1. Nội dung quản lý rủi ro an toàn thông tin mạng tại Trung tâm dữ liệu điện tử Bộ Tư pháp

Theo quy định tại Điều 24 Quy chế ban hành kèm theo Quyết định 2692/QĐ-BTP năm 2023 thì hiện tại quá trình kiểm tra, đánh giá, và quản lý rủi ro an toàn thông tin mạng tại Trung tâm dữ liệu điện tử của Bộ Tư pháp được thực hiện thông qua một loạt các hoạt động chi tiết nhằm đảm bảo tính toàn vẹn và an toàn của hệ thống thông tin. Cụ thể, các hoạt động này bao gồm:

- Kiểm tra tuân thủ pháp luật: Tiến hành kiểm tra mức độ tuân thủ các quy định của pháp luật liên quan đến bảo đảm an toàn hệ thống thông tin, tùy thuộc vào cấp độ đặt ra.

- Đánh giá hiệu quả biện pháp bảo đảm an toàn: Thực hiện đánh giá chất lượng và hiệu quả của các biện pháp đảm bảo an toàn hệ thống thông tin đã được triển khai, nhằm đảm bảo rằng chúng đáp ứng đúng mục tiêu và tiêu chí đặt ra.

- Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu: Thực hiện các đánh giá chi tiết nhằm phát hiện và đánh giá mức độ nguy cơ từ mã độc, lỗ hổng, và điểm yếu trong hệ thống thông tin.

- Thử nghiệm xâm nhập hệ thống: Tiến hành các kịch bản thử nghiệm xâm nhập để kiểm tra khả năng chống lại những tình huống tấn công có thể xảy ra và đánh giá sự mạnh mẽ của hệ thống.

- Kiểm tra và đánh giá khác theo quy định của chủ quản hệ thống: Thực hiện các hoạt động kiểm tra và đánh giá khác được quy định bởi chủ quản hệ thống thông tin, nhằm đảm bảo sự toàn diện và chi tiết trong quá trình quản lý rủi ro an toàn thông tin.

Qua các bước này, Trung tâm dữ liệu đảm bảo rằng hệ thống thông tin của Bộ Tư pháp không chỉ tuân thủ đúng pháp luật mà còn đạt được mức độ an toàn và bảo mật cao nhất.

 

2. Tần suất kiểm tra thông tin mạng tại Trung tâm dữ liệu điện tử Bộ Tư pháp

Cũng tại Điều 24 Quy chế ban hành kèm theo Quyết định 2692/QĐ-BTP năm 2023 thì hiện tại quá trình kiểm tra, đánh giá, và quản lý rủi ro an toàn thông tin mạng tại Trung tâm dữ liệu điện tử của Bộ Tư pháp được thiết lập với các tần suất khác nhau để đảm bảo sự an toàn và đồng bộ trong quản lý thông tin. Cụ thể, những giai đoạn kiểm tra và đánh giá rủi ro an toàn thông tin mạng bao gồm:

- Kiểm tra trước khi đưa vào sử dụng: Trước khi hệ thống được đưa vào sử dụng, quá trình kiểm tra được thực hiện để đảm bảo tính ổn định và an toàn từ đầu.

- Kiểm tra khi nâng cấp và thay đổi: Mỗi lần có nâng cấp hoặc thay đổi trong hệ thống hay phần mềm, quá trình kiểm tra và đánh giá được triển khai để đảm bảo tính tương thích và hiệu suất an toàn của các thay đổi này.

- Kiểm tra và đánh giá đột xuất: Theo yêu cầu của cấp có thẩm quyền hoặc khi có sự thay đổi đặc biệt trong môi trường hoặc nguy cơ, các kiểm tra và đánh giá đột xuất được thực hiện để đảm bảo sự đáp ứng linh hoạt và hiệu quả trong mọi tình huống.

- Tối ưu hóa chu kỳ kiểm tra định kỳ: Ngoài các sự kiện đặc biệt, các chu kỳ kiểm tra định kỳ được tối ưu hóa để duy trì mức độ an toàn và bảo mật liên tục, đồng thời giảm thiểu nguy cơ từ những rủi ro mới.

- Quy định tại Điều 20 Nghị định 85/2016/NĐ-CP đã đề cập đến quá trình kiểm tra và đánh giá định kỳ an toàn thông tin, cung cấp hướng dẫn chi tiết về việc chỉ đạo và tổ chức thực hiện các hoạt động này tại điểm c của khoản 2. Cụ thể, quy trình này bao gồm:

+ Kiểm tra và đánh giá tổng thể: Để đảm bảo tính toàn diện, cơ quan hoặc tổ chức sẽ thực hiện kiểm tra và đánh giá an toàn thông tin tổng thể mỗi 02 năm. Quá trình này nhằm đảm bảo rằng mọi khía cạnh của hoạt động được kiểm soát và duy trì ở mức độ an toàn cao nhất.

+ Kiểm tra hàng năm cho cấp độ 3 và cấp độ 4: Đối với các hệ thống cấp độ 3 và cấp độ 4, kiểm tra và đánh giá an toàn thông tin sẽ được thực hiện hàng năm. Điều này giúp đảm bảo rằng những hệ thống quan trọng nhất, đặc biệt là những cấp độ cao nhất, luôn được duy trì và nâng cao mức độ an toàn.

