Mạng Internet đã trở thành công cụ để phát triển kinh tế xã hội của mọi quốc gia. Đối với Việt Nam, mạng Internet cũng là một công cụ, phương tiện để thực hiện công nghiệp hóa, hiện đại hóa và hội nhập quốc tế. Tuy nhiên, mạng Internet đang trở thành môi trường cho những mối đe dọa mới mà chúng ta phải tìm cách để vượt qua, đưa Việt Nam trở thành nước công nghiệp hóa, hiện đại hóa, phát triển mạnh trong một thế giới cạnh tranh và toàn cầu hóa.
Chuyên đề NỘI DUNG CƠ BẢN CỦA LUẬT AN TOÀN THÔNG TIN MẠNG NĂM 2015 VÀ BẢO ĐẢM AN TOÀN THÔNG TIN TRONG QUÂN ĐỘI* I SỰ CẦN THIẾT BAN HÀNH LUẬT AN TOÀN THÔNG TIN MẠNG NĂM 2015 Mạng Internet trở thành công cụ để phát triển kinh tế xã hội quốc gia Đối với Việt Nam, mạng Internet công cụ, phương tiện để thực công nghiệp hóa, đại hóa hội nhập quốc tế Tuy nhiên, mạng Internet trở thành môi trường cho mối đe dọa mà phải tìm cách để vượt qua, đưa Việt Nam trở thành nước công nghiệp hóa, đại hóa, phát triển mạnh giới cạnh tranh toàn cầu hóa Mặt khác, tính hai mặt công nghệ Internet thách thức việc thực thi luật pháp để điều chỉnh hành vi lợi dụng mạng Internet nhằm truyền đưa, lưu trữ, phát tán thông tin sai trái, độc hại, vi phạm quyền lợi ích hợp pháp cá nhân, tổ chức Các cá nhân, tổ chức phải đối mặt với nhiều loại hình công mạng với mức độ ngày thường xuyên hơn, làm biến dạng trang tin, lừa đảo mạng, công từ chối dịch vụ, phát tán mã độc hại vi-rút máy tính, thư rác, đánh cắp thông tin, phá hoại liệu, làm gián đoạn, phá rối hoạt động, thay đổi cấu hình hệ thống thông tin, phần mềm gián điệp công hệ thống ngân hàng mạng lưới bán hàng trực tuyến, tin nhắn lừa đảo Hiện nay, môi trường mạng xuất ngày nhiều tổ chức, cá nhân tầm quốc gia sử dụng mạng để đánh cắp, thỏa hiệp phá hủy liệu quan trọng quốc gia khác Vì vậy, Việt Nam nước giới đứng trước mối đe dọa từ tội phạm môi trường mạng Một số tội phạm tồn giới kỹ thuật số, đặc biệt với mục tiêu phá hoại an toàn mạng máy tính dịch vụ trực tuyến; sử dụng mạng làm công cụ để mở rộng phạm vi ảnh hưởng; tiến hành hoạt động gián điệp gây ảnh hưởng đến hoạt động Chính phủ để phá hoại kinh tế; truyền bá thông tin sai lệch, làm gián đoạn dịch vụ quan trọng tìm kiếm lợi xung đột mạng Mặt khác, lỗ hổng mạng bị tội phạm khai thác nhằm giảm lợi công nghệ quân sử dụng để công sở hạ tầng quan trọng quốc gia Các mối đe dọa Việt Nam đến từ nhóm hoạt động với động trị hoạt động mạng Việc công vào trang thông tin điện tử, cổng thông tin điện tử dịch vụ trực tuyến Việt Nam dàn dựng nhóm tội phạm ngày phổ biến hơn, nhằm làm gián đoạn, gây thiệt hại uy tín trị kinh *Cục Công nghệ thông tin/BTTM chủ trì biên soạn tế đất nước Các nhóm tội phạm khác như: khủng bố, tình báo nước quân đội số nước hoạt động nhằm mục đích xâm hại lợi ích Việt Nam mạng Tất vấn đề đặt yêu cầu quản lý nhà nước an toàn thông tin để bảo đảm môi trường phát triển ổn định Từ thực tiễn công tác quản lý, điều hành lĩnh vực thông tin, truyền thông cho thấy hành lang pháp lý an toàn thông tin thiếu, không đồng chưa theo kịp với trạng phát triển xã hội hội nhập quốc tế Cụ thể: Hiện chưa có văn luật thống điều chỉnh toàn diện công tác đảm bảo an toàn thông tin Các văn pháp quy thường xây dựng tập trung vào nhiệm vụ quản lý lĩnh vực đơn lẻ, đề cập đến công tác đảm bảo an toàn thông tin phạm vi hẹp Luật Viễn thông, Luật Giao dịch điện tử, Luật Công nghệ thông tin, … Mặt khác, để triển khai thi hành Hiến Pháp năm 2013, văn pháp luật hành có liên quan đến công tác bảo đảm an toàn thông tin có vấn đề bất cập: Thiếu quy định phân loại cấp độ an toàn thông tin hệ thống thông tin, quy định quản lý sản phẩm an toàn thông tin quản lý dịch vụ an toàn thông tin,… Hơn nữa, Việt Nam chưa có văn tầm luật để điều chỉnh toàn diện hoạt động an toàn thông tin mạng bảo đảm môi trường mạng an toàn phục vụ cho nghiệp công nghiệp hóa đại hóa đất nước Từ yêu cầu trên, Việt Nam cần có quy định pháp lý an toàn thông tin để nội luật hóa điều ước quốc tế mà Việt Nam thành viên; phù hợp với thông lệ quốc tế bảo đảm an toàn thông tin, tạo môi trường bình đẳng cho tổ chức, doanh nghiệp hoạt động sản xuất, kinh doanh Việt Nam II QUAN ĐIỂM CHỈ ĐẠO XÂY DỰNG LUẬT AN TOÀN THÔNG TIN MẠNG NĂM 2015 Thể chế hóa chủ trương, đường lối, sách Đảng Nhà nước an toàn thông tin, đáp ứng yêu cầu phát triển bền vững kinh tế - xã hội, bảo vệ thông tin hệ thống thông tin, góp phần bảo đảm quốc phòng, an ninh, chủ quyền lợi ích quốc gia; phù hợp với điều kiện kinh tế, xã hội đất nước giai đoạn năm tiếp theo; đồng thời, đáp ứng yêu cầu hội nhập kinh tế quốc tế; bảo đảm phù hợp với quy định Hiến pháp, đồng bộ, thống với hệ thống pháp luật nước Cộng hòa xã hội chủ nghĩa Việt Nam Đáp ứng yêu cầu đổi chế, sách hoạt động an toàn thông tin, tạo môi trường thuận lợi an toàn cho thành phần kinh tế, góp phần thúc đẩy phát triển ứng dụng công nghệ thông tin truyền thông theo hướng chủ động hội nhập quốc tế; đồng thời, tạo môi trường an toàn tin cậy cho nhà đầu tư nước tham gia hoạt động đầu tư, thương mại Việt Nam Bảo đảm an toàn thông tin theo hướng đại, đồng ổn định lâu dài, đáp ứng yêu cầu an toàn thông tin phục vụ phát triển kinh tế, xã hội, quốc phòng, an ninh, góp phần thực nghiệp công nghiệp hoá, đại hoá đất nước bảo đảm an ninh quốc gia Tiếp thu có chọn lọc kinh nghiệm nước có hệ thống pháp luật an toàn thông tin phát triển vận dụng phù hợp với điều kiện kinh tế - xã hội Việt Nam III HIỆU LỰC VÀ BỐ CỤC CỦA LUẬT AN TOÀN THÔNG TIN MẠNG NĂM 2015 Hiệu lực Luật an toàn thông tin mạng số 86/2015/QH13 (sau viết gọn Luật an toàn thông tin mạng năm 2015) Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XIII, kỳ họp thứ 10 thông qua ngày 19 tháng 11 năm 2015, có hiệu lực thi hành từ ngày 01 tháng năm 2016 Bố cục Luật an toàn thông tin mạng năm 2015 gồm có 08 chương, 54 điều Cụ thể là: Chương I: Quy định chung bao gồm 08 điều, từ Điều 01 đến Điều 08, quy định phạm vi điều chỉnh; đối tượng áp dụng; giải thích từ ngữ; nguyên tắc bảo đảm an toàn thông tin mạng; sách Nhà nước an toàn thông tin mạng; hợp tác quốc tế an toàn thông tin mạng; hành vi bị nghiêm cấm xử lý vi phạm pháp luật an toàn thông tin mạng Chương II: Bảo đảm an toàn thông tin mạng bao gồm 04 mục, 21 điều, từ Điều 09 đến Điều 29 Mục “Bảo vệ thông tin mạng” gồm 07 điều phân loại thông tin; quản lý gửi thông tin; phát hiện, ngăn chặn xử lý phần mềm độc hại; bảo đảm an toàn tài nguyên viễn thông; ứng cứu cố an toàn thông tin mạng; ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; trách nhiệm tổ chức, cá nhân bảo đảm an toàn thông tin mạng Mục “Bảo vệ thông tin cá nhân” gồm 05 điều nguyên tắc bảo vệ thông tin cá nhân mạng; thu thập sử dụng thông tin cá nhân; cập nhật, sửa đổi hủy bỏ thông tin cá nhân; bảo đảm an toàn thông tin cá nhân