BỘ THƠNG TIN VÀ TRUYỀN THƠNG CỘNG HỒ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc BÁO CÁO Đánh giá tác động Dự thảo Luật an tồn thơng tin A XÁC ĐỊNH VẤN ĐỀ TỔNG QUÁT Bối cảnh ban hành luật Trong xu hội nhập kinh tế giới tồn cầu hóa, cơng nghệ thơng tin truyền thơng (CNTT&TT) trở thành động lực quan trọng để thúc đẩy phát triển toàn xã hội làm biến đổi sâu sắc đời sống kinh tế, văn hóa, xã hội giới đại An tồn thơng tin ngày trở thành vấn đề nóng có ảnh hưởng lớn đến phát triển CNTT&TT có tác động khơng nhỏ đến lĩnh vực Đảm bảo an tồn thơng tin nhằm tạo môi trường thuận lợi cho ứng dụng phát triển CNTT&TT bền vững phục vụ nghiệp công nghiệp hóa, đại hóa; bảo vệ thành CNTT&TT mang lại cho cộng đồng; tăng cường hiệu ứng dụng CNTT&TT; giảm thiểu thiệt hại cố an tồn thơng tin gây ra; tạo mơi trường mạng an toàn cho quan, tổ chức, doanh nghiệp người dân Trong thời đại ngày nay, thông tin truyền lan nhanh chóng mạng, hệ thống thông tin tạo tảng cho hầu hết hoạt động trị, kinh tế, xã hội Bất thông tin sai lệch nào, cố hệ thống thông tin gây hậu nhà nước xã hội Đảm bảo an tồn thơng tin Đảng Nhà nước quan tâm từ sớm, đưa xen kẽ vào nội dung văn pháp luật ban hành Chỉ thị số 58-CT/TW ngày 17/10/2000 Bộ Chính trị đẩy mạnh ứng dụng phát triển công nghệ thông tin phục vụ nghiệp cơng nghiệp hóa, đại hóa, Luật Viễn thơng (số 41/2009/QH12 ngày 04/12/2009), Luật Giao dịch điện tử (số 51/2005/QH11 ngày 29/11/2005), Luật Công nghệ thông tin (số 67/2006/QH11 ngày 29/06/2006) văn luật có liên quan Tuy nhiên, văn pháp luật không chun biệt an tồn thơng tin Nội dung an tồn thơng tin chưa nhiều cịn nằm rải rác; chưa có tính hệ thống; chưa bao qt lĩnh vực an tồn thơng tin; chưa đáp ứng tình hình phát triển kinh tế - xã hội cơng tác đảm bảo an tồn thơng tin thực tiễn Với văn pháp luật hành, chưa đủ sở pháp lý để xây dựng tiếp chế tài xử lý đủ mức độ răn đe; chưa xác định rõ ràng, cụ thể trách nhiệm đối tượng liên quan hoạt động đảm bảo an tồn thơng tin Đứng trước yêu cầu khách quan công tác xây dựng pháp luật, thi hành pháp luật an tồn thơng tin yêu cầu khách quan thực tiễn đời sống kinh tế - xã hội Việt Nam, dự án Luật an tồn thơng tin đưa vào Chương trình xây dựng luật, pháp lệnh Quốc hội khóa …… Mục tiêu ban hành luật Việc ban hành Luật an tồn thơng tin (sau gọi chung Luật ATTT) nhằm hướng tới mục tiêu sau: 2.1 Mục tiêu chung Việc ban hành Luật ATTT nhằm kịp thời thể chế hóa chủ trương, đường lối, sách Đảng Nhà nước đảm bảo an tồn thơng tin, đáp ứng u cầu phát triển bền vững kinh tế - xã hội, bảo vệ thông tin hệ thống thông tin, bảo đảm quốc phịng, an ninh, chủ quyền lợi ích quốc gia; bảo đảm thống nhất, đồng hệ thống pháp luật tương thích với cam kết quốc tế Việt Nam 2.2 Mục tiêu cụ thể - Thứ nhất, hoàn thiện pháp luật an tồn thơng tin theo hướng đảm bảo tính thống nhất, đồng bộ, khả thi quy định lĩnh vực Xây dựng luật an tồn thơng tin có tính ốn định cao, đảm bảo định hướng lâu dài, thống mặt pháp lý việc đảm bảo an tồn thơng tin Việt Nam - Thứ hai, phát huy nguồn lực đất nước để phát triển ngành an tồn thơng tin đáp ứng cho phát triển kinh tế - xã hội, quốc phòng, an ninh, góp phần nâng cao chất lượng sống nhân dân bảo đảm quốc phòng, an ninh - Thứ ba, tơn trọng, bảo vệ quyền lợi ích hợp pháp tổ chức, cá nhân tham gia hoạt động an tồn thơng tin; ngăn chặn hành vi lợi dụng mạng gây ảnh hưởng đến an ninh quốc gia, vi phạm đạo đức, phong mỹ tục, vi phạm quy định pháp luật - Thứ tư, đẩy mạnh cơng tác giám sát, phịng, chống nguy an tồn thơng tin Bảo đảm tính ngun vẹn, tính bảo mật tính khả dụng thơng tin hệ thống thông tin trước nguy bị xâm phạm an tồn thơng tin qua mạng Thành lập quan quản lý an tồn thơng tin để đảm bảo hiệu công tác thực thi quản lý nhà nhà nước lĩnh vực - Thứ năm, mở rộng hợp tác quốc tế an tồn thơng tin sở tơn trọng độc lập, chủ quyền, bình đẳng, có lợi, phù hợp với pháp luật Việt Nam điều ước quốc tế mà Việt Nam ký kết gia nhập B CÁC VẤN ĐỀ CẦN TIẾN HÀNH ĐÁNH GIÁ Để thực mục tiêu chung cụ thể nói trên, dự án Luật ATTT dự kiến quy định hoạt động an tồn thơng tin, bao gồm bảo đảm an tồn thơng tin mạng; bảo vệ thông tin cá nhân mạng; mật mã dân sự; quản lý tiêu chuẩn, quy chuẩn kỹ thuật an tồn thơng tin; nghiên cứu phát triển, kinh doanh lĩnh vực an tồn thơng tin; phát triển nguồn nhân lực an tồn thơng tin; quản lý nhà nước an tồn thơng tin; quyền nghĩa vụ tổ chức, cá nhân tham gia hoạt động an tồn thơng tin Mục tiêu thực báo cáo đánh giá tác động sơ theo phương pháp RIA, trước mắt cung cấp sở để trao đổi vấn đề cần quan tâm xem xét xây dựng Dự thảo Luật Quá trình thực báo cáo đánh giá tác động sơ thực theo bước: 1) Xác định hạn chế, bất cập văn pháp luật an tồn thơng tin 2) Xác định vấn đề tổng thể cần giải 3) Xác định mục tiêu ban hành Luật ATTT 4) Xác định vấn đề cần ưu tiên xử lý 5) Xác định mục tiêu xử lý vấn đề 6) Lựa chọn phương án giải vấn đề 7) Đánh giá sơ tác động phương án Từ kết công tác quản lý, điều hành Bộ, kết rà soát văn pháp luật hành có liên quan từ thực tiễn địi hỏi trình phát triển kinh tế - xã hội, Bộ Thông tin Truyền thông nhận thấy văn pháp luật hành có liên quan đến cơng tác đảm bảo an tồn thơng tin cịn có sáu vấn đề bất cập tồn sau đây: (1) Cần có văn luật điều chỉnh tồn diện bao qt an tồn thơng tin; đảm bảo thống nhất, tương thích, tham chiếu đồng với quy định nằm rải rác văn pháp luật liên quan đến an tồn thơng tin lĩnh vực kinh tế, xã hội, an ninh, quốc phòng (2) Phân định rõ hành vi cần điều chỉnh tuân thủ pháp luật an tồn thơng tin, đáp ứng phát triển nhanh chóng CNTT&TT, đáp ứng xu hội tụ công nghệ xu hội nhập kinh tế quốc tế Xác định rõ hành vi vi phạm an tồn thơng tin, nguy rị rỉ, kẽ hở dẫn đến vi phạm an tồn thơng tin cấu thành tội phạm máy tính Tạo tảng sở để tiếp tục xây dựng chế tài xử lý vi phạm hành đầy đủ cụ thể, đủ sức răn đe định hướng hành vi xã hội hướng tới đảm bảo an tồn thơng tin, lên án, tẩy chay hành vi xâm phạm an toàn thông tin (3) Làm rõ quyền hạn, trách nhiệm pháp lý cá nhân, tổ chức, doanh nghiệp, nhà nước việc áp dụng, thực thi biện pháp, chương trình bảo vệ thơng tin hệ thống thơng tin; đảm bảo quyền lợi hợp pháp đối tượng