WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Khái quát về Luật An toàn thông tin mạng
Cuộc cách mạng công nghệ 4.0 tạo ra những đột phá trong công nghệ số tuy nhiên cũng tiềm ẩn những nguy cơ về mất an toàn thông tin. Việc có một cơ chế quản lý toàn diện và đồng bộ là hoàn toàn cần thiết trong kỷ nguyên 4.0 này.
Do đó Luật An toàn thông tin mạng ra đời góp phần giúp các tổ chức, cá nhân có sự hiểu biết nhất định về quyền và nghĩa vụ của mình khi tham gia các hoạt động an toàn thông tin mạng tại Việt Nam.
Luật An toàn thông tin mạng (ATTTM) số 86/2015/QH13 được Quốc hội thông qua ngày 19/11/2015, và có hiệu lực từ 01/07/2016, gồm 8 chương và 54 điều. Với một khối lượng văn bản dài và nhiều quy định như vậy sẽ khiến nhiều bạn gặp khó khăn. Vì vậy trong bài viết này mình sẽ giúp các bạn hình dung một mô hình tổng quan về Luật ATTTM và các văn bản đi kèm luật cùng một số điểm cần lưu ý.
Về cơ bản, Luật ATTTM quy định những quy tắc chung về bảo đảm ATTTM, các hành vi bị nghiêm cấm và xử phạt trong lĩnh vực ATTT…, bên cạnh đó là trách nhiệm của các Bộ và cơ quan ngang bộ, UBND tỉnh và thành phố trực thuộc Trung Ương trong việc thực hiện quản lý nhà nước về ATTTM.
Để triển khai luật hiệu quả thì sẽ cần có các văn bản dưới luật. Đó là các nghị định, quyết định quy định cụ thể các nội dung trong luật.
Tiếp đó, để các nghị định này thực sự đi vào thực tế, chúng ta sẽ cần đến các văn bản hướng dẫn cụ thể của các Bộ, ngành liên quan, các tiêu chí, tiêu chuẩn, quy chuẩn kỹ thuật quốc gia tương ứng.
Thủ tướng đã phân công 3 Bộ gồm Bộ Quốc phòng, Bộ Thông tin và Truyền thông, Bộ Công an chủ trì soạn thảo các văn bản để quy định chi tiết Luật ATTTM. Các bạn có thể tham khảo sơ đồ dưới đây để có cái nhìn tổng quan về Luật ATTTM.
Tùy vào yêu cầu của công việc, các bạn sẽ cần tìm hiểu những văn bản tương ứng. Với công việc hiện nay của WhiteHat, mình xin đưa ra một số các nội dung cơ bản do Bộ TT&TT soạn thảo, có thể được áp dụng nhiều trong thực tế.
1. Nghị định 85/2016/NĐ-CP, ngày 01/07/2016 quy định về bảo đảm an toàn hệ thống thông tin (HTTT) theo cấp độ.
Có 5 cấp độ an toàn theo mức độ tăng dần như sơ đồ dưới đây:
Phân loại và xác định cấp độ của hệ thống thông tin theo sự ảnh hưởng
(Nguồn: Cổng thông tin điện tử Hà Nam)
Khi xác định được cấp độ thông tin của một cơ quan/ tổ chức sẽ giúp tổ chức/ cơ quan đó áp dụng các biện pháp quản lý và kỹ thuật nhằm bảo vệ HTTT phù hợp.
Các bạn có thể tham khảo Thông tư 03/2017/TT-BTTTT để tìm hiểu thêm về vấn đề này.
2. Quyết định 632/QĐ-TTg, ngày 10/05/2017 ban hành danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và hệ thống thông tin quan trọng quốc gia
Cùng với việc xây dựng các HTTT theo cấp độ, thì cũng cần danh mục các lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng.
