Bộ Thông tin Truyền thông Trung tâm VNCERT Triển khai Quy hoạch ATTT số quốc gia xây dựng sách ATTT số Việt Nam TS Vũ Quốc Khánh Hội thảo sách phát triển An tồn thông tin số phục vụ CPĐT Hà Nội, 25/05/2012 Nội dung TÌNH HÌNH TRIỂN KHAI QUY HOẠCH PHÁT TRIỂN ATTT SỐ QG HỒN THIỆN MƠI TRƯỜNG PHÁP LÝ TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG Đảm bảo sở hạ tầng CNTT&TT Phát triển nguồn nhân lực nâng cao nhận thức Đảm bảo an tồn cho ứng dụng CNTT Hồn thiện mơi trường pháp lý định hướng QUY HOẠCH PT ATTT SỐ ĐẾN 2020 Nâng cao nhận thức, đẩy mạnh thông tin, tuyên truyền ATTT Hồn thiện chế sách nhà nước ATTT Đẩy mạnh hợp tác nước giải pháp Phát triển nguồn lực ATTT: Huy động vốn, Đào tạo nhân lực Xây dựng thiết chế tăng cường hoạt động đảm bảo ATTT TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG Các Bộ, ngành, UBND tỉnh, thành phố xây dựng kế hoạch ứng dụng công nghệ thông tin kế hoạch đầu tư cho ứng dụng CNTT giai đoạn 2011-2015 Dự kiến tỷ lệ đầu tư cho an tồn thơng tin ngân sách dành cho CNTT đơn vị (các quan, tổ chức, doanh nghiệp ngồi Nhà nước) cịn thấp CQ Nhà nước 29% 16% 24% 31% từ 10-15% từ 5-9.9% 5% Chung nước 19% 0% 19% 20% 38% 40% 60% 24% 80% Khơng rõ 100% TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG - 53% đơn vị có hệ thống ATTT khơng có khả ghi nhận hành vi thử công (kể chưa thành công) Đối với quan nhà nước tỷ lệ 54% - 63% đơn vị không ước lượng tổn thất tài bị cơng Đối với quan nhà nước tỷ lệ chiếm 64% 64% Không ước lượng tổn thất tài 63% CQ NN Chung Khơng có khả ghi nhận công 54% 53% 0% 10% 20% 30% 40% 50% 60% 70% TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG Trong việc thực thi bảo vệ an tồn cho hệ thống thơng tin, đơn vị gặp khó khăn do: Nguyên nhân 60% 50% 40% 44% 48% 38% 30% 20% 10% 0% Lãnh đạo chưa hỗ trợ Thiếu hiểu biết ATTT nhận thức người sử mức cần thiết tổ chức dụng VỀ QUẢN LÝ ATTT 69% đơn vị có cán chuyên trách ATTT 59% đơn vị có kế hoạch đào tạo an toàn ATTTs Tỷ lệ đơn vị có ban hành quy chế ATTT lãnh đạo phê duyệt áp dụng Tỷ lệ đơn vị có ban hành quy trình thao tác chuẩn phản ứng, xử lý cố máy tính 35 36 2011 2010 27 24.4 Tỷ lệ đơn vị có cán chuyên trách bán chuyên trách ATTT 69 69.8 Tỷ lệ đơn vị có kế hoạch xây dựng HT quản lý ATTT theo TCVN-ISO/IEC 27001:2009 33 Tỷ lệ đơn vị có kế hoạch đào tạo ATTT 59 61.2 Tỷ lệ đơn vị áp dụng hình thức mua bảo hiểm để đề phịng thiệt hại bị cơng 12 10 20 40 60 80 TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG Kế hoạch đào tạo ATTT quan tâm năm trước: Tỷ lệ đơn vị có kế hoạch đào tạo ATTT.s 73% có kế hoạch đào tạo ATTT có nhu cầu đào tạo ATTT theo nội dung vịng năm có nhu cầu đào tạo ATTT theo nội dung vòng năm 0.00% 61% 38% 26.50% 32% 20.50% 20.00% 40.00% 60.00% 80.00% CQNN Chung Chỉ số mức độ quan tâm nhóm