mạng; trách nhiệm quan quản lý nhà nước bảo vệ thông tin cá nhân mạng Mục “Bảo vệ hệ thống thông tin” gồm 07 điều phân loại cấp độ an toàn hệ thống thông tin; nhiệm vụ bảo vệ hệ thống thông tin; biện pháp bảo vệ hệ thống thông tin; giám sát an toàn hệ thống thông tin; trách nhiệm chủ quản hệ thống thông tin; hệ thống thông tin quan trọng quốc gia; trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia Mục “Ngăn chặn xung đột thông tin mạng” gồm 02 điều trách nhiệm tổ chức, cá nhân việc ngăn chặn xung đột thông tin mạng; ngăn chặn hoạt động sử dụng mạng để khủng bố Chương III: Mật mã dân bao gồm 07 điều, từ Điều 30 đến Điều 36, quy định sản phẩm, dịch vụ mật mã dân sự; kinh doanh sản phẩm, dịch vụ mật mã dân sự; trình tự, thủ tục đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự; sửa đổi, bổ sung, cấp lại, gia hạn, tạm đình thu hồi Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự; xuất khẩu, nhập sản phẩm, dịch vụ mật mã dân sự; trách nhiệm doanh nghiệp kinh doanh sản phẩm, dịch vụ mật mã dân sự; trách nhiệm tổ chức, cá nhân sử dụng sản phẩm, dịch vụ mật mã dân Chương IV: Tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng bao gồm 03 điều, từ Điều 37 đến Điều 39, quy định tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng; quản lý tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng; đánh giá hợp chuẩn, hợp quy an toàn thông tin mạng Chương V: Kinh doanh lĩnh vực an toàn thông tin mạng bao gồm mục, điều, từ Điều 40 đến Điều 48 Mục “Cấp giấy phép kinh doanh sản phẩm dịch vụ an toàn thông tin mạng”, gồm 07 điều quy định kinh doanh lĩnh vực an toàn thông tin mạng; sản phẩm, dịch vụ lĩnh vực an toàn thông tin mạng; điều kiện cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng; hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng; Thẩm định hồ sơ cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng; sửa đổi, bổ sung, gia hạn, tạm đình chỉ, thu hồi cấp lại Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng; trách nhiệm doanh nghiệp kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng Mục “Quản lý nhập sản phẩm an toàn thông tin mạng”, gồm 02 điều nguyên tắc quản lý nhập sản phẩm an toàn thông tin mạng; sản phẩm nhập theo giấy phép lĩnh vực an toàn thông tin mạng Chương VI: Phát triển nguồn nhân lực an toàn thông tin mạng bao gồm 02 điều, từ Điều 49 đến Điều 50 quy định đào tạo, bồi dưỡng nghiệp vụ an toàn thông tin mạng; văn bằng, chứng đào tạo an toàn thông tin mạng Chương VII: Quản lý nhà nước an toàn thông tin mạng bao gồm 02 điều, từ Điều 51 đến Điều 52 quy định nội dung quản lý nhà nước an toàn thông tin mạng; trách nhiệm quản lý nhà nước an toàn thông tin mạng Chương VIII: Điều khoản thi hành bao gồm 02 điều, từ Điều 53 đến Điều 54 quy định hiệu lực thi hành; quy định chi tiết IV NHỮNG NỘI DUNG CƠ BẢN CỦA LUẬT AN TOÀN THÔNG TIN MẠNG NĂM 2015 Quy định chung 1.1 Phạm vi điều chỉnh đối tượng áp dụng Luật an toàn thông tin mạng năm 2015 quy định hoạt động an toàn thông tin mạng, quyền, trách nhiệm quan, tổ chức, cá nhân việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng; kinh doanh lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước an toàn thông tin mạng Luật an toàn thông tin mạng áp dụng quan, tổ chức, cá nhân Việt Nam, tổ chức, cá nhân nước trực tiếp tham gia có liên quan đến hoạt động an toàn thông tin mạng Việt Nam 1.2 Các khái niệm an toàn thông tin mạng An toàn thông tin mạng bảo vệ thông tin, hệ thống thông tin mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật tính khả dụng thông tin Mạng môi trường thông tin cung cấp, truyền đưa, thu thập, xử lý, lưu trữ trao đổi thông qua mạng viễn thông mạng máy tính Hệ thống thông tin tập hợp phần cứng, phần mềm sở liệu thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ trao đổi thông tin mạng Hệ thống thông tin quan trọng quốc gia hệ thống thông tin mà bị phá hoại làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia Xâm phạm an toàn thông tin mạng hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép thông tin, hệ thống thông tin Sự cố an toàn thông tin mạng việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật tính khả dụng Phần mềm độc hại phần mềm có khả gây hoạt động không bình thường cho phần hay toàn hệ thống thông tin thực chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ hệ thống thông tin Xung đột thông tin việc hai nhiều tổ chức nước nước sử dụng biện pháp công nghệ, kỹ thuật thông tin gây tổn hại đến thông tin, hệ thống thông tin mạng Mật mã dân kỹ thuật mật mã sản phẩm mật mã sử dụng để bảo mật xác thực thông tin không thuộc phạm vi bí mật nhà nước Sản phẩm an toàn thông tin mạng phần cứng, phần mềm có chức bảo vệ thông tin, hệ thống thông tin 1.3 Nguyên tắc bảo đảm an toàn thông tin mạng Luật an toàn thông tin mạng năm 2015 quy định rõ nguyên tắc bảo đảm an toàn thông tin mạng, theo quan, tổ chức cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng Hoạt động an toàn thông tin mạng phải quy định pháp luật, không ảnh hưởng đến quốc phòng, an ninh quốc gia, bí mật nhà nước Việc xử lý cố an toàn thông tin mạng phải đảm bảo quyền lợi ích hợp pháp tổ chức, cá nhân 1.4 Các hành vi bị nghiêm cấm - Ngăn chặn việc truyền tải thông tin mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, chép làm sai lệch thông tin mạng trái pháp luật; - Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường hệ thống thông tin tới khả truy nhập hệ thống thông tin người sử dụng; - Tấn công, vô hiệu hóa trái pháp luật làm tác dụng biện pháp bảo vệ an toàn thông tin mạng hệ thống thông tin; công, chiếm quyền điều khiển, phá hoại hệ thống thông tin; - Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo; - Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân người khác; lợi dụng sơ hở, điểm yếu hệ thống thông tin để thu thập, khai thác thông tin cá nhân; - Xâm nhập trái pháp luật bí mật mật mã thông tin mã hóa hợp pháp quan, tổ chức, cá nhân; tiết lộ thông tin sản phẩm mật mã dân sự, thông tin khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh sản phẩm mật mã dân không rõ nguồn gốc Bảo đảm an toàn thông tin mạng 2.1 Bảo vệ thông tin mạng Điều 9, Luật an toàn thông tin mạng năm 2015 quy định việc phân loại thông tin theo thuộc tính bí mật để có biện pháp bảo vệ phù hợp Những thông tin thuộc phạm vi bí mật nhà nước phân loại bảo vệ theo quy định pháp luật bảo vệ bí mật nhà nước Để phòng ngừa, phát hiện, ngăn chặn xử lý phần mềm độc hại đòi hỏi quan, tổ chức, cá nhân có trách nhiệm thực việc phòng ngừa, ngăn chặn theo hướng dẫn, yêu cầu quan nhà nước có thẩm quyền Chủ quản hệ thống thông tin quan trọng quốc gia, doanh nghiệp cung cấp dịch vụ thư điện tử, lưu trữ thông tin, doanh nghiệp cung cấp dịch vụ Internet phải có trách