+ Chỉ đạo và tổ chức thực hiện: Quá trình kiểm tra và đánh giá được thực hiện dưới sự chỉ đạo cụ thể và tổ chức có chặt chẽ từ phía cơ quan hoặc tổ chức. Điều này đảm bảo sự đồng bộ và hiệu quả trong quá trình thực hiện, từ việc xác định phạm vi kiểm tra đến việc đánh giá rủi ro và thực hiện các biện pháp cải thiện.

+ Tối ưu hóa quá trình: Ngoài các chu kỳ kiểm tra định kỳ, cơ quan hoặc tổ chức sẽ tối ưu hóa quá trình này để đảm bảo sự linh hoạt và đáp ứng nhanh chóng với những thay đổi trong môi trường thông tin, đặc biệt là trong bối cảnh nguy cơ an toàn thông tin ngày càng phức tạp.

+ Định kỳ kiểm tra 6 tháng: Hệ thống cấp độ 5 sẽ được kiểm tra và đánh giá an toàn thông tin theo chu kỳ 6 tháng, hoặc đột xuất khi có nhu cầu hoặc theo yêu cầu, cảnh báo từ cơ quan chức năng. Quy trình này nhằm đảm bảo tính đều đặn và đáp ứng kịp thời với mọi thay đổi trong môi trường thông tin.

+ Chuyên môn và cấp phép: Đối với hệ thống từ cấp độ 3 trở lên, quy định yêu cầu việc kiểm tra, đánh giá an toàn thông tin, và đánh giá rủi ro phải được thực hiện bởi tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép. Điều này đảm bảo sự chính xác và chất lượng của quá trình đánh giá, cũng như đáp ứng đúng mức độ rủi ro đặt ra.

+ Người thực hiện: Việc thực hiện kiểm tra và đánh giá an toàn thông tin, cũng như đánh giá rủi ro an toàn thông tin, sẽ được giao cho tổ chức sự nghiệp nhà nước có chức năng và nhiệm vụ phù hợp, hoặc tổ chức chuyên môn được cấp có thẩm quyền chỉ định. Điều này giúp đảm bảo sự chuyên nghiệp và đồng bộ trong quá trình thực hiện.

Bằng cách này, Trung tâm dữ liệu của Bộ Tư pháp đảm bảo rằng quá trình kiểm tra và đánh giá rủi ro an toàn thông tin mạng là một quy trình toàn diện, linh hoạt và không ngừng, đảm bảo rằng hệ thống luôn duy trì mức độ an toàn cao nhất và đáp ứng được với những thách thức mới.

 

3. Các hình thức kiểm tra phát hiện mã độc hệ thống thông tin mạng tại Trung tâm dữ liệu điện tử Bộ Tư pháp?

Theo quy định chi tiết, quá trình kiểm tra, đánh giá và phát hiện mã độc, lỗ hổng, điểm yếu, cũng như thử nghiệm xâm nhập hệ thống thông tin mạng tại Trung tâm dữ liệu điện tử của Bộ Tư pháp được thực hiện thông qua ba hình thức đặc sắc sau đây:

- Kiểm tra, đánh giá hộp đen (Black Box): Hình thức này tập trung vào việc kiểm tra và đánh giá hệ thống thông tin mạng từ góc độ người ngoại vi, giống như quan điểm của một kẻ tấn công bên ngoài. Các chuyên gia thực hiện quá trình này mà không có sự biết biến cố nội bộ của hệ thống, nhằm đảm bảo tính khách quan và khả năng phát hiện mọi yếu điểm tiềm ẩn.

- Kiểm tra, đánh giá hộp xám (Gray Box): Hình thức này là sự kết hợp giữa "đen" và "trắng", nơi các chuyên gia có một số thông tin hạn chế về cấu trúc và hệ thống. Điều này giúp tăng cường khả năng phát hiện các lỗ hổng và điểm yếu mà không cần biết đến mọi chi tiết nội bộ của hệ thống, nhưng vẫn đảm bảo tính độc lập và sự khách quan.

- Kiểm tra, đánh giá hộp trắng (White Box): Hình thức này tập trung vào việc kiểm tra và đánh giá hệ thống thông tin mạng từ góc độ nội bộ hoàn toàn, với sự hiểu biết đầy đủ về cấu trúc, mã nguồn, và cách thức hoạt động của hệ thống. Điều này giúp xác định chính xác các lỗ hổng và mã độc có thể tồn tại bên trong hệ thống, nhằm tối ưu hóa quá trình cải thiện và bảo vệ.

Với sự đa dạng và tính chuyên sâu của ba hình thức kiểm tra này, Trung tâm dữ liệu của Bộ Tư pháp đảm bảo rằng quá trình đánh giá an toàn thông tin mạng là một quy trình toàn diện, linh hoạt, và hiệu quả.

Ngoài ra, có thể tham khảo: Nguyên tắc bảo đảm thông tin Trung tâm dữ liệu điện tử Bộ Tư pháp. Còn khúc mắc, liên hệ 1900.6162 hoặc gửi email tới: lienhe@luatminhkhue.vn để được hỗ trợ. Xin cảm ơn.