doanh nghiệp cơng tác đảm bảo ATTT thương mại điện tử TT Nhóm doanh nghiệp khảo sát Số lượng Mức độ quan tâm (từ 1-10) công tác đảm bảo ATTT Công nghiệp – Thương mại 15 5/10 Ngân hàng – Tài 10 10/10 Chứng khốn 08 10/10 Hàng không – vận tải 03 10/10 Viễn thông 04 8/10 Dịch vụ TMDT CNTT 15 7/10 Nguồn: Cục TMĐT-CNTT, Bộ CT CHỈ SỐ TỶ LỆ ÁP DỤNG GiẢI PHÁP ATTT (%) Mức độ trung bình áp dụng giải pháp công nghệ đảm bảo ATT 24.5 Nhóm giải pháp bảo vệ liệu mật mật mã 18 Nhóm thiết bị, phần mềm, giải pháp bảo vệ hệ thống 42 Nhóm giải pháp kiểm sốt truy cập, áp dụng cơng nghệ sinh trắc học 16.6 Nhóm cơng cụ dị qt điểm yếu, quản lý vá ATTT 14.1 Nhóm giải pháp quản lý log-file, giải pháp quản lý kiện cố ATTT 16.4 10 20 40 60 Nguồn: kết khảo sát VNCERT 2010 Nhận định chung trạng + Các quy định phong phú Tập trung giải vấn đề xúc Ưu tiên đưa quy định định hướng Chú trọng chế tài xử lý + Vấn đề hệ thống: Chưa có tính hệ thống cao, Nhiều văn gị bó, khái niệm chưa quán Các văn QPPL tảng chưa đón đầu phát triển + Vấn đề thực thi tuân thủ: Bước đầu quan tâm chưa nhiều Thiếu hệ thống hướng dẫn, tài liệu đào tạo Thiếu tiêu chuẩn, quy chuẩn 20 HỒN THIỆN MƠI TRƯỜNG PHÁP LÝ + Nhiệm vụ quan trọng Quy hoạch  Hệ thống hóa quy định  Tăng cường hướng dẫn + Điều kiện thực thi: Tư vấn  Dịch vụ ATTT  Đánh giá ATTT  Đào tạo nhân lực ATTT 21 QUAN ĐIỂM XÂY DỰNG CHÍNH SÁCH ATTTs ATTTs trụ cột để phát triển CNTT, CPĐT… + Một trụ cột (hạ tầng, công nghiệp, ứng dụng, nguồn nhân lực, ATTTs) + Điều kiện tiên để PT ƯD CNTT ATTTs phận QPANQG + Địa bàn hoạt động thám, tội phạm, khủng bố, chiến tranh + Tác hại lớn đến cộng đồng, ảnh hưởng đến KT, ANQG, TTATXH + Bảo đảm an tồn thơng tin liên lạc, giữ gìn bí mật quốc gia + Giữ gìn bí mật kinh tế, đảm báo phát triển bền vững + Bảo vệ chủ quyền QG trọng không gian số ATTTs ngành kinh tế công nghiệp, dịch vụ công nghệ cao + Giá trị kinh tế cao, tăng trưởng nhanh (28%) + Đầu tư đắt tiền, đòi hỏi tính hiệu cao + Địi hỏi trình độ cao phát triển KHCN nhân lực 22 QUAN ĐIỂM XÂY DỰNG CHÍNH SÁCH … (2) ATTTs lĩnh vực đặc thù ưu tiên sản phẩm, tổ chức nội địa + Kế thừa tri thức tinh hoa quốc tế, phát huy nội lực + Dịch vụ, hệ thống, cơng cụ, người địi hổi độ tin cậy cao ATTTs lĩnh vực nóng đối ngoại + Xu hướng đồng thuận, hợp tác >< đấu tranh, thám mạng + Công ước Châu Âu chống tội phạm mạng + Chiến lược quốc tế không gian mạng Mỹ, Anh,… + Hội thảo quốc tế khơng gian mạng: Đa số nước có quan điểm đối thoại, xây dựng quy tắc ứng xử, đồng thuận + Quan điểm “tự internet” phải đảm bảo an ninh quốc gia an toàn cho người dân ATTTs nghiệp toàn xã hội + CQ QLNN, thực thi & BV PL nòng cốt + LL KHCN + cộng đồng + Xã hội hóa + nâng cao thường xuyên nhận thức 23 CÁC VẤN ĐỀ CẦN GIẢI QUYẾT Quản lý NN thực thi pháp luật ATTTs Bảo vệ CSHT