hiểm xã hội Việt Nam ban hành kế hoạch số 3280/KH-BHXH xác định, phân cơng nhiệm vụ cho thành phần tham gia hoạt động ứng cứu cố sau: 3.2.1 Ban Chỉ đạo ứng cứu khẩn cấp sự cố ATTT mạng Ban Chỉ đạo ứng cứu khẩn cấp cố ATTT mạng Ban Chỉ đạo ứng dụng công nghệ thông tin (CNTT) BHXH Việt Nam đảm nhiệm chức đạo ứng cứu khẩn cấp cố ATTT mạng ngành BHXH 3.2.2 Đơn vị chuyên trách Đơn vị chuyên trách ứng cứu cố ATTT mạng Trung tâm Công nghệ thông tin trực thuộc BHXH Việt Nam (sau gọi Đơn vị chuyên trách ứng cứu cố) 3.2.3 Đội ứng cứu sự cố ATTT mạng Đội ứng cứu cố, bảo đảm an tồn thơng tin mạng ngành Bảo hiểm xã hội Việt Nam (gọi tắt Đội ứng cứu) thành lập sau Quyết định số 345/QĐ-BHXH ngày 09/04/2017 49 50 3.2.2 Trách nhiệm xây dựng quy trình ứng cứu khẩn cấp sự cố an toàn thông tin 3.2.2.1 Quy trình ứng cứu có kết nối với hệ thống, mạng lưới quốc gia a Phát tiếp nhận cố - Đơn vị chủ trì: Trung tâm CNTT, Trung tâm vận hành hệ thống thông tin – BHXH Việt Nam; Cơ quan điều phối quốc gia; - Đơn vị phối hợp: Đội ứng cứu cố an toàn thông tin mạng ngành BHXH; Bảo hiểm xã hội Việt Nam b Xác minh, phân tích, đánh giá phân loại cố - Đơn vị chủ trì: Cơ quan điều phối quốc gia; - Đơn vị phối hợp: Bảo hiểm xã hội Việt Nam, Đội ứng cứu cố an tồn thơng tin mạng ngành BHXH, Trung tâm CNTT, Trung tâm vận hành hệ thống thông tin – BHXH Việt Nam c Cơ quan thường trực định lựa chọn phương án triệu tập thành d e - viên phận tác nghiệp ứng cứu khẩn cấp Đơn vị chủ trì: Cơ quan thường trực Triển khai phương án ứng cứu ban đầu Đơn vị chủ trì: Cơ quan điều phối quốc gia, Bảo hiểm xã hội Việt Nam Triển khai phương án ứng cứu khẩn cấp Chỉ đạo xử lý cố: Đơn vị chủ trì: Cơ quan thường trực, Ban Chỉ đạo ứng cứu khẩn cấp cố an - tồn thơng tin mạng ngành BHXH Điều phối công tác ứng cứu: Đơn vị chủ trì: Ban điều phối ứng cứu quốc gia, Cơ quan điều phối quốc gia Phát ngôn công bố thơng tin: Đơn vị chủ trì: Cơ quan thường trực Thu thập thơng tin: Đơn vị chủ trì: Cơ quan điều phối quốc gia, Bảo hiểm xã hội Việt Nam Phân tích, giám sát tình hình liên quan cố: Đơn vị chủ trì: Cơ quan điều phối quốc gia Đơn vị phối hợp: Bảo hiểm xã hội Việt Nam Khắc phục cố, gỡ bỏ mã độc: Đơn vị chủ trì: Bảo hiểm xã hội Việt Nam Đơn vị phối hợp: Cơ quan điều phối quốc gia, đơn vị khác thuộc Bộ phận tác nghiệp ứng cứu khẩn cấp - Ngăn chặn, xử lý hậu quả: 50 51 - Đơn vị chủ trì: Bảo hiểm xã hội Việt Nam - Xác minh nguyên nhân truy tìm nguồn gốc: - Đơn vị chủ trì: Các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp sau phân tích cố f Đánh giá kết triển khai phương án ứng cứu khẩn cấp bảo đảm an toàn g - thông tin mạng quốc gia Đơn vị chủ trì: Ban Chỉ đạo quốc gia Đơn vị phối hợp: Kết thúc Đơn vị chủ trì: Cơ quan điều phối quốc gia Đơn vị phối hợp: Bảo hiểm xã hội Việt Nam, đơn vị thuộc Bộ phận tác nghiệp ứng cứu khẩn cấp 3.2.2.2 Quy trình ứng cứu nội ngành BHXH a - Tiếp nhận, phân tích, ứng cứu ban đầu thông báo cố Tiếp nhận, xác minh cố Đơn vị chủ trì: Trung tâm CNTT Đơn vị phối hợp: Đội ứng cứu cố an tồn thơng tin mạng ngành BHXH, Cơ quan điều phối quốc gia - Triển khai bước ưu tiên ứng cứu ban đầu - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Đội ứng cứu cố an tồn thơng tin mạng ngành BHXH, Thành viên mạng lưới có liên quan, Cơ quan điều phối quốc gia - Triển khai bước ưu tiên ứng cứu ban đầ Triển khai lựa chọn phương án ứng cứu - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Đội ứng cứu cố an tồn thơng tin mạng ngành BHXH, Thành viên mạng lưới có liên quan, Cơ quan điều phối quốc gia - Chỉ đạo xử lý cố (nếu cần): - Đơn vị chủ trì: Ban Chỉ đạo ứng cứu khẩn cấp cố an tồn thơng tin mạng - ngành BHXH Đơn vị phối hợp: Bảo hiểm xã hội Việt Nam Báo cáo cố: Đơn vị chủ trì: Trung tâm CNTT Đơn vị phối hợp: Đơn vị chuyên trách ứng cứu cố liên quan/chịu trách nhiệm, doanh nghiệp viễn thông, Internet (ISP) 51 52 - Điều phối cơng tác ứng cứu: - Đơn vị chủ trì: Ban Chỉ đạo ứng cứu khẩn cấp cố an toàn thông tin mạng ngành BHXH, Cơ quan điều phối quốc gia - Đơn vị phối hợp: Trung tâm CNTT, Đội ứng cứu cố an tồn thơng tin mạng ngành BHXH b Triển khai ứng cứu, ngăn chặn xử lý cố - Đơn vị chủ trì: Trung tâm CNTT, Đội ứng cứu cố an tồn thơng tin mạng ngành BHXH - Đơn vị phối hợp: Đơn vị chịu trách nhiệm bảo đảm an tồn thơng tin cho hệ thống bị cố, thành viên mạng lưới có liên quan, Cơ quan điều phối quốc gia c Xử lý cố, gỡ bỏ khôi phục: - Xử lý cố, gỡ bỏ: - Đơn vị chủ trì: Trung tâm CNTT, Đội ứng cứu cố an toàn thông tin mạng ngành BHXH - Đơn vị phối hợp: Đơn vị chịu trách nhiệm bảo đảm an tồn thơng tin cho hệ thống bị cố; Đơn vị chuyên trách ứng cứu cố, thành viên mạng lưới có liên quan, Cơ quan điều phối quốc gia - Khơi phục: - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Đội/bộ phận ứng cứu cố, Đơn vị chịu trách nhiệm bảo đảm an toàn thông tin cho hệ thống bị cố, Đơn vị chuyên trách ứng cứu cố, thành viên mạng lưới có liên quan, Cơ quan điều phối quốc gia - Kiểm tra, đánh giá hệ thống thông tin: - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Đơn vị chịu trách nhiệm bảo đảm an tồn thơng tin cho hệ thống bị cố, Đơn vị chuyên trách ứng cứu cố, chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia d Tổng kết, đánh giá - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Đơn vị chuyên trách ứng cứu cố; Đội/bộ phận ứng cứu cố; Chủ quản hệ thống thông tin; Ban Chỉ đạo ứng cứu cố cấp bộ, tỉnh; Cơ quan điều phối quốc gia 52 53 3.2.3 Trách nhiệm tổ chức thực hiện 3.2.3.1 Ứng cứu có kết nối với hệ thống, mạng lưới quốc gia Quy định phân cấp tổ chức thực ứng cứu cố bảo đảm an tồn thơng tin mạng quy định từ Điều đến Điều Quyết định số 05/2017/QĐ-TTg Theo đó, Bảo hiểm xã hội Việt Nam đóng vai trò sau: a Ban Chỉ đạo ứng cứu khẩn cấp cố an tồn thơng tin mạng Bảo hiểm xã hội Việt Nam: Ban Chỉ đạo ứng dụng công nghệ thông tin (Ban đạo chuyển đổi số) BHXH Việt Nam đảm nhiệm chức Ban Chỉ đạo ứng cứu khẩn cấp cố an tồn thơng tin mạng b Đơn vị chuyên trách ứng cứu cố an tồn thơng tin mạng BHXH Việt Nam: Đơn vị chuyên trách ứng cứu cố an tồn thơng tin mạng Trung tâm CNTT – BHXH Việt Nam 3.2.2.2 Ứng cứu nội ngành BHXH a Ban đạo ngành Bảo hiểm xã hội - Chỉ đạo công tác điều phối, ứng cứu cố ngành BHXH; đạo quan, đơn vị trực thuộc phối hợp, tuân thủ yêu cầu Cơ quan điều phối quốc gia điều phối, ứng cứu cố - Chỉ đạo xây dựng, phê duyệt giám sát thực phương án ứng cứu cố Đơn vị chuyên trách ứng cứu cố xây dựng thực - Triệu tập, đạo Đội ứng cứu cố theo đề xuất Đơn vị chuyên trách ứng cứu cố - Báo cáo tình hình xin ý kiến Ban Chỉ đạo quốc gia qua Cơ quan thường trực quốc gia vấn đề phát sinh vượt thẩm quyền trình thực nhiệm vụ; chịu đạo, điều hành Ban Chỉ đạo quốc gia qua Cơ quan thường trực quốc gia Cơ quan điều phối quốc gia b Trung tâm CNTT; Đội ứng cứu cố ngành BHXH Việt Nam - Tổ chức hoạt động ứng cứu cố ngành BHXH; xây dựng thực phương án ứng cứu cố theo kế hoạch đột xuất 53 54 - Tham gia hoạt động ứng cứu khẩn cấp bảo đảm ATTT mạng quốc gia có yêu cầu từ Cơ quan thường trực quốc gia Cơ quan điều phối quốc gia - Xác định nguyên nhân, trách