Quy định về công tác kiểm tra, đánh giá an toàn thông tin mạng

1. Quy định về giám sát an toàn thông tin mạng

Theo Luật An toàn thông tin mạng năm 2015, An toàn thông tin mạng được định nghĩa là việc bảo vệ thông tin và hệ thống thông tin trên mạng để ngăn chặn truy cập, sử dụng, tiết lộ, gian lận, sửa đổi hoặc phá hoại trái phép, nhằm đảm bảo tính nguyên vẹn, tính bảo mật, và tính khả dụng của thông tin. Mạng là không gian trong đó thông tin được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông qua hệ thống viễn thông và mạng máy tính.

Giám sát về an toàn thông tin mạng và an ninh mạng, theo quy định tại Điều 10 của Quy chế về An toàn thông tin mạng và An ninh mạng được ban hành cùng với Quyết định số 1760/QĐ-BKHCN năm 2022, được mô tả như sau:

- Chủ quản hệ thống thông tin sẽ chỉ đạo việc giám sát đối với các hệ thống thông tin thuộc phạm vi quản lý, phối hợp với Trung tâm Công nghệ thông tin và các đơn vị chức năng của Bộ Thông tin và Truyền thông theo quy định.

- Nguyên tắc, yêu cầu, nội dung, phương thức và hệ thống kỹ thuật hỗ trợ công tác giám sát phải tuân thủ theo quy định tại Thông tư số 31/2017/TT-BTTTT.

- Đơn vị chuyên trách về an toàn thông tin của các đơn vị trực thuộc Bộ cần có 01 lãnh đạo đơn vị và 01 cán bộ (hoặc 01 đơn vị trực thuộc) làm đầu mối giám sát an toàn thông tin mạng để tiếp nhận cảnh báo, cung cấp, trao đổi và chia sẻ thông tin với Trung tâm Công nghệ thông tin trong các hoạt động giám sát an toàn thông tin tại đơn vị và tại Bộ Khoa học và Công nghệ.

2. Quy định về kiểm tra, đánh giá an toàn thông tin mạng

Tại Điều 11 của Quy chế đảm bảo an toàn thông tin mạng và an ninh mạng, mà Quyết định 1760/QĐ-BKHCN năm 2022 ban hành, quy định về kiểm tra và đánh giá an toàn thông tin mạng như sau:

- Chủ quản hệ thống thông tin có thẩm quyền có khả năng yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin thuộc phạm vi quản lý của mình. Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin cũng có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin được phê duyệt theo hồ sơ đề xuất cấp độ.

- Đơn vị chủ trì kiểm tra, đánh giá được cấp có thẩm quyền hoặc được chọn lựa để thực hiện nhiệm vụ này. Đối tượng kiểm tra, đánh giá là chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ thống thông tin liên quan. Nội dung và hình thức kiểm tra, đánh giá tuân thủ theo quy định tại Thông tư số 12/2022/TT-BTTTT.

- Trung tâm Công nghệ thông tin chịu trách nhiệm kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ tại Bộ Khoa học và Công nghệ, như quy định tại Thông tư số 12/2022/TT-BTTTT.

- Trung tâm Công nghệ thông tin và đơn vị chuyên trách về an toàn thông tin của các đơn vị trực thuộc Bộ đảm nhận nhiệm vụ đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin theo thẩm quyền. Nội dung đánh giá này sẽ là cơ sở để điều chỉnh phương án bảo đảm an toàn thông tin, đảm bảo phù hợp.

3. Quy định về nội dung kiểm tra, đánh giá về an toàn thông tin

Theo Điều 12 Thông tư 12/2022/TT-BTTTT quy định như sau:

- Đối với nội dung kiểm tra và đánh giá việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ, các điểm sau được xác định:

+ Kiểm tra và đánh giá tuân thủ của Chủ quản hệ thống thông tin theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP, bao gồm các hoạt động như việc thành lập/chỉ định đơn vị chuyên trách về an toàn thông tin, lập Hồ sơ đề xuất cấp độ, triển khai phương án bảo đảm an toàn thông tin, tổ chức kiểm tra và đánh giá an toàn thông tin, và đào tạo ngắn hạn, tuyên truyền về an toàn thông tin.