trọng yếu CNTT QG Xây dựng mạng máy tính an tồn Sử dụng mạng máy tính, Internet Bảo vệ người dùng Phát triển KHCN, CN, DV ATTTs Thu thập thông tin, giám sát, phát hiện, cảnh báo sớm Phát triển mạng lưới chia sẻ thông tin, ngăn ngừa ứng cứu cố Đào tạo nguồn nhân lực 24 Một số văn dự kiến ban hành Luật, Nghị định 25 Dự kiến Luật Quảng cáo (dự thảo) 2012 Luật An tồn thơng tin số (đề xuất) 2014 Nghị định sửa đổi, bổ sung Nghị định số 90/2008/NĐCP chống thư rác (dự thảo) 2012 Nghị định thay Nghị định số 97/2008/NĐ-CP quản lý, cung cấp, sử dụng dịch vụ Internet TTĐT Internet (dự thảo) 2012 Nghị định đánh giá hệ thống quản lý an tồn thơng tin số quan nhà nước (đề xuất) 2012-2013 Nghị định xử phạt vi phạm hành lĩnh vực Internet (đề xuất) 2012-2013 Một số Nghị định bảo đảm an ninh mạng, phòng chống tội phạm CNC (đề xuất) 2012-2013 Xây dựng tiêu chuẩn ATTT Tiêu chuẩn Việt Nam tương thích quốc tế 26 Dự kiến số lượng Nhóm tiêu chuẩn quản lý an tồn thơng tin Nhóm tiêu chuẩn đánh giá ATTT Nhóm tiêu chuẩn kỹ thuật AT mạng ứng cứu cố Nhóm tiêu chuẩn đào tạo ATTT Nhóm tiêu chuẩn mật mã chứng thực số Xây dựng tiêu chuẩn quản lý ATTT Các tiêu chuẩn có dự thảo: - Quản lý rủi ro an tồn thông tin – tương đương tiêu chuẩn ISO 27005:2008 - Phương pháp đánh giá an tồn cơng nghệ thơng tin - tương đương ISO 18045:2005 - Bộ tiêu chuẩn “Tiêu chí đánh giá an tồn cơng nghệ thơng tin” tương đương ISO 15408:2005 (bao gồm phần) Các tiêu chuẩn dự kiến xây dựng : - Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin ISO/IEC 27003 - Đánh giá quản lý an tồn thơng tin ISO/IEC 27004 - Hướng dẫn cho dịch vụ khôi phục thông tin sau thảm họa công nghệ thông tin viễn thông - ISO/IEC 27006 - Thuật ngữ hệ thống quản lý an tồn thơng tin – ISO 27000 27 Xây dựng sách đào tạo ATTTs Hệ thống chứng ATTTs phù hợp Khung đào tạo cập nhật Quản lý chất lượng cấp chứng Xã hội hóa việc tổ chức đào tạo, bồi dưỡng 28 XÂY DỰNG CHÍNH SÁCH BẢO ĐẢM ATTTs Ở CÁC BỘ NGÀNH, ĐỊA PHƯƠNG, CƠ SỞ Nhiệm vụ: • Triển khai cụ thể sách NN, tham gia phản biện góp ý kiến bổ sung, hồn thiện • Xây dựng kiện toàn tổ chức lực lượng chuyên trách làm tham mưu, quản lý, thực thi • Xây dựng kế hoạch dài, ngắn hạn • XD quy chế, quy trình báo đảm ATTTs • XD định hướng, kế hoạch đào tạo chuyên gia, nâng cao nhận thức cho LĐ, bổ sung kiến thức cho người dụng • Tham gia cung cấp thơng tin, khảo sát trạng, đánh giá ATTTs 29 NỘI DUNG XD TK CHÍNH SÁCH BĐ ATTTs Nội dung xây dựng sách ATTTs a) Thiết lập xây dựng, ban hành văn sách, quy trình, nội quy quản lý ATTTs phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật, quy định pháp lý sở đánh giá nguy cơ, rủi ro yêu cầu thực tế; b) Triển khai áp dụng sách, biện pháp bảo đảm ATTTs; c) Thiết lập, vận hành máy hệ thống quản lý ATTTs 30 NỘI DUNG XD TK