hoạt động đảm bảo an tồn thơng tin (4) Xác lập rõ quy định bảo vệ hệ thống thông tin bảo vệ thông tin mạng Đưa quy định bắt buộc đối tượng tham gia chia sẻ hạ tầng thông tin Quản lý chặt việc đảm bảo an tồn thơng tin sử dụng chung sở hạ tầng thông tin, dùng chung sở liệu tài nguyên mạng Quy định phối hợp đảm bảo an tồn thơng tin (5) Định hướng phát triển cho doanh nghiệp thị trường an tồn thơng tin Làm rõ quy định đầu tư vào an tồn thơng tin kinh doanh lĩnh vực an tồn thơng tin Xác định rõ u cầu đảm bảo an tồn thơng tin cơng tác đầu tư, phát triển mạng cung cấp dịch vụ Xác lập chế, sách hoạt động cơng ích an tồn thơng tin, phát huy nguồn lực xã hội vào hoạt động cơng ích đảm bảo an tồn thơng tin An tồn thơng tin trách nhiệm tổ chức cá nhân, cần khuyến khích phát triển theo hướng xã hội hóa Trên sở đó, nhóm nghiên cứu tiến hành đánh giá sơ lựa chọn vấn đề sau đưa vào báo cáo RIA để đánh giá chi tiết: Sự cần thiết ban hành Luật ATTT Các hành vi cần điều chỉnh tuân thủ pháp luật an tồn thơng tin Quyền hạn, trách nhiệm pháp lý cá nhân, tổ chức, doanh nghiệp, quan quản lý nhà nước việc thực thi Luật ATTT Bảo vệ hệ thống thông tin thông tin mạng Nghiên cứu phát triển, kinh doanh lĩnh vực an tồn thơng tin Đây nhóm vấn đề quan tâm lớn hoạt động tổng kết công tác quản lý, điều hành Bộ Thông tin Truyền thông lĩnh vực an tồn thơng tin Những vấn đề có nội dung ảnh hưởng đáng kể đến quyền người dân; đến chi phí, hiệu quản lý nhà nước cơng tác an tồn thơng tin; có tính nhạy cảm xã hội cao; có nhiều ý kiến khác quan, cá nhân có thẩm quyền tranh luận xã hội dựa nhiều luận điểm khác Đó vấn đề quan trọng hoạt động cải cách pháp luật, gắn với mục tiêu Dự thảo Luật ATTT, bảo đảm cho nhà hoạch định đưa sách tốt, giúp cho việc thực thi Luật ATTT đạt chất lượng cao; tăng cường tính minh bạch, tính thống tính dễ tiếp cận hệ thống quy định an tồn thơng tin Đối với vấn đề nêu trên, Dự thảo Luật ATTT đưa phương án xử lý khác nhau, so sánh phương án xử lý để phân tích rõ hiệu giải pháp đề xuất I Vấn đề Sự cần thiết ban hành Luật ATTT (hay đánh giá tác động chung việc ban hành thực thi Luật) Thực trạng Các văn pháp luật lĩnh vực an tồn thơng tin tới thường xây dựng tập trung vào nhiệm vụ quản lý lĩnh vực đơn lẻ, đề cập đến số quy định an toàn thông tin phạm vi hẹp, chưa đầy đủ, chưa hoàn thiện Tuy văn luật nêu có nêu số quy định cơng tác đảm bảo an tồn thơng tin, song chưa đề cập đến đầy đủ bao quát lĩnh vực an tồn thơng tin Luật Giao dịch điện tử tạo khung pháp lý, công nhận hoạt động giao dịch điện tử thể qua thông điệp liệu, công nhận giá trị pháp lý chữ ký điện tử, tạo chỗ dựa pháp lý cho bên giao dịch có tin cậy để ứng dụng giao dịch điện tử Luật đề cập đến vấn đề liên quan đến an ninh, an toàn giao dịch vấn đề bảo vệ thông tin cá nhân trình giao dịch, song quy định nhằm vào an ninh, an toàn giao dịch điện tử Tuy nhiên, an tồn thơng tin khái niệm rộng bao hàm an tồn mạng hạ tầng thơng tin, an tồn máy tính, liệu ứng dụng cơng nghệ thông tin Luật Giao dịch điện tử chưa đề cập đến vấn đề Luật Viễn thông Điều Điều quy định số nội dung an tồn thơng tin Điều quy định bảo đảm an tồn sở hạ tầng viễn thơng an ninh thơng tin: Bảo đảm an tồn sở hạ tầng viễn thông an ninh thông tin trách nhiệm tổ chức, cá nhân Điều quy định bảo đảm bí mật thơng tin: Tổ chức, cá nhân tham gia hoạt động viễn thông có trách nhiệm bảo vệ bí mật nhà nước theo quy định pháp luật bảo vệ bí mật nhà nước Luật Viễn thông chưa đề cập đầy đủ đến lĩnh vực an tồn thơng tin Luật Cơng nghệ thơng tin nêu ba nhóm hành vi phạm pháp liên quan đến an tồn, an ninh thơng tin mạng, bao gồm nhóm hành vi nêu Điều 12: Nhóm hành vi vi phạm pháp luật có tính chất chống lại người; Về nhóm hành vi xâm phạm tài sản tổ chức, cá nhân; nhóm hành vi vi phạm pháp luật có tính chất chống lại Chính phủ Các nội dung liên quan đến an tồn thơng tin có: Trách nhiệm tổ chức, cá nhân tham gia hoạt động ứng dụng phát triển công nghệ thông tin (Điều 9); Quản lý sử dụng thông tin số (Điều 15); Truyền đưa thông tin số (Điều 16); Lưu trữ tạm thời thông tin số (Điều 17); Theo dõi, giám sát nội dung thông tin số (Điều 20); Thu thập, xử lý sử dụng thông tin cá nhân môi trường mạng (Điều 21); Lưu trữ, cung cấp thông tin cá nhân môi trường mạng (Điều 22); Thiết lập trang thông tin điện tử (Điều 23) Qua rà soát văn pháp luật hành có liên quan từ thực tiễn địi hỏi q trình phát triển kinh tế - xã hội cho thấy văn pháp luật hành có liên quan đến cơng tác đảm bảo an tồn thơng tin cịn có vấn đề bất cập định Thứ nhất, chưa có văn luật thống điều chỉnh tồn diện cơng tác đảm bảo an tồn thơng tin Các văn pháp quy thường xây dựng tập trung vào nhiệm vụ quản lý lĩnh vực đơn lẻ nên đề cập đến cơng tác đảm bảo an tồn thông tin phạm vi hẹp lĩnh vực quản lý Luật Viễn thông, Luật Giao dịch điện tử, Luật Công nghệ thông tin,… Tuy văn luật nêu có nêu số quy định cơng tác đảm bảo an tồn thơng tin, song chưa đề cập đến đầy đủ nguy cơ, hiểm họa an tồn thơng tin khác Chưa xem xét đến khía cạnh chế điều phối, theo dõi giám sát cơng mạng, quy trình quản lý, vấn đề tài chính, đầu tư cho an tồn thơng tin,… Đặc biệt, văn luật nêu chưa đáp ứng nhu cầu thực tiễn, góp phần giải xúc xã hội an tồn thơng tin Việc điều chỉnh, nâng cấp văn cách đơn để giải vấn đề lĩnh vực an tồn thơng tin điều khó khả thi, dễ dẫn đến tính thiếu quán, thiếu tính hệ thống, thiếu toàn diện Thứ hai, văn pháp luật có đề cập đến vấn đề đảm bảo an tồn thơng tin song quy định cịn rải rác, chưa đầy đủ, chưa bao quát lĩnh vực an tồn thơng tin, gây chồng chéo lĩnh vực quản lý điều hành lĩnh vực an tồn thơng tin, gây khó khăn định áp dụng Ví dụ, quy định đảm bảo an tồn, bí mật thơng tin nằm rải rác văn pháp luật phạm vi mức độ khác Tương tự quy định bảo đảm sở hạ tầng thông tin Trong hệ thống văn cịn khoảng trống chưa điều chỉnh; Đặc biệt, trường hợp lúc xảy nhiều cố thiếu quy định quy định phối hợp thực thi tổng thể Thứ ba, quy định lĩnh vực cụ thể an tồn thơng tin cịn chung chung, nhiều điểm chưa rõ ràng, khó tra cứu vận dụng thực thi Các quy định pháp luật lĩnh vực quy trình phịng ngừa, khơi phục cố điều phối hoạt động ứng cứu, huy động