nhiệm gây cố ATTT mạng ngành BHXH - Thiết lập kênh tiếp nhận thông tin cố ATTT hướng dẫn đơn vị phòng ngừa, khắc phục cố ATTT c Đơn vị vận hành hệ thống thông tin - Bảo đảm ATTT mạng cho hệ thống giao quản lý, vận hành - Kịp thời báo cáo cố tới Cơ quan chủ quản, Đơn vị chuyên trách ứng cứu cố, Cơ quan điều phối quốc gia cá nhân liên quan - Thường xuyên theo dõi, chủ động phát công, cố hệ thống giao quản lý, vận hành kịp thời khắc phục cố ATTT mạng khả - Phối hợp xác định nguyên nhân, trách nhiệm gây cố ATTT mạng hệ thống giao quản lý, vận hành 54 55 Tiểu kết Chương Việc đảm bảo an tồn cho tồn hệ thống thơng tin Ngành BHXH thách thức lớn trước nguy công mạng với kỹ thuật ngày tân tiến tội phạm công nghệ cao 55 56 Kết luận Báo cáo chuyên đề cung cấp, hệ thống số vấn đề lý thuyết liên quan đến ứng cứu khẩn cấp cố an tồn thơng tin; phân tích, làm rõ u cầu đặt Ngành BHXH Việt Nam 56 57 Danh mục tài liệu tham khảo Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 bảo đảm an tồn hệ thống thơng tin theo cấp độ Thơng tư 03/2017/TT-BTTTT 24/04/2017 việc quy định chi tiết hướng dẫn số điều nghị định số 85/2016/NĐ-CP ngày 01/7/2016 phủ bảo đảm an tồn hệ thống thơng tin theo cấp độ Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định hệ thống phương án ứng cứu khẩn cấp bảo đảm An tồn thơng tin mạng Quốc gia Thơng tư số 20/2017/TT-BTTTT ngày 12/09/2017 việc quy định điều phối, ứng cứu cố an tồn thơng tin mạng tồn quốc Thơng tư số 24/2020/TT-BTTTT ngày 09/09/2020 quy định công tác triển khai, giám sát công tác triển khai nghiệm thu dự án đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách Nhà nước Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 việc ứng phó cố bảo đảm an tồn thơng tin mạng ngành BHXH Việt Nam Tiêu chuẩn quốc gia TCVN 11930:2017 Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an tồn hệ thống thơng tin theo cấp độ Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019 ISO/IEC 27001:2013 "Công nghệ thông tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Các yêu cầu" TCVN ISO/IEC 27002:2020 Công nghệ thơng tin - Các kỹ thuật an tồn Quy tắc thực hành Quản lý an tồn thơng tin 10.TCVN 9801-3:2014 Cơng nghệ thơng tin - Kỹ thuật an tồn - An toàn mạng Phần 3: Các kịch kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát (ISO/IEC 27033-3:2010) 11 TCVN 9801-2:2015 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 2: Hướng dẫn thiết kế triển khai an toàn mạng (ISO/IEC 27033-2:2012) 12 TCVN 11239:2015 Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý cố an tồn thơng tin 13 Lê Ngun Bồng (2021) “Giải pháp hoàn thiện việc xây dựng vận hành sở liệu điện tử quản lý bảo hiểm xã hội phạm vi nước” 57 58 14 Hồng Đăng Trị nhóm nghiên cứu Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (2017) Nghiên cứu xây dựng tiêu chuẩn “Công nghệ thông tin Các kỹ thuật an toàn - Hướng dẫn đảm bảo phù hợp đầy đủ theo phương pháp điều tra cố” 58 ... 2021 BẢO HIỂM XÃ HỘI VIỆT NAM - - CHUYÊN ĐỀ Một số vấn đề chung ứng cứu khẩn cấp cố an tồn thơng tin u cầu đặt ngành Bảo hiểm xã hội Việt Nam Đề tài: XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN... hiểm xã hội Việt Nam ứng cứu khẩn cấp cố an tồn thơng tin Chương Một số vấn đề chung ứng cứu khẩn cấp cố an tồn thơng tin 1.1 Một số khái niệm 1.1.1 An toàn thông tin Hệ thống thông tin tập... quan thường trực) i Ban Chỉ đạo ứng cứu khẩn cấp cố an toàn thông tin mạng ngành Bảo hiểm xã hội: Ban Chỉ đạo ứng dụng công nghệ thông tin Bảo hiểm xã hội Việt Nam đảm nhiệm chức Ban Chỉ đạo ứng