11 lĩnh vực quan trọng cần ưu tiên gồm có giao thông, năng lượng, tài nguyên và môi trường, thông tin, y tế, tài chính, ngân hàng, quốc phòng, an ninh, đô thị, chỉ đạo và điều hành của chính phủ.
Bên cạnh đó là các hệ thống thông tin quan trọng quốc gia như sau:
3. Nghị định 108/2016/NĐ-CP, ngày 01/07/2016 quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.
Các đơn vị kinh doanh trong lĩnh vực ATTTM cần phải được cấp giấy phép kinh doanh, sản phẩm dịch vụ ATTTM mới được bán sản phẩm. Giấy phép này có thời hạn 10 năm và do Bộ Thông tin và truyền thông cấp.
Hồ sơ xin cấp phép kinh doanh sản phẩm, dịch vụ ATTTM
4. Quyết định 05/2017/QĐ-TTg, ngày 16/03/2017 ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia.
Danh mục biểu mẫu của hoạt động điều phối, ứng cứu sự cố ATTTM trên toàn quốc
Quy trình ứng cứu một sự cố thông thường
Một quy trình ứng cứu sự cố sẽ giúp đơn vị, cá nhân có cách tiếp cận để phát hiện sớm, ngăn chặn rủi ro và đảm bảo an ninh cho hệ thống một cách có tổ chức.
Nội dung chi tiết các bạn có thể tham khảo TT 20/2017/TT-BTTTT.
5. Nghị định 15/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.
Đây là phần theo mình là rất đáng để các bạn quan tâm vì thường gặp phải trong cuộc sống. Sẽ áp dụng hình thức nhắc nhở, xử phạt hành chính hoặc truy cứu trách nhiệm hình sự, tùy thuộc vào tính chất, mức độ nguy hiểm và hậu quả do hành vi vi phạm gây ra.
Một số điểm cơ bản cần quan tâm ở đây đó là:
Điều 84: Vi phạm quy định về thu thập, sử dụng thông tin cá nhân: với mức phạt từ 10 đến 20 triệu đồng.
Mức phạt này theo mình là khá “nhẹ” so với thế giới.
Ví dụ: Facebook nhận khoản phạt kỷ lục 5 tỷ USD năm 2019 từ Ủy ban Thương mại Liên bang Mỹ (FTC) về vụ Cambridge Analytica thu thập dữ liệu của hàng chục triệu người dùng Facebook.
Khoản phạt này vượt xa so với kỷ lục trước đây của Google năm 2012 (22,5 triệu USD) do vi phạm chính sách quyền riêng tư trên trình duyệt Safari.
Còn tại Việt Nam, hiện chưa ghi nhận khoản phạt nào dành cho tổ chức thu thập thông tin cá nhân của người dùng.
Điều 101: Vi phạm các quy định về trách nhiệm sử dụng dịch vụ mạng xã hội
Mức phạt áp dụng là từ 10.000.000 đến 20.000.000 với hành vi lợi dụng mạng xã hội để cung cấp, chia sẻ thông tin giả mạo, sai sự thật, vu khống uy tín của cơ quan, tổ chức, danh dự, nhân phẩm của cá nhân.
Ví dụ cụ thể cho hình thức vi phạm này chính là việc tung tin giả mạo về việc phòng chống dịch Covid-19 tại Việt Nam. Có những người đã bị xử phạt hành chính. Tuy nhiên cũng có những trường hợp bị truy cứu trách nhiệm hình sự. Do đó, các bạn nên tìm hiểu kỹ thông tin trước khi chia sẻ trên mạng xã hội.
Về các tiêu chuẩn quốc gia cho Luật ATTTM thì khá nhiều. Mình chỉ đưa ra một số tiêu chuẩn để các bạn tham khảo:
TCVN 11930:2017: Công nghệ thông tin – Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.
TCVN ISO/IEC 27001:2019: Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu.
TCVN 11779:2017 / ISO/IEC 27007:2011: Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn đánh giá hệ thống quản lý an toàn thông tin.