nhiệm phối hợp với quan quản lý nhà nước bảo đảm an toàn thông tin mạng để triển khai biện pháp nghiệp vụ nhằm ngăn chặn phát tán phần mềm độc hại xử lý theo yêu cầu pháp luật (Điều 11) Bộ Thông tin Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an bộ, ngành có liên quan tổ chức phòng ngừa, phát hiện, ngăn chặn xử lý phần mềm độc hại gây ảnh hưởng đến quốc phòng, an ninh quốc gia Trước nguy hiểm họa từ mạng Internet, nhằm đảm bảo an toàn thông tin mạng quốc gia, quan, tổ chức, doanh nghiệp nước nước cần phối hợp chặt chẽ với ứng cứu cố an toàn thông tin mạng, thành lập lực lượng ứng cứu cố, xây dựng quy trình ứng cứu cố hệ thống phương án ứng cứu khẩn cấp Bộ Thông tin Truyền thông có trách nhiệm chủ trì điều phối công tác ứng cứu khẩn cấp an toàn thông tin mạng toàn quốc (Điều 14) 2.2 Bảo vệ thông tin cá nhân Luật an toàn thông tin mạng năm 2015 quy định rõ vấn đề liên quan tới bảo vệ thông tin cá nhân mạng như: nguyên tắc bảo vệ thông tin cá nhân mạng, việc thu thập sử dụng thông tin cá nhân, vấn đề bảo đảm an toàn thông tin cá nhân mạng trách nhiệm quan quản lý nhà nước bảo vệ thông tin cá nhân mạng Khi sử dụng dịch vụ mạng, cá nhân phải tự bảo vệ thông tin cá nhân tuân thủ quy định pháp luật cung cấp thông tin cá nhân Các quan, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng, xây dựng công khai biện pháp bảo vệ thông tin tổ chức, cá nhân xử lý Việc xử lý thông tin cá nhân phục vụ mục đích bảo đảm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội không nhằm mục đích thương mại thực theo quy định pháp luật có liên quan Tổ chức, cá nhân xử lý thông tin cá nhân tiến hành thu thập thông tin cá nhân sau có đồng ý chủ thể thông tin cá nhân phạm vi, mục đích việc thu thập sử dụng thông tin đó; không cung cấp, chia sẻ, phát tán thông tin cá nhân mà thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có đồng ý chủ thể thông tin cá nhân theo yêu cầu quan nhà nước có thẩm quyền Tổ chức, cá nhân xử lý thông tin cá nhân phải áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân thu thập, lưu trữ; tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật bảo đảm an toàn thông tin mạng Khi xảy có nguy xảy cố an toàn thông tin mạng, tổ chức, cá nhân xử lý thông tin cá nhân cần áp dụng biện pháp khắc phục, ngăn chặn thời gian sớm 2.3 Bảo vệ hệ thống thông tin Trước thách thức to lớn từ môi trường mạng, đòi hỏi quan quản lý nhà nước tổ chức triển khai biện pháp nhằm bảo vệ tốt hệ thống thông tin quan trọng quốc gia Để thuận tiện cho việc quản lý, bảo vệ, Điều 21 Luật an toàn thông tin mạng năm 2015 phân loại cấp độ an toàn hệ thống thông tin theo cấp độ, cụ thể sau: a) Cấp độ cấp độ mà bị phá hoại làm tổn hại tới quyền lợi ích hợp pháp tổ chức, cá nhân không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia; b) Cấp độ cấp độ mà bị phá hoại làm tổn hại nghiêm trọng tới quyền lợi ích hợp pháp tổ chức, cá nhân làm tổn hại tới lợi ích công cộng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia; c) Cấp độ cấp độ mà bị phá hoại làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng trật tự, an toàn xã hội làm tổn hại tới quốc phòng, an ninh quốc gia; d) Cấp độ cấp độ mà bị phá hoại làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng trật tự, an toàn xã hội làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia; đ) Cấp độ cấp độ mà bị phá hoại làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia Luật rõ nhiệm vụ, biện pháp bảo vệ hệ thống thông tin, giám sát an toàn hệ thống thông tin, quy định cụ thể trách nhiệm quan quản lý nhà nước trách nhiệm chủ quản hệ thống thông tin 2.4 Ngăn chặn xung đột thông tin mạng Để ngăn chặn hoạt động sử dụng không gian mạng tổ chức, cá nhân nước nhằm phá hoại tính nguyên vẹn mạng, Luật an toàn thông tin mạng quy định rõ trách nhiệm tổ chức, cá nhân việc ngăn chặn xung đột thông tin mạng (Điều 28) ngăn chặn hoạt động sử dụng mạng để khủng bố (Điều 29) Để làm rõ nội dung trên, Chính phủ ban hành Nghị định số 142/2016/NĐ-CP ngày 14/10/2016 ngăn chặn xung đột thông tin mạng Nghị định số 101/2016/NĐ-CP ngày 01/7/2016 quy định trách nhiệm thực biện pháp ngăn chặn hoạt động sử dụng không gian mạng để khủng bố Mật mã dân Trước nhu cầu cấp thiết ngày cao việc bảo vệ thông tin không thuộc phạm vi bí mật nhà nước quan, tổ chức, cá nhân, Luật an toàn thông tin mạng năm 2015 quy định rõ việc kinh doanh sản phẩm, dịch vụ mật mã dân Sản phẩm, dịch vụ mật mã dân tài liệu, trang thiết bị kỹ thuật nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước; dịch vụ mật mã dân gồm dịch vụ bảo vệ thông tin sử dụng sản phẩm mật mã dân sự, kiểm định, đánh giá sản phẩm mật mã dân sự, tư vấn bảo mật, an toàn thông tin mạng sử dụng sản phẩm mật mã dân Nhằm quản lý chặt chẽ việc kinh doanh sản phẩm, dịch vụ mật mã dân sự, doanh nghiệp bắt buộc phải có Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân kinh doanh sản phẩm, dịch vụ mật mã dân thuộc Danh mục sản phẩm, dịch vụ mật mã dân Các doanh nghiệp cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân đòi hỏi phải đáp ứng điều kiện người, trang thiết bị, phương án bảo mật an toàn thông tin quản lý, có phương án kinh doanh phù hợp phải nộp phí theo quy định pháp luật Trình tự, thủ tục đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân theo hướng dẫn Ban Cơ yếu Chính phủ Luật quy định rõ việc quản lý xuất khẩu, nhập sản phẩm mật mã dân sự; trách nhiệm doanh nghiệp kinh doanh sản phẩm, dịch vụ mật mã dân trách nhiệm tổ chức, cá nhân sử dụng sản phẩm, dịch vụ mật mã dân Tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng Hàng năm tổ chức tiêu chuẩn quốc tế liên tục cập nhật xây dựng tiêu chuẩn an toàn thông tin Trước đây, Việt Nam trọng xây dựng ban hành hệ thống tiêu chuẩn liên quan đến an toàn thông tin, nhiên ban đầu tiêu chuẩn chủ yếu tập trung vào chuẩn liên quan đến kỹ thuật mật mã, chưa trọng đến hệ thống quản lý đánh giá an toàn thông tin Luật an toàn thông tin mạng năm 2015 sở để giúp tổ chức, doanh nghiệp thực quản lý vấn đề an toàn thông tin cách tổng thể hiệu Tiêu chuẩn an toàn thông tin mạng gồm tiêu chuẩn quốc tế, tiêu chuẩn khu vực, tiêu chuẩn nước ngoài, tiêu chuẩn quốc gia tiêu chuẩn sở hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành an toàn thông tin mạng công bố, thừa nhận áp dụng Việt Nam Quy chuẩn kỹ thuật an toàn thông tin mạng gồm quy chuẩn kỹ thuật quốc gia quy chuẩn kỹ thuật địa phương hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành an toàn thông tin mạng xây dựng, ban hành áp dụng Việt Nam Luật giao cụ thể Bộ Khoa học Công nghệ chủ trì, phối hợp với quan có liên quan tổ chức thẩm định công bố tiêu chuẩn quốc gia an toàn thông tin mạng theo quy định pháp luật tiêu chuẩn, quy chuẩn kỹ thuật; Bộ Thông tin Truyền thông