người, phương tiện cho công tác điều phối ứng cứu, xây dựng, song nằm rải rác nhiều văn bản, khiến cho việc tra cứu, vận dụng khó khăn Thứ tư, quy định khen thưởng, xử phạt chế tài xử phạt trường hợp không thực mệnh lệnh, hướng dẫn quan có thẩm quyền xảy cố ban hành phạm vi áp dụng giới hạn quy định chung chung, khiến cho ý thức người dân việc tuân thủ biện pháp phịng chống nguy gây an tồn thơng tin chưa cao Hiện phủ ban hành số Nghị định xử phạt vi phạm hành bảo đảm an tồn thơng tin Nghị định số 28/2009/NĐ-CP quy định xử phạt vi phạm hành quản lý, cung cấp, sử dụng dịch vụ Internet thông tin điện tử Internet; Nghị định số 63/2007/NĐ-CP quy định xử phạt vi phạm hành lĩnh vực Công nghệ thông tin, Nghị định số 83/2011/NĐ-CP quy định xử phạt vi phạm hành lĩnh vực Viễn thông Các văn tạo thuận lợi cho việc triển khai biện pháp đảm bảo an tồn thơng tin, quan thực có chế tài để cá nhân, tổ chức phải tham gia tuân thủ tích cực Song, văn xử phạt vi phạm hành theo cách tiếp cận nhỏ lẻ, áp dụng với loại riêng biệt giới hạn số loại can thiệp vào hệ thống, phát tán mã độc, nên mức độ tác động hẹp Thứ năm, phát triển nhanh công nghệ tăng trưởng đáng kể việc sử dụng ứng dụng điện thoại thông minh thiết bị điện tử ngày làm gia tăng lỗ hổng gây an tồn thơng tin Tuy văn pháp luật cho phép ngăn chặn xử lý số hành vi gây an tồn thơng tin, song việc ngăn chặn, xử lý cịn gặp nhiều khó khăn Do đó, cần xây dựng giải pháp bảo vệ thông tin hệ thống thông tin khỏi nguy bị công, đồng thời quy định chế tài xử lý loại tội phạm công nghệ cao nhằm đáp ứng nhu cầu ngày cao xã hội Như thấy, văn pháp lý tạo hành lang pháp lý sở cho việc thực thi quản lý nhà nước lĩnh vực an tồn thơng tin song chưa đầy đủ chưa có tính hệ thống hóa, chưa tồn diện, cần phải tiếp tục xây dựng để hoàn thiện An tồn thơng tin có vị trí tầm quan trọng đời sống - xã hội nói chung đặc biệt đới với sở hạ tầng thông tin hệ thống thông tin quan trọng quốc gia Do đó, việc xây dựng Luật ATTT cấp thiết để hoàn thiện tạo hành lang pháp lý toàn diện quy định vấn đề lĩnh vực an tồn thơng tin Hậu Do phát triển nhanh chóng cơng nghệ thơng tin, có nhiều vấn đề phát sinh từ thực tiễn an toàn thơng tin Việt Nam cịn chưa có sở pháp lý điều chỉnh Đây nguyên nhân khiến tổ chức, cá nhân chưa thực tin tưởng tham gia hoạt động đảm bảo an tồn thơng tin Các quan nhà nước chưa tạo hành lang pháp lý đồng để triển khai hoạt động tăng cường biện pháp đảm bảo an tồn thơng tin, thu thập thơng tin cảnh báo, điều phối công tác xử lý ứng cứu… Các doanh nghiệp không mạnh dạn đầu tư phát triển sản phẩm an tồn thơng tin ứng dụng thương mại qua mạng Người dùng e ngại việc chia sẻ thơng tin qua mạng Đảm bảo an tồn thơng tin quan nhà nước chưa thật trọng đến mong muốn Kết rõ ràng thể qua công vào trang web quan nhà nước gia tăng Các quy định rải rác văn pháp luật phạm vi mức độ khác nhau, chưa đầy đủ, chưa bao quát lĩnh vực an tồn thơng tin, gây chồng chéo lĩnh vực quản lý điều hành lĩnh vực an tồn thơng tin, gây khó khăn định áp dụng Trong cịn khoảng trống chưa điều chỉnh, xảy cố thiếu quy định phối hợp thực thi tổng thể Số lượng virút máy tính, phần mềm độc hại, tin nhắn lừa đảo… tiếp tục gia tăng song chưa đủ quy định pháp luật hỗ trợ công tác quản lý điều hành Theo số liệu thống kê Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), riêng cơng lừa đảo qua mạng điển hình Trung tâm xử lý tính từ 01/01/2011 đến 30/12/2011 757 vụ, gấp lần so với năm 2010 Tính đến cuối tháng 12/2012, số lượng vụ công lừa đảo mạng 2179 vụ, gấp lần so với năm 2011 Lượng mã độc tăng với tốc độ nhanh mức 45% vòng năm qua (2010 - 2012) Hình thức cơng từ chối dịch vụ tăng mạnh, mức 8% năm 2010 lên đến 16% năm 2012 Số thư điện tử lừa đảo ước tính năm sau gấp ba lần năm trước Hình – Biểu đồ thống kê cố Phising, Deface, Malware năm 2012 (Nguồn: VNCERT) Trong đó, cơng tác quản lý an tồn thơng tin cịn thách thức bất cập Theo báo cáo “Tổng quan an toàn thơng tin Việt Nam 2012” Hiệp hội An tồn Thông tin Việt Nam (VNISA) thực thống kê tổng số 500 quan, tổ chức, doanh nghiệp toàn quốc 2012, quan, tổ chức Việt Nam bị cơng DDoS năm 2012 19%, có đến 33% quan, tổ chức chưa có kế hoạch phản hồi cơng máy tính; có 44% quan, tổ chức áp dụng quy chế an tồn thơng tin Mới có 64% quan tổ chức có cán chuyên trách cán bán chun trách an tồn thơng tin Cơng tác điều phối ứng cứu, hỗ trợ thiếu sở pháp lý mức cao Công tác quản lý đảm bảo an tồn thơng tin cịn chưa thống từ trung ương đến địa phương, thiếu chế phối hợp tính đồng Đầu tư cho an tồn thơng tin cịn chưa đủ mức cần thiết Nhận thức cộng đồng an tồn thơng tin cịn nhiều hạn chế Các biện pháp chế tài thiếu nhiều Hình – Mức độ quản lý ATTT năm 2012 (Nguồn: VNISA) Ngoài ra, thực trạng dẫn đến việc thực cam kết quốc tế gặp nhiều khó khăn Nghị Hội nghị cấp cao 10 nước APEC Lốt Ca-bốt, Mê-hi-cô năm 2002 thơng qua tun bố chung an tồn thơng tin, có nêu vấn đề xây dựng luật văn pháp luật, công ước quốc tế an tồn thơng tin Các Nghị Đại Hội đồng Liên hợp quốc, Nghị Hội đồng Bảo an LHQ, Nghị Hội nghị Cấp cao ASEM (2004 Hà Nội), cam kết Liên minh Viễn thông Quốc tế (ITU) thể nội dung cam kết quốc tế tăng cường an tồn thơng tin khu vực quốc tế Thiếu văn luật điều chỉnh toàn diện, đầy đủ an tồn thơng tin gây khó khăn cho trình hội nhập kinh tế quốc tế, cản trở đầu tư nước vào Việt Nam gia cơng phần mềm cho nước ngồi, cản trở giao dịch thương mại mạng,… Nguyên nhân Do thiếu văn pháp luật toàn diện bao quát cho lĩnh vực an tồn thơng tin Mục tiêu - Tạo khung pháp lý thống nhất, toàn diện bao qt cho lĩnh vực an tồn thơng tin - Đảm bảo tương thích, tham chiếu đồng với quy định nằm rải rác văn pháp luật liên quan đến an tồn thơng tin lĩnh vực kinh tế, xã hội, an ninh, quốc phịng - Bảo đảm quyền kiểm sốt Nhà nước việc bảo đảm an tồn thơng tin phục vụ nhiệm vụ trị - xã hội quốc phòng – an ninh Các phương án - Phương án 1: Giữ nguyên trạng (không ban hành Luật) - Phương án 2: Không ban hành Luật phải thực giải pháp khác (ví dụ: tăng cường nhận thức, tuyên truyền pháp luật thúc đẩy thực thi quy định hành an tồn thơng tin, ) sửa đổi văn pháp luật hành có quy định an tồn thông tin lĩnh vực khác - Phương án 3: Ban hành Luật an tồn thơng tin Đánh giá tác động phương án Phương án 1: Giữ nguyên trạng không khắc phục bất cập nêu chưa đủ sở pháp lý để xử lý hành vi vi phạm an tồn thơng tin phát sinh Các cơng mạng cố tiếp tục hồnh hành Xã hội phải gánh chịu khó khăn kinh tế, trị, xã hội, an ninh, quốc phịng an tồn thơng tin gây Việc tổ chức hoạt động đảm bảo an toàn thông tin hoạt động doanh nghiệp gặp nhiều lúng túng chưa có hành lang pháp lý số vấn đề đảm bảo biện pháp bảo vệ, sở chứng điện tử… Không đủ sở pháp lý để bảo vệ quyền lợi hợp pháp cá nhân, tổ chức, doanh nghiệp Giải pháp không tạo điều kiện cho việc xây dựng, quản lý chu trình phịng chống đảm bảo an tồn thơng tin tốt hơn, có tham gia chủ động người dân cộng đồng, có đầu tư nguồn nhân vật lực thoả đáng xã hội nhà nước, phù hợp chuẩn mực nghĩa vụ quốc tế Việt Nam Mặt khác, giữ nguyên trạng (chỉ thực quy định pháp luật hành), tạo thêm kẽ hở pháp luật khiến hành vi vi phạm pháp luật an tồn thơng tin (như: làm biến dạng trang tin, lừa đảo mạng, công từ chối dịch vụ, phát tán mã độc virút máy tính, thư rác, đánh cắp thơng tin, phá hoại liệu, làm gián đoạn phá rối hoạt động hệ thống thông tin, phần mềm gián điệp, công hệ thống ngân hàng mạng bán hàng trực tuyến, nhắn tin lừa đảo, đe dọa, tống tiền ) ngày gia tăng, ý thức pháp luật người dân giảm sút (công dân không tôn trọng, tuân thủ pháp luật chế tài nhẹ, việc tra, kiểm tra xử lý vi phạm pháp luật chưa nghiêm minh) .gây tốn kinh phí cho ngân sách nhà nước để khắc phục hậu phát sinh Phương án 2: Điều chỉnh, bổ sung, sửa đổi văn pháp luật có để cập nhật hành vi vi phạm an tồn thơng tin lĩnh vực khác Với số lượng lớn tản mát văn hành, phương án điều chỉnh, bổ sung, sửa đổi bổ sung quy định cách có hệ thống thống hoạt động bảo đảm an tồn thơng tin Việc sửa đổi, bổ sung mang tính chắp vá quy định mà chưa thực bước cải cách lập pháp nhu cầu cần thiết đặt bối cảnh hội nhập kinh tế quốc tế Phương án nhiều chi phí cho 10 - Phân định rõ hành vi cần điều chỉnh tuân thủ pháp luật an tồn thơng tin - Điều chỉnh hành vi vi phạm an tồn thơng tin theo lĩnh vực đặc thù nhằm ngăn chặn nguy rị rỉ, kẽ hở dẫn đến vi phạm an tồn thơng tin cấu thành hành vi vi phạm - Tạo hành lang pháp lý bao quát để tiếp tục xây dựng chế tài xử lý vi phạm hành đầy đủ cụ thể, đủ sức răn đe định hướng hành vi xã hội hướng tới đảm bảo an tồn thơng tin Các loại phương án - Phương án 1: Giữ nguyên trạng (không ban hành Luật) - Phương án 2: Điều chỉnh, bổ sung, sửa đổi văn pháp luật có để cập nhật hành vi vi phạm an tồn thơng tin lĩnh vực khác - Phương án 3: Ban hành Luật an tồn thơng tin với việc bổ sung, cập nhật, phân định rõ hành vi cần điều chỉnh tn thủ pháp luật an tồn thơng tin có tham chiếu tới văn pháp luật có Đánh giá tác động phương án Phương án 1: Giữ nguyên trạng không khắc phục bất cập nêu chưa đủ sở pháp lý để xử lý hành vi vi phạm an tồn thơng tin phát sinh - Tác động kinh tế: Giải pháp khơng làm phát sinh chi phí từ ngân sách nhà nước không cần áp dụng biện pháp Tuy nhiên, lựa chọn phương án không làm rõ hành vi vi phạm an tồn thơng tin phát sinh, dẫn đến tổn hại cố gây an tồn thơng tin gây Các công mạng cố tiếp tục hồnh hành Khơng đủ sở pháp lý để bảo vệ quyền lợi hợp pháp cá nhân, tổ chức, doanh nghiệp - Tác động xã hội: Do bất cập việc xác định hành vi vi phạm an tồn thơng tin khơng giải quyết, hiệu cơng tác đảm bảo an tồn thông tin không nâng cao Đặc biệt, bối cảnh vụ công mạng, phát tán phần mềm có hại ngày gia tăng tần suất cường độ, cộng đồng xã hội có khả phải gánh chịu khó khăn kinh tế, trị, xã hội, an ninh, quốc phòng cố gây an tồn thơng tin gây - Tác động pháp luật: Giải pháp không tạo thay đổi hệ thống pháp luật hành an tồn thơng tin Nếu giữ ngun quy định hành hành vi cần điều chỉnh lĩnh vực an tồn thơng tin vấn đề tiếp tục quy định chung chung văn quy phạm pháp luật Luật, vậy, không khắc phục tồn nêu Hiệu lực 15 hiệu thực quy định chưa cao, chưa giảm thiểu thiệt hại cố gây an tồn thơng tin số gây Cơng tác đảm bảo an tồn thơng tin chưa huy động tham gia tổ chức, cá nhân cộng đồng - Tác động đến quyền nghĩa vụ cơng dân: Khơng có tác động đến quyền nghĩa vụ công dân Phương án 2: Điều chỉnh, bổ sung, sửa đổi văn pháp luật có để cập nhật hành vi vi phạm an tồn thơng tin lĩnh vực khác Phương án khó khả thi phải điều chỉnh nhiều văn pháp luật, tiêu tốn nhiều chi phí khó khăn tra cứu vận dụng - Tác động kinh tế: Giải pháp sửa đổi văn pháp luật hành làm phát sinh chi phí từ ngân sách nhà nước theo khung quy định nhà nước để thực việc sửa đổi văn pháp luật Chi phí cao so với giải pháp Tuy nhiên, tác động nâng cao hiệu cơng tác đảm bảo an tồn thông tin không tổng thể triệt để khung pháp luật lĩnh vực thiếu nhiều nội dung an tồn thơng tin chưa có văn quy phạm quy định chi tiết điều chỉnh Vì xã hội phải gánh chịu thiệt hại tiền vất chất phần mềm độc hại cố an tồn thơng tin gây - Tác động xã hội: Đời sống người dân cộng đồng xã hội cải thiện cải thiện không lớn không giảm thiểu tác động tiêu cực việc an tồn thơng tin, khiến cho số cá nhân, tổ chức bị thiệt hại lớn kinh tế, qua góp phần tác động xấu đến phát triển kinh tế địa phương nói riêng phát triển kinh tế xã hội nói chung nước - Tác động pháp luật: Số lượng văn cần sửa đổi lớn hành vi, nguy xâm phạm an tồn thơng tin phát sinh thực tế với nhiều hình thức phương tiện tinh vi hơn, diễn biến phức tạp lại chưa điều chỉnh số văn pháp luật - Tác động đến quyền nghĩa vụ cơng dân: Có thể có thay đổi theo hướng cụ thể hoá số quyền nghĩa vụ cá nhân tổ chức giới hạn lĩnh vực an tồn thơng tin Phương án 3: Ban hành Luật an tồn thơng tin với việc bổ sung, cập nhật, phân định rõ hành vi cần điều chỉnh tuân thủ pháp luật an tồn thơng tin có tham chiếu tới văn pháp luật có - Tác động kinh tế: Giải pháp ban hành luật làm phát sinh chi phí từ ngân sách nhà nước cho việc thực nội dung quy định luật, đồng thời làm phát sinh chi phí cho cá nhân, tổ chức, doanh nghiệp cho việc thực thi nghĩa vụ luật 16 Các chi phí khơng lớn có giá trị tích cực để đổi lại hiệu cơng tác an tồn thơng tin nâng cao, từ tổn thất tải sản cá nhân, tổ chức nguy gây an toàn gây giảm thiểu - Tác động xã hội: Văn luật phân định rõ hành vi cần điều chỉnh tuân thủ pháp luật an tồn thơng tin Tất nội dung giúp nâng cao hiệu công tác phịng chống nguy gây an tồn thông tin cách hiệu hệ thống Kết giảm bớt thiệt hại nguy gây an tồn thơng tin xã hội, người dân doanh nghiệp - Tác động hệ thống pháp luật: Việc ban hành quy định luật kết hợp với việc ban hành văn luật cần thiết tạo khuôn khổ pháp luật thống nhất, tổng thể hiệu cho việc phân định rõ hành vi cần điều chỉnh tuân thủ pháp luật an tồn thơng tin Cuối cùng, giải pháp cho tác động tốt luật tăng hiệu lực nhóm quy phạm tồn Tuy nhiên, giải pháp dẫn đến việc thay đổi hiệu lực số văn quy phạm pháp luật Các Nghị định xử phạt vi phạm hành lĩnh vực an tồn thơng tin bổ sung tổng hợp lại thành văn thống Cách tiếp cận tương tự áp dụng với quy định an tồn thơng tin cịn nằm rải rác số luật, văn luật - Tác động đến quyền nghĩa vụ công dân: Dự thảo luận quy định cụ thể hành vi cần điều chỉnh tuân thủ pháp luật an tồn thơng tin, qua ảnh hưởng chi tiết nghĩa vụ mà cá nhân, tổ chức cần thực biện pháp đảm bảo an tồn thơng tin Khuyến nghị Phương án tối ưu điều kiện tạo khung pháp lý bao quát để phân loại hành vi điều chỉnh cần thiết, tạo điều kiện cho phát triển mạng lưới hệ thống thơng tin; góp phần giảm thiểu nguy hiểm họa an tồn thơng tin gây Phương án giúp giảm chi phí phương án phải điều chỉnh nhiều văn pháp luật Phương án giúp định hướng hành vi xã hội hướng tới đảm bảo an tồn thơng tin, giảm thiểu xúc an tồn thơng tin xã hội; giúp người dân tham gia lên án, tẩy chay hành vi xâm phạm an tồn thơng tin Nhóm nghiên cứu đề xuất phương án cho dự án Luật III Vấn đề Làm rõ quyền hạn, trách nhiệm pháp lý cá nhân, tổ chức, doanh nghiệp, quan quản lý nhà nước việc thực thi Luật ATTT Thực trạng 17 Phần lớn văn pháp luật hành thường nêu quyền hạn trách nhiệm pháp lý cá nhân, tổ chức, doanh nghiệp, quan quản lý nhà nước đảm bảo an tồn thơng tin số lĩnh vực chuyên biệt Luật Công nghệ thông tin nêu quyền hạn trách nhiệm cá nhân, tổ chức trong: tham gia hoạt động ứng dụng phát triển công nghệ thông tin; quản lý sử dụng thông tin số; truyền đưa thông tin số; lưu trữ tạm thời thông tin số; theo dõi, giám sát nội dung thông tin số; thu thập, xử lý sử dụng thông tin cá nhân; lưu trữ, cung cấp thông tin cá nhân Đây Luật có nhiều điều khoản liên quan đến an tồn thơng tin Tuy nhiên, Luật Cơng nghệ thơng tin luật khác cịn chưa quy định rõ trách nhiệm quyền lợi cá nhân, tổ chức, doanh nghiệp tham gia vào cung cấp dịch vụ đảm bảo an tồn thơng tin Các văn pháp luật hành chưa nêu trách nhiệm quyền hạn việc đảm bảo an tồn hệ thống thơng tin, thơng tin mạng, an tồn sở liệu… Bên cạnh đó, quyền lợi ích hợp pháp cá nhân, tổ chức, doanh nghiệp tham gia vào cung cấp dịch vụ đảm bảo an tồn thơng tin chưa đảm bảo nên khơng khuyến khích nguồn lực đầu tư xã hội cho phát triển an tồn thơng tin, khơng thúc đẩy hoạt động cơng ích an tồn thơng tin Các dự án đầu tư trang bị hệ thống thông tin, phát triển mạng chưa quan tâm mức đến biện pháp đảm bảo an toàn thông tin thiếu quy định pháp lý tư tưởng tiết kiệm chi phí nhỏ đầu tư cho an tồn thơng tin, dẫn đến thiệt hại lớn toàn liệu ngưng trệ hoạt động hệ thống Khi khó xử lý thiếu phân định rõ ràng trách nhiệm quyền hạn Hậu Chính bất cập đó, kể từ 2008 tới nay, năm có khoảng từ 35% đến 45% quan, doanh nghiệp toàn quốc bị cơng Tính đến nay, cịn tới 50% trang chủ cổng thông tin điện tử quan, doanh nghiệp tồn lỗ hổng bảo mật nghiêm trọng bị tin tặc lợi dụng công Việc số trang báo điện tử, trang chủ bị đánh sập, thay đổi nội dung học cảnh giác, xem nhẹ cơng tác đảm bảo an tồn thơng tin cho hệ thống trang tin Việt Nam Tháng bảy năm 2013, liên tiếp nhiều báo mạng lớn Việt Nam Vietnamnet.vn, Tuoitre.vn, Dantri.com.vn bị công từ chối dịch vụ dẫn đến hoạt động chập chờn, có lúc tê liệt Máy chủ thay đổi liên tục, công cụ công botnet đợt công thay đổi liên tục cho thấy tinh vi nguy hiểm đợt công thời gian gần 18 Theo VNCERT, tháng đầu năm 2013 ghi nhận 1.428 trường hợp mã độc công (vượt qua tất số liệu năm 2012) Các máy tính Việt Nam phát tán 3,33 tỷ thư rác/ngày Theo số liệu công ty An ninh mạng Bkav cho biết, có 2.405 website quan, doanh nghiệp Việt Nam bị hacker xâm nhập Tuy nhiên, chưa có văn quy phạm pháp luật làm rõ quyền hạn, trách nhiệm pháp lý cá nhân, tổ chức, doanh nghiệp, quan quản lý nhà nước việc đảm bảo an tồn thơng tin nên khả nhận biết công mạng tổ chức doanh nghiệp Việt Nam cịn yếu, có khoảng 19% đơn vị nhận biết có bị cơng mạng xét theo số loại cơng Hình – Tỷ lệ đơn vị nhận biết có bị công mạng xét theo số loại công năm 2012 (Nguồn: VNISA) Kinh nghiệm nước cho thấy, chia nhóm trách nhiệm đảm bảo an tồn thơng tin giúp bao qt hoạt động an tồn thơng tin, đưa khung cho trách nhiệm pháp lý chung Nguyên nhân Do thiếu văn pháp lý tổng thể làm rõ quyền hạn, trách nhiệm pháp lý cá nhân, tổ chức, doanh nghiệp, quan quản lý nhà nước việc áp dụng, thực thi biện pháp, chương trình đảm bảo an tồn thơng tin; đảm bảo quyền lợi hợp pháp đối tượng hoạt động đảm bảo an tồn thơng tin Mục tiêu - Phân định nhóm trách nhiệm pháp lý an tồn thông tin để tách bạch quyền hạn trách nhiệm cá nhân, tổ chức, doanh nghiệp, quan quản lý nhà nước việc áp dụng, thực thi biện pháp, chương trình đảm bảo an tồn thơng tin - Đảm bảo quyền lợi hợp pháp đối tượng hoạt động đảm bảo an tồn thơng tin có cố thảm họa an tồn thông tin xảy 19 Các loại phương án Phương án 1: Giữ nguyên văn pháp luật hành Phương án 2: Xác định rõ nhóm trách nhiệm pháp lý an tồn thơng tin để tách bạch quyền hạn trách nhiệm cá nhân, tổ chức, doanh nghiệp, nhà nước việc áp dụng, thực thi biện pháp, chương trình đảm bảo an tồn thơng tin Xác định rõ quyền lợi trách nhiệm cung cấp dịch vụ đảm bảo an tồn thơng tin Làm rõ quyền lợi hợp pháp đối tượng hoạt động đảm bảo an tồn thơng tin có cố an tồn thông tin xảy Đánh giá tác động phương án Phương án 1: Lựa chọn không xử lý vấn đề quản lý tồn nay, không rõ trách nhiệm quyền hạn việc đảm bảo an tồn hệ thống thơng tin, an toàn sở liệu,… dẫn đến xúc, khiếu nại kéo dài bị gián đoạn dịch vụ, mát liệu thông tin mà không rõ trách nhiệm bên - Tác động kinh