Trên đây chỉ là một số thông tin mình tổng hợp được, hy vọng sẽ hữu ích cho các bạn. Mong có sự chia sẻ và đóng góp của các bạn để bài viết hoàn thiện hơn.
Do đó Luật An toàn thông tin mạng ra đời góp phần giúp các tổ chức, cá nhân có sự hiểu biết nhất định về quyền và nghĩa vụ của mình khi tham gia các hoạt động an toàn thông tin mạng tại Việt Nam.
Luật An toàn thông tin mạng (ATTTM) số 86/2015/QH13 được Quốc hội thông qua ngày 19/11/2015, và có hiệu lực từ 01/07/2016, gồm 8 chương và 54 điều. Với một khối lượng văn bản dài và nhiều quy định như vậy sẽ khiến nhiều bạn gặp khó khăn. Vì vậy trong bài viết này mình sẽ giúp các bạn hình dung một mô hình tổng quan về Luật ATTTM và các văn bản đi kèm luật cùng một số điểm cần lưu ý.
Về cơ bản, Luật ATTTM quy định những quy tắc chung về bảo đảm ATTTM, các hành vi bị nghiêm cấm và xử phạt trong lĩnh vực ATTT…, bên cạnh đó là trách nhiệm của các Bộ và cơ quan ngang bộ, UBND tỉnh và thành phố trực thuộc Trung Ương trong việc thực hiện quản lý nhà nước về ATTTM.
Để triển khai luật hiệu quả thì sẽ cần có các văn bản dưới luật. Đó là các nghị định, quyết định quy định cụ thể các nội dung trong luật.
Tiếp đó, để các nghị định này thực sự đi vào thực tế, chúng ta sẽ cần đến các văn bản hướng dẫn cụ thể của các Bộ, ngành liên quan, các tiêu chí, tiêu chuẩn, quy chuẩn kỹ thuật quốc gia tương ứng.
Thủ tướng đã phân công 3 Bộ gồm Bộ Quốc phòng, Bộ Thông tin và Truyền thông, Bộ Công an chủ trì soạn thảo các văn bản để quy định chi tiết Luật ATTTM. Các bạn có thể tham khảo sơ đồ dưới đây để có cái nhìn tổng quan về Luật ATTTM.
Tùy vào yêu cầu của công việc, các bạn sẽ cần tìm hiểu những văn bản tương ứng. Với công việc hiện nay của WhiteHat, mình xin đưa ra một số các nội dung cơ bản do Bộ TT&TT soạn thảo, có thể được áp dụng nhiều trong thực tế.
1. Nghị định 85/2016/NĐ-CP, ngày 01/07/2016 quy định về bảo đảm an toàn hệ thống thông tin (HTTT) theo cấp độ.
Có 5 cấp độ an toàn theo mức độ tăng dần như sơ đồ dưới đây:
Phân loại và xác định cấp độ của hệ thống thông tin theo sự ảnh hưởng
(Nguồn: Cổng thông tin điện tử Hà Nam)
Khi xác định được cấp độ thông tin của một cơ quan/ tổ chức sẽ giúp tổ chức/ cơ quan đó áp dụng các biện pháp quản lý và kỹ thuật nhằm bảo vệ HTTT phù hợp.
Các bạn có thể tham khảo Thông tư 03/2017/TT-BTTTT để tìm hiểu thêm về vấn đề này.
2. Quyết định 632/QĐ-TTg, ngày 10/05/2017 ban hành danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và hệ thống thông tin quan trọng quốc gia
Cùng với việc xây dựng các HTTT theo cấp độ, thì cũng cần danh mục các lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng.
11 lĩnh vực quan trọng cần ưu tiên gồm có giao thông, năng lượng, tài nguyên và môi trường, thông tin, y tế, tài chính, ngân hàng, quốc phòng, an ninh, đô thị, chỉ đạo và điều hành của chính phủ.