có trách nhiệm xây dựng dự thảo tiêu chuẩn quốc gia an toàn thông tin mạng, ban hành quy chuẩn kỹ thuật quốc gia an toàn thông tin mạng, Ban Cơ yếu Chính phủ có trách nhiệm giúp Bộ trưởng Bộ Quốc phòng xây dựng dự thảo tiêu chuẩn quốc gia sản phẩm, dịch vụ mật mã dân trình quan nhà nước có thẩm quyền công bố hướng dẫn thực hiện, xây dựng, trình Bộ trưởng Bộ Quốc phòng ban hành quy chuẩn kỹ thuật quốc gia sản phẩm, dịch vụ mật mã dân sự, định quản lý hoạt động tổ chức chứng nhận phù hợp sản phẩm, dịch vụ mật mã dân sự; quản lý chất lượng sản phẩm, dịch vụ mật mã dân Kinh doanh lĩnh vực an toàn thông tin mạng Luật Đầu tư năm 2014 quy định danh mục 267 ngành, nghề đầu tư kinh doanh có điều kiện, có kinh doanh sản phẩm dịch vụ an toàn thông tin Tuy 10 nhiên phải đến lúc Luật an toàn thông tin mạng năm 2015 có hiệu lực, hoạt động kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng có đầy đủ hành lang pháp lý, tạo hội thúc đẩy thị trường phát triển bền vững Luật an toàn thông tin mạng năm 2015 quy định rõ danh mục sản phẩm, dịch vụ kinh doanh lĩnh vực an toàn thông tin mạng; điều kiện cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng cho tổ chức, doanh nghiệp; quy định hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng trình tự, thủ tục xin cấp Giấy phép kinh doanh Luật quy định nguyên tắc quản lý nhập sản phẩm an toàn thông tin mạng, Chính phủ quy định Danh mục sản phẩm an toàn thông tin mạng phép nhập khẩu, Bộ Thông tin Truyền thông quy định chi tiết trình tự, thủ tục, hồ sơ cấp Giấy phép nhập sản phẩm an toàn thông tin mạng theo giấy phép Phát triển nguồn nhân lực an toàn thông tin mạng Trước nhu cầu to lớn nhân lực an toàn thông tin bối cảnh lĩnh vực công nghệ thông tin phát triển mạnh tất lĩnh vực đời sống xã hội, nhà nước có nhiều đề án, dự án đào tạo, nâng cao nguồn nhân lực Luật an toàn thông tin mạng năm 2015 quy định cụ thể đào tạo, bồi dưỡng nghiệp vụ an toàn thông tin mạng, giao trách nhiệm cho Bộ Nội vụ chủ trì, phối hợp với Bộ Thông tin Truyền thông, bộ, ngành có liên quan xây dựng kế hoạch tổ chức thực đào tạo, bồi dưỡng kiến thức, nghiệp vụ an toàn thông tin mạng cho cán bộ, công chức, viên chức; Bộ Giáo dục Đào tạo chủ trì, phối hợp với Bộ Thông tin Truyền thông, bộ, ngành có liên quan công nhận văn giáo dục đại học an toàn thông tin mạng tổ chức nước cấp; Bộ Lao động – Thương binh Xã hội chủ trì, phối hợp với Bộ Thông tin Truyền thông, bộ, ngành có liên quan công nhận văn bằng, chứng giáo dục nghề nghiệp an toàn thông tin mạng tổ chức nước cấp Quản lý nhà nước an toàn thông tin mạng Để tổ chức thực tốt Luật an toàn thông tin mạng năm 2015, Chính phủ quy định quản lý nhà nước lĩnh vực an toàn thông tin mạng chi tiết, cụ thể, gồm nội dung sau: Xây dựng chiến lược, quy hoạch, kế hoạch sách lĩnh vực an toàn thông tin mạng; xây dựng đạo thực chương trình quốc gia an toàn thông tin mạng 11 Ban hành tổ chức thực văn quy phạm pháp luật an toàn thông tin mạng; xây dựng, công bố tiêu chuẩn quốc gia, ban hành quy chuẩn kỹ thuật an toàn thông tin mạng Quản lý nhà nước mật mã dân Quản lý công tác đánh giá, công bố hợp chuẩn, hợp quy an toàn thông tin mạng Quản lý công tác giám sát an toàn hệ thống thông tin Thẩm định an toàn thông tin mạng hồ sơ thiết kế hệ thống thông tin Tuyên truyền, phổ biến pháp luật an toàn thông tin mạng Quản lý hoạt động kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng Tổ chức nghiên cứu, ứng dụng khoa học công nghệ an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; đào tạo cán chuyên trách an toàn thông tin mạng 10 Kiểm tra, tra, giải khiếu nại, tố cáo, xử lý vi phạm pháp luật an toàn thông tin mạng 11 Hợp tác quốc tế an toàn thông tin mạng Chính phủ giao Bộ Quốc phòng có nhiệm vụ, quyền hạn sau: - Ban hành xây dựng, trình cấp có thẩm quyền ban hành văn quy phạm pháp luật, chiến lược, quy hoạch, kế hoạch, tiêu chuẩn quốc gia, quy chuẩn kỹ thuật quốc gia an toàn thông tin mạng thuộc lĩnh vực Bộ Quốc phòng quản lý; - Kiểm tra, tra, giải khiếu nại, tố cáo xử lý vi phạm pháp luật hoạt động bảo đảm an toàn thông tin mạng thuộc lĩnh vực Bộ Quốc phòng quản lý; - Thực quản lý công tác giám sát an toàn hệ thống thông tin thuộc Bộ Quốc phòng V TỔ CHỨC THỰC HIỆN LUẬT AN TOÀN THÔNG TIN MẠNG NĂM 2015 VÀ BẢO ĐẢM AN TOÀN THÔNG TIN TRONG QUÂN ĐỘI NHÂN DÂN VIỆT NAM Xây dựng văn quy phạm pháp luật quy định chi tiết thi hành Luật an toàn thông tin mạng năm 2015 1.1 Nghị định số 58/2016/NĐ-CP ngày 01/7/2016 Chính phủ quy định chi tiết kinh doanh sản phẩm, dịch vụ mật mã dân xuất khẩu, nhập sản phẩm mật mã dân 12 Nghị định quy định cụ thể số nội dung Chương III Mật mã dân Luật an toàn thông tin mạng điều kiện doanh nghiệp cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân Trong đó, doanh nghiệp cấp Giấy phép đáp ứng đủ điều kiện: Có đội ngũ quản lý, điều hành, kỹ thuật đáp ứng yêu cầu chuyên môn bảo mật an toàn thông tin; có hệ thống trang thiết bị, sở vật chất phù hợp với quy mô cung cấp sản phẩm, dịch vụ mật mã dân sự; có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật; có phương án bảo mật an toàn thông tin mạng trình quản lý cung cấp sản phẩm, dịch vụ mật mã dân sự; có phương án kinh doanh phù hợp Để quản lý hoạt động kinh doanh, xuất nhập sản phẩm mật mã dân sự, Nghị định 58, Chính phủ ban hành Danh mục sản phẩm, dịch vụ mật mã dân Danh mục sản phẩm mật mã dân xuất khẩu, nhập theo Giấy phép 1.2 Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 Chính phủ quy định bảo đảm an toàn hệ thống thông tin theo cấp độ Nghị định quy định cụ thể số nội dung Chương II Bảo đảm an toàn thông tin mạng Luật an toàn thông tin mạng năm 2015 bảo vệ Hệ thống thông tin Theo đó, người đứng đầu quan, tổ chức chủ quản hệ thống thông tin có trách nhiệm trực tiếp đạo phụ trách công tác bảo đảm an toàn thông tin hoạt động quan, tổ chức Trong trường hợp chưa có đơn vị chuyên trách an toàn thông tin độc lập, người đứng đầu quan, tổ chức chủ quản hệ thống thông tin có trách nhiệm định đơn vị chuyên trách công nghệ thông tin làm nhiệm vụ chuyên trách an toàn thông tin; thành lập định phận chuyên trách an toàn thông tin trực thuộc đơn vị chuyên trách công nghệ thông tin Nghị định quy định chi tiết cấp độ an toàn hệ thống thông tin trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin Tại Nghị định này, Bộ Quốc phòng có trách nhiệm: - Thực thẩm định phương án bảo đảm an toàn thông tin hồ sơ đề xuất cấp độ theo thẩm quyền quy định điểm b khoản Điều 12 Nghị định này; - Xây dựng dự thảo tiêu chuẩn, ban hành quy chuẩn kỹ thuật, hướng dẫn bảo đảm an toàn hệ thống thông tin thuộc phạm vi quản lý; - Hướng dẫn tiêu chí quy định khoản Điều 9, khoản Điều 10 khoản Điều 11 Nghị định theo chức năng, nhiệm vụ phân công; - Quy định chi tiết