tế: Giải pháp không làm phát sinh chi phí từ ngân sách nhà nước không cần áp dụng biện pháp Tuy nhiên, lựa chọn không rõ trách nhiệm quyền hạn việc đảm bảo an toàn hệ thống thiết bị, an toàn mạng, an toàn sở liệu… dẫn đến tổn hại cố gây an tồn thơng tin virut, phần mềm độc hại gây lường trước - Tác động xã hội: Do bất cập an tồn thơng tin khơng giải quyết, hiệu cơng tác đảm bảo an tồn thơng tin không nâng cao Đặc biệt, bối cảnh vụ cơng mạng, phát tán phần mềm có hại ngày gia tăng tần suất cường độ, cộng đồng xã hội có khả phải gánh chịu khó khăn kinh tế, trị, xã hội, an ninh, quốc phòng cố gây an tồn thơng tin gây - Tác động pháp luật: Giải pháp không tạo thay đổi hệ thống pháp luật hành an tồn thơng tin Nếu giữ ngun quy định hành vai trò trách nhiệm cộng đồng đảm bảo an tồn thơng tin vấn đề tiếp tục quy định chung chung văn quy phạm pháp luật Luật, vậy, không khắc phục tồn nêu Hiệu lực hiệu thực quy định chưa cao, chưa giảm thiểu thiệt hại cố gây an tồn thơng tin gây Cơng tác đảm bảo an tồn thơng tin chưa huy động tham gia tổ chức, cá nhân cộng đồng - Tác động đến quyền nghĩa vụ cơng dân: Khơng có tác động đến quyền nghĩa vụ công dân Phương án 2: xác định xây dựng cách khoa học nhóm trách nhiệm an tồn thơng tin để tách bạch quyền hạn trách nhiệm cá 20 nhân, tổ chức, doanh nghiệp, quan quản lý nhà nước việc áp dụng, thực thi biện pháp, chương trình đảm bảo an tồn thơng tin Trên sở xác định rõ quyền lợi trách nhiệm cung cấp dịch vụ đảm bảo an tồn thơng tin - Tác động kinh tế: Giải pháp ban hành luật làm phát sinh chi phí từ ngân sách nhà nước cho việc thực quyền nghĩa vụ quy định luật, đồng thời làm phát sinh chi phí cho cá nhân, tổ chức, doanh nghiệp cho việc thực thi nghĩa vụ luật - Tác động xã hội: Văn luật quy định vai trò trách nhiệm cụ thể nhóm đối tượng hoạt động đảm bảo an tồn thơng tin số Đồng thời, chế tài liên quan đến việc thực biện pháp bảo đảm an tồn thơng tin bổ sung theo hướng đủ sức mạnh đủ răn đe Tất nội dung giúp nâng cao hiệu cơng tác phịng chống nguy gây an tồn thơng tin cách hiệu hệ thống Quy định vai trị trách nhiệm cộng đồng an tồn thông tin tạo sở pháp lý quan trọng để huy động nguồn lực xã hội cho công tác Do quy định văn luật nên quy định có hiệu lực pháp lý cao, đối tượng tác động rộng lớn nên tạo điều kiện thuận lợi cho công tác đảm bảo an tồn thơng tin Kết tham vấn cộng đồng chuyên gia vai trò cá nhân, tổ chức cộng đồng hệ thống văn pháp luật hành có liên quan an tồn thơng tin cho thấy: Việc nhấn mạnh vào vai trị trách nhiệm cộng đồng không làm vai trò Nhà nước hoạt động xử lý cố đảm bảo an tồn thơng tin số; bên cạnh cịn phát huy đề cao vai trò tổ chức xã hội, tổ chức kinh tế cá nhân tham gia vào công tác Bên cạnh vai trò quản lý, định hướng, Nhà nước đầu tư, tổ chức hoạt động phòng, tránh hành vi xâm phạm an tồn thơng tin có tác động rộng lớn nghiêm trọng; hệ thống thông tin hoạt động đảm bảo an tồn thơng tin mà có tổ chức, cá nhân ngồi Nhà nước thực thực hiệu không cao - Tác động hệ thống pháp luật: Việc ban hành quy định luật kết hợp với việc ban hành văn luật cần thiết tạo khuôn khổ pháp luật thống nhất, tổng thể hiệu cho việc trọng thoả đáng vào vai trò trách nhiệm cộng đồng đảm bảo an tồn thơng tin Cuối cùng, giải pháp cho tác động tốt luật tăng hiệu lực nhóm quy phạm tồn Tuy nhiên, giải pháp dẫn đến việc thay đổi hiệu lực số văn quy phạm pháp luật Các Nghị định xử phạt vi phạm hành lĩnh vực an tồn thơng tin bổ sung tổng hợp lại thành văn thống Cách tiếp cận tương tự áp dụng với quy định an tồn thơng tin nằm rải rác số luật, văn luật - Tác động đến quyền nghĩa vụ công dân: Dự thảo luận quy định cụ thể quyền cá nhân, tổ chức việc tiếp cận thông tin an 21 tồn thơng tin; tham gia đóng góp ý kiến vào việc lập kế hoạch, phương án an tồn thơng tin; hưởng lợi ích từ việc thực biện pháp bảo đảm an tồn thơng tin; tham gia chương trình tuyên truyền, phổ biến, giáo dục pháp luật kiến thức an tồn thơng tin; nhận hồn trả bồi thường công phương tiện tham gia ứng cứu khẩn cấp cố theo lệnh huy động quan có thẩm quyền Những quyền hồn tồn phù hợp với quy định khác hệ thống pháp luật hành, nhằm hướng tới mục tiêu nâng cao hiệu cơng tác đảm bảo an tồn thơng tin, qua đó, góp phần thực quyền quy định Hiến pháp 1992 (sửa đổi) Dự thảo luật quy định chi tiết nghĩa vụ mà cá nhân, tổ chức cần thực biện pháp đảm bảo an tồn thơng tin, báo cáo quan có thẩm quyền phát thấy nguy gây an tồn thơng tin nhằm nâng cao trách nhiệm cộng đồng việc thực hoạt động an tồn thơng tin Các nghĩa vụ hành vi bị cấm quy định Dự thảo luật đặt thêm nghĩa vụ cho cá nhân tổ chức Tuy nhiên, nghĩa vụ không trái với quy định hành hệ thống pháp luật Việt Nam quy định cần thiết nhằm đảm bảo hiệu hoạt động an tồn thơng tin Khuyến nghị Phương án phù hợp với phát triển nhanh lĩnh vực an tồn thơng tin, phù hợp với điều kiện thực tiễn Do đó, phương án phương án thích hợp Nhóm nghiên cứu đề xuất phương án cho dự án Luật IV Vấn đề Bảo vệ hệ thống thông tin thông tin mạng Thực trạng Hiện chưa có văn pháp luật đưa quy định cụ thể bảo vệ hệ thống thông tin thong tin mạng, đặc biệt hệ thống thông tin quan trọng quốc gia Trong văn pháp luật hành, số khái niệm định nghĩa chưa quán, chưa bao quát, chí áp dụng số lĩnh vực hạn chế, ví dụ khái niệm sở hạ tầng thông tin, sở hạ tầng công nghệ thông tin, hệ thống thông tin hay khái niệm môi trường mạng, không gian mạng, môi trường số, Thực tế cho thấy, nhiều hệ thống thông tin dần trở thành hệ thống thông tin quan trọng quốc gia phần quan trọng đời sống xã hội Tại nhiều nước, sở hạ tầng thông tin quan trọng gồm hệ thống thông tin phục vụ cho quan Chính phủ, lĩnh vực Y tế, Dầu khí, Cung cấp nước, Năng lượng điện, Viễn thơng, Tài Ngân hàng, Thương mại Giao thơng vận tải 22 Ở khía cạnh khác, thời gian gần đây, vấn đề liên quan đến bảo vệ sở hạ tầng thông tin chung sở hạ tầng thơng tin quan trọng nói riêng ln cấp lãnh đạo quan nhà nước doanh nghiệp quan tâm Bởi phát triển mạnh viễn thông - công nghệ thông tin song song với việc phải có phương án ngăn chặn công vào hạ tầng viễn thông – công nghệ thông tin Tuy nhiên, với phát triển mạnh mẽ Internet nguy ngày tăng công mạng, đặc