Bên cạnh đó là các hệ thống thông tin quan trọng quốc gia như sau:
3. Nghị định 108/2016/NĐ-CP, ngày 01/07/2016 quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.
Các đơn vị kinh doanh trong lĩnh vực ATTTM cần phải được cấp giấy phép kinh doanh, sản phẩm dịch vụ ATTTM mới được bán sản phẩm. Giấy phép này có thời hạn 10 năm và do Bộ Thông tin và truyền thông cấp.
Hồ sơ xin cấp phép kinh doanh sản phẩm, dịch vụ ATTTM
4. Quyết định 05/2017/QĐ-TTg, ngày 16/03/2017 ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia.
Danh mục biểu mẫu của hoạt động điều phối, ứng cứu sự cố ATTTM trên toàn quốc
Quy trình ứng cứu một sự cố thông thường
Một quy trình ứng cứu sự cố sẽ giúp đơn vị, cá nhân có cách tiếp cận để phát hiện sớm, ngăn chặn rủi ro và đảm bảo an ninh cho hệ thống một cách có tổ chức.
Nội dung chi tiết các bạn có thể tham khảo TT 20/2017/TT-BTTTT.
5. Nghị định 15/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.
Đây là phần theo mình là rất đáng để các bạn quan tâm vì thường gặp phải trong cuộc sống. Sẽ áp dụng hình thức nhắc nhở, xử phạt hành chính hoặc truy cứu trách nhiệm hình sự, tùy thuộc vào tính chất, mức độ nguy hiểm và hậu quả do hành vi vi phạm gây ra.
Một số điểm cơ bản cần quan tâm ở đây đó là:
Điều 84: Vi phạm quy định về thu thập, sử dụng thông tin cá nhân: với mức phạt từ 10 đến 20 triệu đồng.
Mức phạt này theo mình là khá “nhẹ” so với thế giới.
Ví dụ: Facebook nhận khoản phạt kỷ lục 5 tỷ USD năm 2019 từ Ủy ban Thương mại Liên bang Mỹ (FTC) về vụ Cambridge Analytica thu thập dữ liệu của hàng chục triệu người dùng Facebook.
Khoản phạt này vượt xa so với kỷ lục trước đây của Google năm 2012 (22,5 triệu USD) do vi phạm chính sách quyền riêng tư trên trình duyệt Safari.
Còn tại Việt Nam, hiện chưa ghi nhận khoản phạt nào dành cho tổ chức thu thập thông tin cá nhân của người dùng.
Điều 101: Vi phạm các quy định về trách nhiệm sử dụng dịch vụ mạng xã hội
Mức phạt áp dụng là từ 10.000.000 đến 20.000.000 với hành vi lợi dụng mạng xã hội để cung cấp, chia sẻ thông tin giả mạo, sai sự thật, vu khống uy tín của cơ quan, tổ chức, danh dự, nhân phẩm của cá nhân.
Ví dụ cụ thể cho hình thức vi phạm này chính là việc tung tin giả mạo về việc phòng chống dịch Covid-19 tại Việt Nam. Có những người đã bị xử phạt hành chính. Tuy nhiên cũng có những trường hợp bị truy cứu trách nhiệm hình sự. Do đó, các bạn nên tìm hiểu kỹ thông tin trước khi chia sẻ trên mạng xã hội.
Về các tiêu chuẩn quốc gia cho Luật ATTTM thì khá nhiều. Mình chỉ đưa ra một số tiêu chuẩn để các bạn tham khảo:
TCVN 11930:2017: Công nghệ thông tin – Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.
TCVN ISO/IEC 27001:2019: Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu.
TCVN 11779:2017 / ISO/IEC 27007:2011: Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn đánh giá hệ thống quản lý an toàn thông tin.
Trên đây chỉ là một số thông tin mình tổng hợp được, hy vọng sẽ hữu ích cho các bạn. Mong có sự chia sẻ và đóng góp của các bạn để bài viết hoàn thiện hơn.