kiểm tra, đánh giá an toàn thông tin quản lý rủi ro an toàn thông tin hoạt động Bộ Quốc phòng 13 1.3 Nghị định số 101/2016/NĐ-CP ngày 01/7/2016 Chính phủ quy định chi tiết trách nhiệm thực biện pháp ngăn chặn hoạt động sử dụng không gian mạng để khủng bố Trước diễn biến ngày phức tạp môi trường mạng, lực khủng bố sử dụng kỹ thuật công nghệ cao để tiến hành hoạt động khủng bố, Chính phủ giao Bộ Công an chủ trì xây dựng Nghị định để quy định chi tiết biện pháp ngăn chặn hoạt động sử dụng không gian mạng để khủng bố, quy định thẩm quyền trách nhiệm lực lượng chuyên trách chống khủng bố, giao cụ thể, chi tiết trách nhiệm Bộ, ngành, địa phương công tác ngăn chặn hoạt động sử dụng không gian mạng để khủng bố Chính phủ giao Bộ Quốc phòng có trách nhiệm sau: - Phối hợp với Bộ Công an thực chức quản lý nhà nước ngăn chặn hoạt động sử dụng không gian mạng để khủng bố thực nhiệm vụ quy định Điều Nghị định 101/2016/NĐ-CP; - Chủ trì, phối hợp với Bộ Công an, quan, tổ chức có liên quan thực ngăn chặn hoạt động sử dụng không gian mạng để khủng bố mục tiêu, địa bàn Bộ Quốc phòng quản lý; - Phân công, bảo đảm trang bị cho lực lượng Tác chiến không gian mạng thực ngăn chặn hoạt động sử dụng không gian mạng để khủng bố; - Chỉ đạo quan, đơn vị, doanh nghiệp cung cấp dịch vụ viễn thông, Internet thuộc quyền phối hợp với quan, đơn vị Công an nhân dân xây dựng, huấn luyện, diễn tập tổ chức thực phương án ngăn chặn hoạt động sử dụng không gian mạng để khủng bố; - Phối hợp với Bộ Công an, Bộ Ngoại giao thực hợp tác quốc tế ngăn chặn hoạt động sử dụng không gian mạng để khủng bố theo thẩm quyền 1.4 Nghị định số 108/2016/NĐ-CP ngày 01/7/2016 Chính phủ quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng Nghị định quy định cụ thể số nội dung Chương V Kinh doanh lĩnh vực an toàn thông tin mạng Luật an toàn thông tin mạng năm 2015 điều kiện doanh nghiệp cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng Theo đó, Bộ Thông tin Truyền thông cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng Nghị định quy định dịch vụ an toàn thông tin mạng bao gồm: Dịch vụ giám sát an toàn thông tin mạng; dịch vụ phòng ngừa, chống công mạng; dịch vụ tư vấn an toàn thông tin mạng; dịch vụ ứng cứu cố 14 an toàn thông tin mạng; dịch vụ khôi phục liệu; dịch vụ kiểm tra, đánh giá an toàn thông tin mạng; dịch vụ bảo mật thông tin không sử dụng mật mã dân 1.5 Nghị định số 142/2016/NĐ-CP ngày 14/10/2016 Chính phủ quy định ngăn chặn xung đột thông tin mạng a) Những quy định chung Nghị định quy định chi tiết nguyên tắc, nội dung, biện pháp, hợp tác quốc tế trách nhiệm quan, tổ chức, cá nhân hoạt động ngăn chặn xung đột thông tin mạng Việt Nam Đối tượng áp dụng có quan, tổ chức, cá nhân tham gia có liên quan đến xung đột thông tin mạng Việt Nam Ngăn chặn xung đột thông tin mạng phải bảo đảm điều kiện, trình tự, thủ tục, hình thức, thẩm quyền theo quy định pháp luật phù hợp với điều ước quốc tế, tôn trọng, bảo vệ quyền lợi ích hợp pháp quan, tổ chức, cá nhân Trước hoạt động gây xung đột thông tin mạng ngày phức tạp, khó lường, Nghị định yêu cầu tổ chức, cá nhân cung cấp thông tin, tài liệu, phương tiện cần thiết hỗ trợ quan nghiệp vụ hoạt động ngăn chặn xung đột thông tin mạng, góp phần bảo đảm an toàn, an ninh thông tin cho hệ thống thông tin quan trọng, kịp thời ngăn chặn nguy lộ lọt thông tin bí mật nhà nước, bí mật quân quốc phòng xảy b) Nội dung ngăn chặn xung đột thông tin mạng Nội dung ngăn chặn xung đột thông tin mạng gồm: giám sát, phát hiện, cảnh báo xung đột thông tin mạng; xác định nguồn gốc xung đột thông tin mạng; chặn lọc, khắc phục loại trừ xung đột thông tin mạng thông tin, tuyên truyền, giáo dục hợp tác quốc tế ngăn chặn xung đột thông tin mạng c) Trách nhiệm quản lý nhà nước Nghị định quy định chi tiết trách nhiệm quan, tổ chức, cá nhân doanh nghiệp cung cấp dịch vụ viễn thông, Internet ngăn chặn xung đột thông tin mạng Chính phủ quy định trách nhiệm cho Bộ Quốc phòng hoạt động ngăn chặn xung đột thông tin mạng, cụ thể sau: - Chủ trì ngăn chặn xung đột thông tin mạng nhằm bảo vệ chủ quyền quốc gia không gian mạng theo chức năng, nhiệm vụ Bộ Quốc phòng; - Tổ chức xây dựng lực lượng nghiệp vụ có tính chiến đấu cao, điều phối sử dụng nguồn lực quốc phòng để ngăn chặn xung đột thông tin mạng với 15 mục đích quy định Khoản Điều 20 Nghị định bảo vệ chủ quyền quốc gia không gian mạng; - Xây dựng, sửa đổi, bổ sung, trình cấp có thẩm quyền ban hành ban hành theo thẩm quyền văn quy phạm pháp luật hoạt động ngăn chặn xung đột thông tin mạng bảo vệ chủ quyền quốc gia không gian mạng; - Chủ trì, phối hợp với quan liên quan tổ chức đào tạo, bồi dưỡng nguồn nhân lực cho lực lượng ngăn chặn xung đột thông tin mạng; - Chỉ đạo lực lượng thuộc quyền phối hợp với quan nghiệp vụ Bộ Công an, Bộ Thông tin Truyền thông tổ chức huấn luyện, diễn tập nghiệp vụ ngăn chặn xung đột thông tin mạng bảo vệ chủ quyền quốc gia không gian mạng; - Tăng cường đầu tư, trang bị phương tiện đặc thù cho thực nhiệm vụ ngăn chặn xung đột thông tin mạng; - Thường xuyên trao đổi thông tin với Bộ Công an, Bộ Thông tin Truyền thông, Bộ Ngoại giao hoạt động ngăn chặn xung đột thông tin mạng bảo vệ chủ quyền quốc gia không gian mạng; - Thực hợp tác quốc tế an toàn thông tin mạng 1.6 Thông tư số 160/2016/TT-BQP ngày 20/10/2016 Bộ trưởng Bộ Quốc phòng quy định biện pháp bảo đảm an toàn thông tin mạng hệ thống thông tin quan trọng quốc gia Bộ Quốc phòng quản lý Thực quy định khoản 4, Điều 27, Luật an toàn thông tin mạng năm 2015, ngày 20 tháng 10 năm 2016, Bộ trưởng Bộ Quốc phòng ban hành Thông tư số 160/2016/TT-BQP quy định biện pháp bảo đảm an toàn thông tin mạng hệ thống thông tin quan trọng quốc gia Bộ Quốc phòng quản lý a) Quyền trách nhiệm quan, đơn vị công tác bảo đảm an toàn thông tin mạng hệ thống thông tin quan trọng quốc gia Bộ Quốc phòng quản lý Thông tư quy định cụ thể lực lượng bảo đảm an toàn hệ thống thông tin quan trọng quốc gia gồm quan chức lực lượng tham gia bảo đảm an toàn thông tin mạng, giao Cục Công nghệ thông tin quan chủ trì, tham mưu, quản lý; giao Cục Cơ yếu, Cục Bảo vệ an ninh Quân đội, Binh chủng Thông tin liên lạc quan chức tham gia phối hợp; giao lực lượng công nghệ thông tin, an toàn thông tin, bảo vệ an ninh, yếu quan chủ quản, đơn vị vận hành hệ thống thông tin, Ban Cơ yếu Chính phủ, Tập đoàn Viễn thông Quân đội đóng vai trò lực lượng tham gia Thông tư giao nhiệm vụ cụ thể cho quan chức lực lượng tham gia bảo đảm an toàn thông tin mạng hệ thống thông tin quan trọng quốc gia, tham mưu cho Bộ Quốc phòng việc 16 phân loại hệ thống thông tin theo cấp độ quy định Điều 21, Luật an toàn thông tin mạng năm 2015; trực tiếp thực nhiệm vụ bảo đảm an toàn thông tin mạng hệ thống thông tin quan trọng quốc gia