biệt nhắm vào quan nhà nước Ngoài ra, việc bảo vệ thông tin chưa thực bao quát rõ nét, ngoại trừ bảo vệ thông tin cá nhân nêu nội dung cụ thể số văn pháp luật Bộ Luật dân sự, Luật giao dịch điện tử, Luật công nghệ thông tin, Luật viễn thơng, Luật bảo vệ người tiêu dùng… Vẫn cịn thiếu quy định trách nhiệm chủ sở hữu thông tin hệ thống thông tin Hành lang pháp lý quy định trách nhiệm áp dụng biện pháp bảo vệ tối thiểu chủ quản hệ thống: Mảng cịn thiếu gần chưa có Việc áp dụng biện pháp bảo vệ phụ thuộc vào nhận thức tổ chức, cá nhân Hậu Ở Việt Nam, sở hạ tầng viễn thông công nghệ thông tin Việt Nam chưa đáp ứng yêu cầu bảo mật thiết yếu; hệ thống thơng tin cịn nhiều lỗ hổng bảo mật, bị tội phạm sử dụng công nghệ cao lợi dụng công xâm nhập, phá hoại, gây thiệt hại lớn cho quan Nhà nước, tổ chức nhân dân Đối với Việt Nam, hệ thống mạng thông tin quốc gia, hệ thống mạng thông tin quan, tổ chức quan trọng mục tiêu công xâm nhập tin tặc nước ngoài; nguy an tồn thơng tin ngày nghiêm trọng khơng có giải pháp phịng, chống hữu hiệu Đầu năm 2011, hàng trăm website Việt Nam bị hacker nước ngồi cơng chiếm quyền điều khiển, thay đổi giao diện, có website Nơng nghiệp, Bộ Ngoại giao Tháng 10/2011, 150 website bị cơng ngày nhóm hacker Thổ Nhĩ Kỳ thực số máy chủ TP.Hồ Chí Minh cơng ty cung cấp dịch vụ hosting, domain phổ biến Tháng 11 năm 2011 Bộ TT&TT vừa thơng báo loại “siêu mã độc” có tên "Gauss", coi "siêu vũ khí mạng" có khả nhằm chiếm quyền điều khiển hệ thống, đánh cắp nhiều thông tin, đặc biệt thông tin ngân hàng Tháng 02/2012, website trung tâm an ninh mạng BKAV bị hacker cơng Nhóm hacker Anonymous liên tục công nhiều lỗi bảo mật website 23 Nguyên nhân chủ yếu yếu quản trị website không thường xuyên phát khắc phục lỗ hổng an toàn thơng tin, quan tâm đến cảnh báo quan, tổ chức có chức đảm bảo an tồn an ninh thơng tin quốc gia thiếu hợp tác đơn vị có chức chun mơn Hình – Mức độ áp dụng giải pháp cơng nghệ đảm bảo an tồn thơng tin năm 2012 (Nguồn: VNISA) Nguyên nhân Do thiếu văn pháp lý quy định bảo vệ hệ thống thông tin bảo vệ thông tin mạng đưa quy định bắt buộc đối tượng tham gia chia sẻ hạ tầng thông tin; Quản lý chặt việc đảm bảo an tồn thơng tin sử dụng chung sở hạ tầng thông tin, dùng chung sở liệu tài nguyên mạng Quy định phối hợp đảm bảo an toàn thong tin Mục tiêu - Quy định xác định cấp độ an tồn thơng tin trách nhiệm bảo đảm an tồn thơng tin theo cấp độ để công tác quản lý, bảo đảm an tồn thơng tin bước vào nếp - Việc xác định cấp độ an tồn thơng tin mức độ quan trọng, phạm vi mức độ ảnh hưởng tới quyền lợi ích hợp pháp tổ chức, cá nhân, lợi ích cơng cộng xã hội, thiệt hại kinh tế quốc phòng, an ninh đất nước bị xâm phạm an tồn thơng tin - Xác định nội dung bảo vệ hệ thống thông tin bao gồm việc xây dựng, ban hành văn quy định quy trình bảo vệ hệ thống thông tin; áp dụng tiêu chuẩn, quy chuẩn kỹ thuật, biện pháp quản lý kỹ thuật; quy định quản lý, kiểm tra, đánh giá, phân tích nguy an tồn thơng tin, theo dõi, phát hiện, ngăn chặn, cảnh báo sớm, phản ứng, xử lý, quản lý rủi ro 24 khắc phục cố Xác định cụ thể trách nhiệm bảo vệ hệ thống thông tin tổ chức, cá nhân quan quản lý nhà nước - Phân loại thông tin với quy định biện pháp xử lý bảo vệ thông tin mạng Các loại phương án Phương án 1: Giữ nguyên trạng Phương án 2: Thực sửa đổi văn pháp luật hành Phương án 3: Ban hành Luật an tồn thơng tin với việc quy định xác định cấp độ an tồn thơng tin trách nhiệm bảo đảm an tồn thơng tin, để bảo vệ hệ thống thông tin thông tin quản lý hệ thống thơng tin Đánh giá tác động phương án Phương án 1: Các văn pháp luật hành chưa đề cập đến xác định cấp độ an tồn thơng tin hệ thống thơng tin, tiêu chí xác định cấp độ an tồn thơng tin, tiêu chí xác định hệ thống thơng tin quan trọng quốc gia trách nhiệm đảm bảo an tồn thơng tin cho hệ thống thơng tin, không phù hợp với nhu cầu thực tiễn nêu - Tác động mặt kinh tế: Sẽ khơng làm phát sinh chi phí từ ngân sách nhà nước gây tổn hại lớn nhiều cho nguồn lực xã hội không giảm nhẹ hậu mối nguy hiểm an tồn thơng tin - Tác động mặt xã hội: Do khơng có biện pháp xác định cấp độ an tồn thơng tin bảo vệ thơng tin mạng, thực trạng ảnh hưởng cố an tồn thơng tin đến hệ thống thông tin không thay đổi Hậu việc an tồn thơng tin ảnh hưởng đến trật tự, an ninh xã hội, tác động đến tâm lý người dân Điều cản trở việc đạt mục tiêu phát triển xã hội nói chung - Tác động mặt hệ thống pháp luật: Giải pháp không tạo thay đổi không gây xáo trộn hệ thống pháp luật hành an tồn thơng tin Tuy nhiên, với việc giữ nguyên trạng, bất cập liên quan đến quy định pháp luật lĩnh vực tồn Phương án 2: Việc điều chỉnh văn pháp luật có khó khăn phần lớn văn pháp luật hành thường nêu quy định đảm bảo an tồn thơng tin số lĩnh vực chun biệt Phương án khơng hiệu khả thi chưa có quy định việc phân loại hệ thống thông tin biện pháp cần thiết để bảo vệ hệ thống Phương án 3: Điều chỉnh quy định Luật ATTT nhằm điều chỉnh quy định xác định cấp độ an tồn thơng tin với quy 25 định bảo vệ phù hợp tương ứng với cấp độ, để bảo vệ hệ thống thông tin thông tin quản lý hệ thống thơng tin - Tác động mặt kinh tế: Sẽ làm phát sinh chi phí từ ngân sách nhà nước nhiều so với phương án hiệu kinh tế -xã hội đem lại lớn, đặc biệt hệ thống thông tin quan trọng: - Tác động xã hội: Việc ban hành Luật ATTT có quy định cụ thể xác định cấp độ an tồn thơng tin tạo sở tảng cho việc giải bất cập việc bảo vệ hệ thống thông tin, giúp nâng cao hiệu cơng tác an tồn thơng tin, giảm thiểu nguy rủi ro việc bảo vệ hệ thống thông tin Việc xác định cấp độ an tồn thơng tin giúp tổ chức, cá nhân có thống tương đối đánh giá bình đẳng tương đối trách nhiệm trước pháp luật bảo đảm an tồn thơng tin - Tác động hệ thống pháp luật: Việc quy định Luật ATTTT nguyên tắc kết hợp với việc Chính phủ ban hành Nghị định hướng dẫn thi hành phân tích góp phần xây dựng hệ thống văn pháp luật tổng thể, rõ ràng, dễ tra cứu áp dụng hoạt động bảo đảm an toàn thơng tin Khuyến nghị Nhóm nghiên cứu đề xuất phương án cho dự án Luật V Vấn đề Nghiên cứu phát triển, kinh doanh lĩnh vực an tồn thơng tin Thực trạng Trong văn pháp luật hành có đề cập nhiều đến Nghiên cứu