CHÍNH SÁCH BĐ ATTTs Nội dung XD triển khai quy trình, biện pháp đảm bảo ATTTs: Các biện pháp chung a) Phân loại tài sản thông tin tổ chức Internet bao gồm phần cứng, phần mềm, liệu, tài liệu hệ thống, tài sản khác Internet Áp dụng biện pháp quản lý thích hợp; b) Cán đảm bảo ATTTs tuyển chọn, đào tạo, bồi dưỡng nghiệp vụ thường xuyên phù hợp với nhiệm vụ Cán sử dụng mạng phải nắm vững quy định pháp lý nội ATTTs; c) Đảm bảo an ninh khai thác vận hành hệ thống bao gồm biện pháp kiểm soát hệ thống, kiểm soát mạng, lưu liệu, quản lý thiết bị kết nối, quản lý trao đổi thông tin, kiểm sốt truy cập thơng tin, truy cập mạng ứng dụng mạng; d) Kiểm soát bảo mật, mã hóa thơng tin hệ thống đường truyền; đ) Quản lý cố, cảnh báo sớm nguy cơ, điểm yếu gây ATTTs, kiểm soát lỗ hổng bảo mật; e) Các biện pháp khác 31 NỘI DUNG XÂY DỰNG QUY TRÌNH BĐ ATTTs Kiểm tra, giám sát, đánh giá ATTTs theo phương pháp tự đánh giá nhờ tổ chức bên đánh giá khách quan: a) Kiểm tra, đánh giá mức độ tuân thủ hệ thống thông tin so với tiêu chuẩn, quy chuẩn kỹ thuật quy định quản lý ATTTs; b) Hạ tầng kỹ thuật phải định kỳ kiểm tra, đánh giá kiểm định mặt ATTTsphù hợp tiêu chuẩn, quy chuẩn kỹ thuật, quy định Duy trì, cập nhật hệ thống quản lý ATTTs a) Đề xuất biện pháp điều chỉnh sách quản lý, nâng cấp hệ thống bảo đảm ATTTs; b) Đảm bảo tuân thủ quy định ban hành 32 NỘI DUNG XÂY DỰNG QUY TRÌNH BĐ ATTTs Giải quyết, khắc phục cố ATTTs a) Áp dụng biện pháp để khắc phục hạn chế thiệt hại cố xảy ra, báo cáo nhanh lập biên gửi cho quan cấp quản lý trực tiếp; b) Trường hợp có cố nghiêm trọng vượt khả khắc phục đơn vị, phải báo cáo cho mạng lưới ứng cứu cố quan quản lý nhà nước có thẩm quyền quy định; c) Cung cấp đầy đủ thông tin chứng, biên kỹ thuật (log-files) mã nguồn độc hại (nếu có) tạo điều kiện thuận lợi cho quan chức tham gia nghiên cứu phân tích khắc phục cố; d) Báo cáo cố theo kênh liên lạc nhanh theo quy định văn cho quan quản lý nhà nước ATTTs 33 Xin chân thành cảm ơn Liên hệ: Vũ Quốc Khánh Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, Bộ Thông tin Truyền thông 18 Nguyễn Du, Hà Nội, Việt Nam Tel: (84) 36404 420 Fax: (84) 36404 425 Email: vqkhanh@mic.gov.vn 34 ... thảo quốc tế không gian mạng: Đa số nước có quan điểm đối thoại, xây dựng quy tắc ứng xử, đồng thuận + Quan điểm “tự internet” phải đảm bảo an ninh quốc gia an toàn cho người dân ATTTs nghiệp toàn. .. Tiêu chuẩn an tồn thơng tin TCVN ISO/IEC 17799:2005 TCVN ISO/IEC 27001:2009 13/01/2010 Quy? ??t định số 63/QĐ-TTg Thủ tướng Chính phủ phê duyệt Quy hoạch phát triển an tồn thơng tin số quốc gia đến... TƯ VỀ ATTTs Ngày (2) Thơng tư 15/11/2010 Thông tư số 25/2010/TT-BTTTT quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn bảo vệ thông tin cá nhân trang thông tin điện tử cổng thông tin