theo chức trách, nhiệm vụ giao; kiểm tra giám sát an toàn hệ thống thông tin quan trọng quốc gia; sẵn sàng tham gia khắc phục, ứng cứu cố hệ thống thông tin quan trọng quốc gia b) Tiêu chí, trình tự, thủ tục xác định hệ thống thông tin quan trọng quốc gia Việc xác định cấp độ an toàn hệ thống thông tin thực theo hướng dẫn Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 Chính phủ bảo đảm an toàn hệ thống thông tin theo cấp độ, cụ thể Bộ Quốc phòng, hệ thống thông tin quan trọng quốc gia hệ thống thông tin mà bị phá hoại làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia, bao gồm: hệ thống thông tin lưu trữ, xử lý, chuyển nhận thông tin Tối mật, Tuyệt mật theo quy định Pháp lệnh bảo vệ bí mật nhà nước; hệ thống thông tin điều khiển tổ hợp vũ khí, phương tiện có ý nghĩa định khả phòng thủ đất nước; hệ thống thông tin phục vụ huy, quản lý, điều hành cấp chiến lược, chiến dịch Trình tự, thủ tục xác định hệ thống thông tin quan trọng quốc gia quy định Điều c) Nội dung biện pháp bảo đảm an toàn thông tin mạng hệ thống thông tin quan trọng quốc gia Việc bảo đảm an toàn thông tin mạng hệ thống thông tin phải khâu thiết kế, xây dựng; hồ sơ thiết kế xây dựng hệ thống thông tin phải có đầy đủ hạng mục bảo đảm an toàn thông tin cho hệ thống thông tin, quan chức thẩm định Trong trình quản lý, vận hành, khai thác hệ thống thông tin quan trọng quốc gia, chủ quản hệ thống thông tin phải ban hành quy định bảo đảm an toàn thông tin; xây dựng quy trình quản lý, vận hành, khai thác hệ thống thông tin quan trọng quốc gia; xây dựng quy trình ứng cứu khắc phục cố hệ thống thông tin quan trọng quốc gia; quy trình nâng cấp, cập nhật, sửa chữa, bảo trì, bảo dưỡng, thay thế, di chuyển trang bị thuộc hệ thống thông tin quan trọng quốc gia; xây dựng hệ thống giám sát, phát cảnh báo nguy an toàn thông tin mạng; triển khai biện pháp dự phòng; xử lý cố có phương án ứng cứu khẩn cấp hệ thống thông tin quan trọng quốc gia; định kỳ kiểm tra, đánh giá an toàn thông tin mạng để kịp thời phát hiện, khắc phục nguy gây an toàn thông tin Khi kết thúc vận hành, khai thác, lý, hủy bỏ hệ thống thông tin quan trọng quốc gia cần theo quy trình quan chức thống nhất, có giám sát chặt chẽ quan chức Các trang thiết bị sử dụng hệ thống thông tin quan trọng quốc gia cần kiểm định an toàn thông tin mạng quan chức năng, định kỳ theo dõi, kiểm tra, đánh giá an toàn thông tin mạng d) Trách nhiệm quan, đơn vị 17 - Chủ trì, phối hợp với Cục Công nghệ thông tin/Bộ Tổng Tham mưu rà soát, đề xuất xây dựng hồ sơ đề xuất xác định cấp độ hệ thống thông tin quan trọng quốc gia; - Phối hợp chặt chẽ với quan chức hoạt động kiểm định, kiểm tra đánh giá an toàn thông tin; giám sát, bảo đảm hệ thống thông tin quan trọng quốc gia đơn vị quản lý; - Phối hợp chặt chẽ với Cục Công nghệ thông tin/Bộ Tổng Tham mưu bảo đảm an toàn thông tin mạng, kịp thời phát hiện, ngăn chặn xử lý cố; - Định kỳ đột xuất báo cáo công tác tổ chức triển khai bảo đảm an toàn thông tin, đánh giá hiệu biện pháp bảo đảm an toàn thông tin mạng theo yêu cầu quan chuyên trách tham mưu, quản lý an toàn thông tin hệ thống thông tin 1.7 Thông tư số 202/2016/TT-BQP ngày 12/12/2016 Bộ trưởng Bộ Quốc phòng quy định bảo đảm an toàn thông tin Quân đội nhân dân Việt Nam Để triển khai Luật an toàn thông tin mạng bảo đảm an toàn thông tin mạng Quân đội nhân dân Việt Nam, Ngày 12 tháng 12 năm 2016, Bộ trưởng Bộ Quốc phòng ban hành Thông tư số 202/2016/NĐ-CP quy định bảo đảm an toàn thông tin Quân đội nhân dân Việt Nam Nội dung Thông tư quy định chi tiết nhiều vấn đề liên quan tới quan, tổ chức, cá nhân Quân đội nhân dân Việt Nam công tác bảo đảm an toàn thông tin mạng, nội dung cụ thể sau: a) Những quy định chung Để quan, đơn vị, cá nhân nắm rõ thực tốt quy định Luật an toàn thông tin mạng quy định đặc thù Quân đội nhân dân Việt Nam, Thông tư số 202/2016/TT-BQP quy định quan, đơn vị phải có trách nhiệm xây dựng quy chế bảo đảm an toàn thông tin phối hợp chặt chẽ với quan chức để bảo đảm tốt vấn đề liên quan tới an toàn thông tin quan, đơn vị Thủ trưởng quan, đơn vị phải có trách nhiệm ban hành văn bản, quy định, thị, nghị để triển khai tới quân nhân quan, đơn vị Theo hướng dẫn Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 Chính phủ bảo đảm an toàn hệ thống thông tin theo cấp độ, tất hệ thống thông tin Quân đội phải làm thủ tục để xác định cấp độ an toàn Lực lượng phụ trách công nghệ thông tin quan, đơn vị phải có trách nhiệm tham mưu cho Thủ trưởng quan, đơn vị phối hợp chặt chẽ với quan chức công nghệ thông tin để hoàn thiện hồ sơ, thủ tục xác định cấp độ Các tiêu chí cách phân loại cấp độ an toàn hệ thống thông tin, thẩm quyền, trình tự, thủ tục xác định cấp độ thực theo quy định Điều 5, Điều Thông tư số 202/2016/TTBQP 18 Hiện Quân đội nhân dân Việt Nam sử dụng hệ thống mạng chủ yếu mạng máy tính quân mạng Internet Với đặc thù riêng đó, việc bảo đảm an toàn thông tin mạng Quân đội cần có quy định cụ thể để hạn chế việc an toàn thông tin, tránh ảnh hưởng tới bí mật nhà nước, bí mật quân Thông tư số 202/2016/TT-BQP quy định cụ thể hành vi bị cấm người sử dụng máy tính Quân đội nhân dân Việt Nam, cụ thể sau: - Đưa trang bị công nghệ thông tin chưa quan chức kiểm tra an toàn thông tin vào sử dụng Sử dụng máy tính Internet, trang bị công nghệ thông tin cá nhân thiết bị di động thông minh để tạo lập, xử lý lưu trữ tài liệu điện tử quân có nội dung chưa phép phổ biến; - Trao đổi thông tin mật mạng Internet mà giải pháp bảo mật yếu; - Sử dụng vật mang tin điện tử để trao đổi thông tin, liệu máy tính quân máy tính Internet; sử dụng thiết bị lưu trữ cá nhân để lưu trữ, trao đổi thông tin, liệu, tài liệu điện tử quân sự; - Sử dụng thiết bị di động thông minh cá nhân quan trọng yếu, mật; giao ban, hội họp có nội dung mật quan, đơn vị; - Kết nối, truy nhập vào mạng máy tính quân giải pháp kết nối không dây giải pháp bảo mật yếu; - Kết nối mạng máy tính quân với mạng Internet hình thức; - Xâm phạm an toàn thông tin quan, đơn vị cá nhân khác; - Sử dụng mạng xã hội thực bình luận, đăng tải phát tán hình thức thông tin trái quan điểm, đường lối Đảng; thông tin liên quan đến bí mật Nhà nước, Quân đội đơn vị; thông tin có nội dung xuyên tạc, bịa đặt, xúc phạm danh dự cá nhân, uy tín tổ chức; thông tin kích động bạo lực, đồi trụy, mê tín dị đoan; tạo lập tham gia diễn đàn, nhóm liên quan đến tội phạm, tổ chức phản động, chống đối trị vi phạm pháp luật khác; - Vi phạm quy định khác pháp luật Quân đội bảo đảm an toàn thông tin b) Những vấn đề chung bảo đảm an toàn thông tin Liên quan tới việc tạo lập, chuyển nhận, lưu trữ tài liệu điện tử quân mạng máy tính, Thông tư số 202/2016/TT-BQP quy định cách phân loại, quản lý chi tiết, cụ thể Việc phân loại tài liệu điện tử quân