phát triển, kinh doanh lĩnh vực an tồn thơng tin Tuy nhiên, quy định chưa cụ thể đầy đủ Cụ thể: Pháp luật chưa có quy định ràng buộc cụ thể dịch vụ, sản phẩm an toàn thông tin nên chưa thúc đẩy nghiên cứu, phát triển sản phẩm nội địa An tồn thơng tin lĩnh vực đặc thù nhạy cảm, liên quan nhiều đến xã hội, vấn đề pháp lý, đạo đức người Khó tin cậy hệ thống bảo vệ dựa vào công nghệ bên Quy định cụ thể văn pháp luật góp phần thúc đẩy lực, sức mạnh nội địa việc cung cấp sản phẩm, dịch vụ an tồn thơng tin Mặt khác, số sản phẩm có u cầu đặc thù bảo đảm an tồn thông tin cần điều chỉnh quy định pháp luật sản xuất, kinh doanh, nhập Hiện chưa có văn pháp luật đề cập cụ thể đến vấn đề Một số loại hình kinh doanh dịch vụ an tồn thơng tin nhạy cảm cần nhà nước quản lý hình thức kinh doanh có điều kiện như: Dịch vụ bảo 26 mật thông tin sử dụng mật mã dân sự, Dịch vụ chứng thực chữ ký số, chữ ký điện tử, Dịch vụ kiểm tra, đánh giá, giám sát an tồn thơng tin, Dịch vụ tư vấn, thiết kế giải pháp an tồn thơng tin, Dịch vụ ứng cứu khắc phục cố mạng Dịch vụ an tồn thơng tin khác Ngoài ra, điều chỉnh luật pháp giúp xác lập chế, sách hoạt động an tồn thông tin, phát huy nguồn lực xã hội vào hoạt động đảm bảo an tồn thơng tin Nhà nước đánh thuế thu phí việc đảm bảo an toàn bảo mật doanh nghiệp Các doanh nghiệp đăng ký cung cấp dịch vụ an tồn thơng tin Việc đào tạo sử dụng cán chun trách an tồn thơng tin cần có quy định điều kiện, đối tượng nhằm đạt tính quán cao xã hội, giảm chi phí đầu tư, phát triển nguồn nhân lực cách hiệu Tuy nhiên, vấn đề xem nhẹ xã hội An tồn thơng tin trách nhiệm tồn xã hội, cần khuyến khích phát triển theo hướng xã hội hóa Điều chỉnh quy định pháp luật giúp định hướng phát triển cho doanh nghiệp thị trường an tồn thơng tin Hậu Ở Việt Nam, sản phẩm dịch vụ an tồn thơng tin chủ yếu mang tính tự phát, thiếu chuyên nghiệp chưa có quy định rõ ràng, minh bạch nhà nước.Thị trường xuất canh tranh không lành mạnh, chí có trường hợp xảy tượng nhà cung cấp dịch vụ vi phạm quyền riêng tư, sở hữ trí tuệ Đa số doanh nghiệp phát triển manh mún, chạy theo lợi ích ngắn hạn, thiếu bền vững làm cho thị trường trở nên lộn xộn Về mặt quản lý hoạt động sản xuất kinh doanh, chuyển dịch từ xu hướng thuê bên tự xây dựng, sở hữu khai thác hệ thống dẫn tới nguy phụ thuộc vào nhà cung cấp dịch vụ, gây an tồn thơng tin cho tổ chức, cá nhân sử dụng dịch vụ Nguyên nhân Do thiếu văn pháp lý định hướng phát triển cho doanh nghiệp thị trường an tồn thơng tin; Làm rõ quy định đầu tư vào an tồn thơng tin kinh doanh lĩnh vực an tồn thơng tin; Xác định rõ u cầu đảm bảo an tồn thơng tin cơng tác đầu tư, phát triển mạng cung cấp dịch vụ; Xác lập chế, sách hoạt động cơng ích an tồn thơng tin, phát huy nguồn lực xã hội vào hoạt động công ích đảm bảo an tồn thơng tin An tồn thơng tin trách nhiệm tổ chức cá nhân, cần khuyến khích phát triển theo hướng xã hội hóa Mục tiêu 27 - Xác định rõ quy định ràng buộc cụ thể dịch vụ, sản phẩm an tồn thơng tin, cam kết doanh nghiệp nhằm thúc đẩy nghiên cứu, phát triển sản phẩm nội địa - Quy định rõ thủ tục cấp phép cho doanh nghiệp cung cấp dịch vụ, sản phẩm an tồn thơng tin, sản xuất nhập sản phẩm có yêu cầu đảm bảo an tồn thơng tin nhằm tạo lịng tin cho doanh nghiệp đầu tư nghiên cứu phát triển - Đảm bảo quyền lợi hợp pháp cho doanh nghiệp cung cấp dịch vụ, sản phẩm an tồn thơng tin, nghiên cứu sản xuất nhập sản phẩm có u cầu đảm bảo an tồn thơng tin - Xác định rõ quy định đảm bảo an tồn thơng tin dự án đầu tư, hoạt động phát triển phần mềm, sản phẩm, dịch vụ cho xã hội - Quy định trách nhiệm quyền lợi tham gia hoạt động dịch vụ an tồn thơng tin Các loại phương án Phương án 1: Giữ nguyên trạng Phương án 2: Thực sửa đổi văn pháp luật hành Phương án 3: Ban hành Luật an tồn thơng tin với việc bổ sung, cập nhật, nội dung nghiên cứu phát triển, kinh doanh lĩnh vực an tồn thơng tin Đánh giá tác động phương án Phương án 1: Các văn pháp luật hành chưa đề cập nhiều đến dịch vụ, sản phẩm an tồn thơng tin, chưa đề cập đến quyền lợi trách nhiệm doanh nghiệp cung cấp dịch vụ, sản phẩm an tồn thơng tin Do khơng phù hợp với nhu cầu thực tiễn nêu Phương án 2: Việc điều chỉnh văn pháp luật có khó khăn phần lớn văn pháp luật hành thường nêu quy định đảm bảo an toàn thông tin số lĩnh vực chuyên biệt Phương án 3: Điều chỉnh quy định Luật an tồn thơng tin để định hướng phát triển cho doanh nghiệp thị trường an tồn thơng tin, tăng cường nội lực, khuyến khích phát triển theo hướng xã hội hóa phương án tối ưu Khuyến nghị Nhóm nghiên cứu đề xuất phương án cho dự án Luật C QUÁ TRÌNH THAM VẤN 28 Việc đánh giá tác động tiến hành trước trình soạn thảo Dự thảo Luật Ở cấp trung ương, có tham vấn trực tiếp với cán số ngành doanh nghiệp có liên quan đến cơng tác đảm bảo an tồn thông tin số Ở cấp địa phương, cán thuộc ban, ngành liên quan đến công tác ATTT, thành viên số ban đội ứng cứu khẩn cấp máy tính Thành phố Hà Nội, Hồ Chi Minh Đà Nẵng tham vấn để mở rộng phạm vi đánh giá Các thông tin kết báo cáo cơng tác, báo cáo tình hình thiệt hại an tồn thơng tin báo cáo khác có liên quan VI Kết luận chung Như trình bày đánh giá tác động sơ theo phương pháp RIA, việc xây dựng ban hành Luật an tồn thơng tin cấp thiết giai đoạn Kết việc đánh giá tác động sơ phân tích trình bày theo phương án cho vấn đề cụ thể Tuy nhiên, điều khơng có nghĩa vấn đề đánh giá khơng có mối liên hệ với Trên thực tế, lợi ích phương án dựa giả thiết lựa chọn phương án tốt cho vấn đề khác Giải pháp cho vấn đề có tác dụng làm tăng cường lợi ích vấn đề khác Bản báo cáo đánh giá sơ tác động việc xây dựng ban hành Luật an tồn thơng tin trình bày rõ vấn đề ưu tiên, mục tiêu xử lý vấn đề, giải pháp lựa chọn thực đánh giá giải pháp Trên sở trình bày quan điểm xử lý vấn đề nêu, quan chủ trì xây dựng dự thảo mong muốn cung cấp thông tin để quan liên quan tham khảo thảo luận, trình biểu thơng qua dự thảo Luật an tồn thơng tin./ BỘ THÔNG TIN VÀ TRUYỀN THÔNG 29 ... tin Việt Nam Tháng bảy năm 2013, liên tiếp nhiều báo mạng lớn Việt Nam Vietnamnet.vn, Tuoitre.vn, Dantri.com.vn bị công từ chối dịch vụ dẫn đến hoạt động chập chờn, có lúc tê liệt Máy chủ thay đổi