+ Kiểm tra và đánh giá tuân thủ của Đơn vị chuyên trách về an toàn thông tin của Chủ quản hệ thống thông tin theo quy định tại Điều 21 Nghị định 85/2016/NĐ-CP, bao gồm công tác tham mưu, tổ chức thực thi, đôn đốc, kiểm tra, giám sát, thẩm định Hồ sơ đề xuất cấp độ theo thẩm quyền quy định.

+ Kiểm tra và đánh giá tuân thủ của Đơn vị vận hành theo quy định tại Điều 22 Nghị định 85/2016/NĐ-CP.

+ Kiểm tra và đánh giá việc tổ chức thực thi các biện pháp bảo đảm an toàn thông tin theo phương án đã được phê duyệt.

- Đối với nội dung kiểm tra và đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin, các điểm sau được xác định:

+ Kiểm tra tính đầy đủ và phù hợp của Quy chế bảo đảm an toàn thông tin được phê duyệt.

+ Đánh giá tuân thủ các quy định, quy trình trong Quy chế bảo đảm an toàn thông tin trong quá trình vận hành, khai thác, kết thúc hoặc hủy bỏ hệ thống thông tin.

+ Đánh giá thiết kế hệ thống theo phương án bảo đảm an toàn thông tin đã được phê duyệt.

+ Đánh giá thiết lập, cấu hình hệ thống theo phương án bảo đảm an toàn thông tin đã được phê duyệt.

+ Kiểm tra cấu hình, tăng cường bảo mật cho thiết bị hệ thống, hệ điều hành, ứng dụng, cơ sở dữ liệu và các thành phần khác liên quan trong hệ thống theo hướng dẫn của Bộ Thông tin và Truyền thông.

- Đối với nội dung kiểm tra và đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin, các điểm sau được xác định:

+ Dò quét, phát hiện mã độc, lỗ hổng, điểm yếu của hệ thống, thực hiện thử nghiệm tấn công xâm nhập đối với các thiết bị, hệ thống, ứng dụng và cơ sở dữ liệu.

+ Đánh giá an toàn mã nguồn đối với phần mềm nội bộ.

+ Xây dựng phương án và kế hoạch xử lý lỗ hổng, điểm yếu, và cải thiện cấu hình bảo mật theo các nội dung kiểm tra được đánh giá là chưa đạt.

4. Quy định về đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống

Về bảo đảm an toàn hệ thống thông tin theo cấp độ, Bộ trưởng Bộ Thông tin và Truyền thông đã quy định rằng việc Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống là quá trình thực hiện dò tìm, phát hiện lỗ hổng và điểm yếu của hệ thống, tiến hành thử nghiệm tấn công xâm nhập hệ thống và đánh giá nguy cơ, thiệt hại có thể xảy ra khi hệ thống thông tin bị tấn công xâm nhập.

- Đơn vị chủ trì đánh giá có thể thuộc vào một trong các tổ chức sau đây:

+ Cục An toàn thông tin;

+ Đơn vị chuyên về an toàn thông tin;

+ Tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp;

+ Doanh nghiệp đã được cấp phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng hoặc tổ chức khác được chủ quản hệ thống thông tin cho phép thực hiện đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống.

- Đơn vị chủ trì đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống có trách nhiệm:

+ Thông báo cho chủ quản hệ thống thông tin về các điểm yếu an toàn thông tin phát hiện ra nhằm khắc phục, phòng tránh các sự cố an toàn thông tin;

+ Bảo đảm an toàn cho dữ liệu liên quan đến hệ thống được đánh giá, không tiết lộ dữ liệu liên quan khi chưa có sự đồng ý của chủ quản hệ thống thông tin;

+ Đảm bảo rằng việc đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống không gây ảnh hưởng đến hoạt động bình thường của hệ thống.

Bài viết liên quan:

Quy định pháp luật hiện hành về đảm bảo an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng

Mục tiêu bảo đảm an toàn thông tin mạng theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp

Trên đây là toàn bộ nội dung bài viết của Luật Minh Khuê về: Quy định về công tác kiểm tra, đánh giá an toàn thông tin mạng. Luật Minh Khuê xin tiếp nhận yêu cầu tư vấn của quý khách hàng qua số hotline: 1900.6162 hoặc email: lienhe@luatminhkhue.vn. Xin trân trọng cảm ơn!