phải vào quy định danh mục bí mật nhà nước, bí mật quân để quan, đơn vị có trách nhiệm 19 phân loại tài liệu điện tử theo độ mật Việc quản lý tài liệu điện tử quân phải theo quy định chặt chẽ Bộ Quốc phòng, phải tạo lập xử lý máy tính quân nhằm tránh nguy an toàn thông tin, mát tài liệu quân môi trường mạng Internet Việc tạo lập, lưu trữ, chuyển nhận tài liệu điện tử quân phải có giải pháp bảo mật, quân nhân có trách nhiệm xác định mức độ mật tài liệu điện tử quân soạn thảo, gửi, nhận lưu trữ để lựa chọn phương thức bảo vệ phù hợp Trong thời gian qua, việc thất thoát tài liệu quân môi trường mạng Internet lớn, nguyên nhân việc quản lý, sử dụng tài liệu quân sự, quản lý vật mang tin điện tử để lưu trữ, trao đổi tài liệu điện tử quân chưa chặt chẽ Đa số vụ việc tài liệu liên quan tới sử dụng vật mang tin điện tử USB, ổ cứng chưa cách, chưa có giải pháp bảo đảm an toàn thông tin Thông tư số 202/2016/TT-BQP quy định rõ vật mang tin điện tử sử dụng cho lưu trữ, trao đổi tài liệu điện tử quân phải có giải pháp bảo đảm an toàn thông tin quan quản lý công nghệ thông tin quan yếu cấp phát Người sử dụng vật mang tin điện tử có trách nhiệm bảo vệ tránh làm mất, lộ lọt thông tin Nhằm phục vụ việc điều tra, kiểm tra, đánh giá cố an toàn thông tin, quan, đơn vị phải thực việc thiết lập lưu trữ ghi nhật ký hệ thống thông tin 03 tháng nhằm bảo đảm kiện xảy hệ thống ghi nhận lưu giữ Các quan, đơn vị trì hệ thống thông tin có trách nhiệm cung cấp toàn ghi nhật ký cho quan chức để giám sát, bảo vệ, cảnh báo Lực lượng công nghệ thông tin quan, đơn vị phải phối hợp chặt chẽ với quan chức để thường xuyên trì việc theo dõi ghi nhật ký hệ thống kiện khác có liên quan để kịp thời đánh giá rủi ro an toàn thông tin, mức độ nghiêm trọng rủi ro an toàn thông tin để kịp thời có biện pháp xử lý c) Bảo đảm an toàn máy tính Trong thời đại ngành công nghệ thông tin phát triển mạnh, việc đại hóa Quân đội nhân dân Việt Nam ngày trọng, số lượng quân nhân sử dụng máy vi tính ngày tăng cao Tuy nhiên, để bảo đảm an toàn thông tin mức độ tối đa, quan chức cần phối hợp với quan, đơn vị có biện pháp, quy định cụ thể để tránh thất thoát liệu, tránh lộ lọt bí mật nhà nước, bí mật quân Thông tư số 202/2016/TT-BQP quy định máy tính sử dụng Quân đội, phải ngắt vô hiệu hóa tính dễ gây rủi ro an toàn thông tin micro, camera, truy nhập mạng không dây (Wifi, Bluetooth, GPS) tính 20 khác không sử dụng; máy tính quân chuyển đổi mục đích sử dụng thành máy tính Internet ngược lại phải quan chức thực hiện, xóa liệu an toàn, kiểm tra an toàn thông tin có giải pháp bảo đảm an toàn thông tin theo quy định Người dùng phải thiết lập giải pháp xác thực điều khiển truy nhập như: sử dụng tính khóa hình, sử dụng mật phức tạp, tắt máy không sử dụng Máy tính quân sử dụng phần mềm quan chức cung cấp Các phần mềm dùng chung, phần mềm chuyên ngành phải quan chức kiểm tra an toàn thông tin cấp phép sử dụng Đơn vị chuyên trách an toàn thông tin quan, đơn vị chịu trách nhiệm phân loại, phân quyền cài đặt phần mềm Người dùng không tự ý thay đổi, gỡ bỏ, cài đặt phần mềm máy tính chưa đồng ý quan quản lý công nghệ thông tin Tất máy trạm, máy chủ phải cài đặt hệ thống phòng, chống phần mềm độc hại quan chức cung cấp Các hệ thống phòng, chống phần mềm độc hại phải thiết lập chế độ tự động cập nhật với máy tính có kết nối mạng định kỳ cập nhật offline cho máy tính không kết nối mạng; chế độ tự động quét phần mềm độc hại chép, mở tập tin Khi phát dấu hiệu bất thường có khả liên quan đến việc nhiễm phần mềm độc hại máy trạm, người dùng phải thông báo cho đơn vị chuyên trách công nghệ thông tin quan, đơn vị để xử lý d) Bảo đảm an toàn mạng máy tính Ngoài việc ban hành quy định cụ thể cho máy tính, Thông tư số 202/2016/TT-BQP quy định mô hình mạng máy tính an toàn Theo quan, đơn vị cần triển khai xây dựng, quản lý, khai thác mạng theo mô hình thống nhất, mô hình mạng máy tính an toàn Theo đó, hệ thống mạng quan, đơn vị phải thiết kế, lắp đặt theo mô hình mạng máy tính an toàn, nội dung cụ thể sau: Phân chia mạng máy tính thành vùng mạng theo chức năng, cấp độ bảo mật kiểm soát truy nhập vùng tường lửa thiết bị bảo đảm an toàn thông tin khác; vô hiệu hóa tất dịch vụ không sử dụng vùng mạng; che giấu tránh truy nhập trực tiếp từ bên vào địa mạng bên trong; triển khai thiết bị bảo mật đường truyền; xây dựng phương án dự phòng kết nối thiết bị mạng, giải pháp bảo mật yếu hệ thống mạng quan, đơn vị trọng yếu, mật; định kỳ cập nhật nâng cấp vá lỗi cho thiết bị bảo đảm an toàn thông tin; triển khai trang thiết bị mạng, thiết bị an toàn thông tin mạng, hệ thống phòng, chống phần mềm độc hại, công cụ phân tích, quản trị mạng phải có quyền, có nguồn gốc xuất xứ rõ ràng kiểm tra an toàn 21 thông tin trước đưa vào sử dụng; tổ chức triển khai biện pháp giám sát, theo dõi, phát ngăn chặn kịp thời cố an toàn thông tin hoạt động xâm phạm an toàn thông tin Mạng máy tính quân ngày mở rộng cung cấp nhiều ứng dụng, dịch vụ hữu ích, phục vụ tốt việc trao đổi, chuyển nhận liệu quan, đơn vị với Để bảo đảm an toàn cho việc sử dụng ứng dụng, dịch vụ mạng máy tính quân sự, Thông tư số 202/2016/TT-BQP quy định: ứng dụng, dịch vụ đưa vào hoạt động mạng máy tính quân quan chức Bộ Quốc phòng kiểm tra an toàn thông tin cấp phép sử dụng; quan, đơn vị chủ quản ứng dụng, dịch vụ hoạt động mạng máy tính quân phải xây dựng quy định quản lý, vận hành, khai thác bảo đảm an toàn thông tin; quan, đơn vị chủ quản ứng dụng, dịch vụ có trách nhiệm tập huấn, hướng dẫn cho người dùng quy trình sử dụng an toàn, cập nhật, nâng cấp ứng dụng, dịch vụ hoạt động mạng máy tính quân bảo đảm an toàn liệu thuộc phạm vi quản lý Các quan, đơn vị phải triển khai biện pháp giám sát an toàn thông tin cho mạng máy tính hệ thống thông tin nhằm phân tích, đánh giá nguy an toàn thông tin mạng, kịp thời cảnh báo, khắc phục cố an toàn thông tin Các quan, đơn vị phải có trách nhiệm cung cấp thông tin giám sát cho quan chức công nghệ thông tin có yêu cầu đ) Sử dụng mạng Internet Quân đội Hiện nay, mạng Internet nhu cầu thiếu cá nhân, tổ chức, quốc gia Một đất nước muốn văn minh, phát triển, hội nhập đòi hỏi người dân phải sử dụng Internet rộng rãi, lúc, nơi Quân đội nhân dân Việt Nam trước yêu cầu đại hóa, hội nhập phát triển cần sử dụng Internet cách triệt để Tuy nhiên, sử dụng Internet cho hiệu quả? quản lý cho an toàn? để không lộ lọt thông tin, tài liệu mật ảnh hưởng đến bí mật nhà nước, bí mật quân sự? Trước thực trạng đó, Thông tư số 202/2016/TT-BQP quy định rõ việc sử dụng mạng Internet Quân đội nhân dân Việt Nam Việc quản lý, cung cấp sử dụng mạng Internet Quân đội phải thực theo pháp luật Nhà nước quy định Quân đội Cơ quan, đơn vị sử dụng mạng Internet cần triển khai giải pháp bảo đảm an toàn thông tin Để đảm bảo an toàn, hạn chế nguy an toàn thông tin mạng xảy lúc sử dụng mạng Internet mạng máy tính quân sự, bắt buộc phải có biện pháp cách ly vật lý mạng Internet với mạng máy tính quân Việc sử dụng mạng Internet quan, đơn vị phải có biện pháp quản lý, giám sát 22 chặt chẽ; máy tính quân không phép kết nối vào mạng Internet; máy tính Internet không kết nối vào mạng máy tính quân lưu trữ, truy nhập tài liệu điện tử quân Việc trao đổi thông tin, liệu máy tính quân máy tính Internet thực thông qua máy tính trung gian đơn vị chuyên trách công nghệ thông tin quan, đơn vị triển khai giải pháp bảo đảm an toàn thông tin sử dụng đĩa CD, DVD để chép tập tin Trước nhu cầu sử dụng trang, cổng thông tin điện tử quan, đơn vị Quân đội Internet ngày cao, đòi hỏi quan chức có biện pháp quản lý, bảo đảm an toàn thông tin Các trang, cổng thông tin điện tử ứng dụng Quân đội Internet phải quan chức kiểm tra, đánh giá an toàn thông tin trước đưa vào sử dụng phải quan có thẩm quyền cấp phép; sử dụng hạ tầng mạng hệ thống máy chủ Tập đoàn Viễn thông Quân đội; quản lý tập trung tạo thành trung tâm liệu Internet dành riêng cho Bộ Quốc phòng; quản lý, giám sát, cảnh báo tổ chức thực triển khai giải pháp bảo đảm an toàn thông tin ứng cứu khắc phục cố theo đạo quan chức e) Phát triển triển khai hệ thống thông tin Song song với phát triển Quân đội nhân dân Việt Nam tinh nhuệ, đại việc phát triển hệ thống thông tin huy, điều hành, quản lý, huấn luyện Các quan, đơn vị phát triển, triển khai hệ thống thông tin phải tuân thủ quy định, hướng dẫn an toàn thông tin Bộ Quốc phòng, xây dựng quy chế bảo đảm an toàn cho hệ thống thông tin thuộc phạm vi quản lý Khi xây dựng dự án công nghệ thông tin phải bố trí kinh phí cho nội dung bảo đảm an toàn thông tin; dự án công nghệ thông tin phải quan chức thẩm định, đánh giá an toàn thông tin trước trình quan có thẩm quyền phê duyệt, triển khai thực Các trang bị công nghệ thông tin mạng máy tính quân phải quan chức kiểm tra dán tem an toàn thông tin trước đưa vào sử dụng trình sử dụng f) Ứng cứu cố an toàn thông tin mạng Ngày 08/7/2015, Bộ trưởng Bộ Quốc phòng ban hành Thông tư số 58/2015/TTBQP việc ban hành quy định hoạt động điều phối ứng cứu cố mạng máy tính Quân đội nhân dân Việt Nam Thực quy định Thông tư, quan, đơn vị trực thuộc Bộ Quốc phòng tổ chức lực lượng chịu trách nhiệm ứng cứu cố an toàn thông tin quan, đơn vị Việc tổ chức, ứng cứu cố an toàn thông tin mạng thực theo quy trình quan chức 23 thống Cục Công nghệ thông tin quan chịu trách nhiệm điều phối ứng cứu cố an toàn thông tin mạng Bộ Quốc phòng Trên sở quy định Thông tư số 58/2015/TT-BQP, Thông tư số 202/2016/TT-BQP quy định thêm việc thu thập, phân tích chứng, chứng xác định vi phạm an toàn thông tin mạng xác định nguyên nhân an toàn thông tin Trong việc thu thập, phân tích chứng, chứng xác định vi phạm an toàn thông tin phải quan chức tiến hành Các đơn vị chuyên trách an toàn thông tin quan, đơn vị có nhiệm vụ sử dụng biện pháp công nghệ, kỹ thuật để xác định nguyên nhân an toàn thông tin mạng cung cấp kết xác định nguyên nhân an toàn thông tin cho quan chức có yêu cầu g) Kiểm tra, đánh giá báo cáo an toàn thông tin Trong năm qua, công tác kiểm tra an toàn thông tin phản ánh tình trạng an toàn thông tin, lộ lọt tài liệu quân nhiều quan, đơn vị Qua kiểm tra, đánh giá phát nhiều quan, đơn vị thất thoát tài liệu mật, phát tiêu diệt nhiều loại mã độc nguy hiểm mạng máy tính quân sự, kịp thời ngăn chặn lây lan nhiều phần mềm gián điệp Kết kiểm tra, đánh giá an toàn thông tin hàng năm thực trạng việc bảo đảm an toàn thông tin mạng Quân đội nhân dân Việt Nam nhiều bất cập, nhiều nguy cơ, rủi ro Để kịp thời khắc phục yếu đó, Thông tư số 202/2016/TT-BQP quy định quan, đơn vị phải thực việc kiểm tra, đánh giá an toàn thông tin để bảo đảm việc thực hiện, tuân thủ sách, hướng dẫn bảo đảm an toàn thông tin quan chức Định kỳ 06 tháng, quan, đơn vị thuộc Bộ Quốc phòng phải tổ chức kiểm tra, đánh giá an toàn thông tin nội Công tác báo cáo phải trì thường xuyên, liên tục Định kỳ quý, quan, đơn vị có trách nhiệm báo cáo kết công tác bảo đảm an toàn thông tin Cục Công nghệ thông tin để tổng hợp, báo cáo Bộ Tổng Tham mưu Bộ Quốc phòng h) Trách nhiệm quan, đơn vị - Tổ chức quán triệt, thực Thông tư quy định Pháp luật, Bộ Quốc phòng có liên quan bảo đảm an toàn thông tin; - Xây dựng, triển khai Quy chế bảo đảm an toàn cho hệ thống thông tin thuộc phạm vi quản lý quan, đơn vị sở Thông tư này; - Bố trí kinh phí cần thiết để bảo đảm tăng cường an toàn thông tin hoạt động ứng dụng công nghệ thông tin quan, đơn vị; 24 - Phối hợp với Cục Công nghệ thông tin quan liên quan triển khai giải pháp bảo đảm an toàn thông tin; - Chịu quản lý, tra, kiểm tra, phúc tra quan chức Bộ Quốc phòng công tác bảo đảm an toàn thông tin; - Đơn vị chuyên trách công nghệ thông tin quan, đơn vị có trách nhiệm tham mưu, triển khai chịu trách nhiệm trước cấp ủy, huy quản lý bảo đảm an toàn thông tin quan, đơn vị; bố trí cán bộ, phận chuyên trách bảo đảm an toàn thông tin Tuyên truyền, phổ biến Luật an toàn thông tin mạng năm 2015 Để triển khai thực tốt nội dung Luật an toàn thông tin mạng năm 2015, nhằm đưa Luật vào sống quan, đơn vị, tổ chức, cá nhân Quân đội cần quán triệt, thực tốt nội dung sau đây: Cấp ủy, huy quan, đơn vị tổ chức tuyên truyền, phổ biến Luật an toàn thông tin mạng năm 2015 văn quy phạm pháp luật triển khai luật, đặc biệt Thông tư số 160/2016/TT-BQP Thông tư số 202/2016/TT-BQP với nội dung hình thức phù hợp với đối tượng cụ thể nhằm đạt hiệu cao, nâng cao nhận thức, hiểu biết quân nhân, công nhân viên chức quốc phòng quan, đơn vị Luật an toàn thông tin mạng Lực lượng đảm nhiệm công tác tuyên truyền, phổ biến, giáo dục pháp luật quan, đơn vị biên soạn giảng, tài liệu, hướng dẫn chi tiết, phù hợp với đối tượng Quân nhân, công nhân viên chức quốc phòng nêu cao tinh thần tự giác, tích cực học tập, nắm vững thực quy định Luật an toàn thông tin mạng năm 2015, Thông tư số 202/2016/TT-BQP bảo đảm an toàn thông tin Quân đội nhân dân Việt Nam, góp phần vào công tác bảo đảm an toàn thông tin, bảo vệ bí mật nhà nước, bí mật quân sự./ 25 ... bảo vệ thông tin, hệ thống thông tin 1 .3 Nguyên tắc bảo đảm an toàn thông tin mạng Luật an toàn thông tin mạng năm 2015 quy định rõ nguyên tắc bảo đảm an toàn thông tin mạng, theo quan, tổ chức... thông tin; giám sát an toàn hệ thống thông tin; trách nhiệm chủ quản hệ thống thông tin; hệ thống thông tin quan trọng quốc gia; trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin. .. thuật an toàn thông tin mạng bao gồm 03 điều, từ Điều 37 đến Điều 39 , quy định tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng; quản lý tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng;