Tư vấn Cấp độ ATTT (idas-TCVN11930)
Tư vấn xây dựng hồ sơ cấp độ ATTT theo Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ ( idas-TCVN11930)
1.1. Tình hình chung về an toàn thông tin
Điểm qua các báo cáo an toàn mạng trong năm 2016, tình hình an ninh mạng được các chuyên gia phân loại theo hình kim tự tháp với 3 mục đích tấn công khác nhau:
1./. Mục đích chính trị
2./. Mục đích kinh tế
3./. Mục đích thông thường
Trong đó, phần "Chính trị" bao gồm các nguy cơ tạo ra và tài trợ bởi chính phủ các quốc gia nhằm đạt được các mục đích chính trị; các phần mềm gián điệp, mã độc được xếp vào loại vũ khí mạng. Các vũ khí này được sử dụng nhằm mục đích chống lại các cá nhân, tổ chức hay cơ quan thuộc quốc gia khác.
Phần giữa kim tự tháp bao gồm các mối nguy được tạo ra nhằm vào các doanh nghiệp, tập đoàn kinh tế. Đa số các cuộc tấn công trong trường hợp này đều là kiểu tấn công có mục tiêu, nhắm vào các thông tin bí mật kinh doanh hay sở hữu trí tuệ, hạ uy tín đối thủ.
Phần đáy của kim tự tháp, chiếm đa số các cuộc tấn công trên mạng, bao gồm mối nguy do các tin tặc tạo ra với động cơ trục lợi cho cá nhân, nhóm. Sử dụng các phần mềm gián điệp, mã độc, mạng máy tính ma (botnet).
Theo báo cáo của Symantec (Mỹ), trong năm 2016, số lượng lỗ hổng trình duyệt và bổ trợ trang web zero-day phát hiện lên đến 54, tăng 125% so với năm trước. Hay nói một cách khác, trung bình một zero-day mới được tìm thấy mỗi tuần. Với giá trị của những lỗ hổng, không có gì ngạc nhiên rằng đây sẽ là một thị trường tiềm năng để đáp ứng nhu cầu này.
Từ kết quả được đưa ra từ chương trình đánh giá tình hình an ninh mạng do Tập đoàn công nghệ Bkav thực hiện vào tháng 12/2016, 8.700 tỷ đồng là thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam trong năm 2016. Con số này vẫn ở mức cao và tiếp tục tăng so với 8.500 tỷ đồng của năm 2015.
Thống kê của Bkav cho thấy, USB vẫn là nguồn lây nhiễm virus nhiều nhất tại Việt Nam hiện nay. Có đến 83% người tham gia chương trình đánh giá của Bkav cho biết, USB của họ đã bị nhiễm virus ít nhất một lần trong năm, giảm không đáng kể so với con số 85% của năm 2015. Hơn 9,1 triệu lượt máy tính đã được ghi nhận nhiễm các loại virus lây qua USB trong năm cho thấy bức tranh rõ nét về tình trạng sử dụng USB tại Việt Nam.
W32.UsbFakeDrive vẫn là dòng virus lây nhiễm qua USB nhiều nhất do có khả năng lây lan bùng phát chỉ với thao tác mở ổ đĩa USB của người dùng. Đã đến lúc người dùng Việt Nam cần thay đổi thói quen sử dụng USB tùy tiện để bảo vệ chính mình cũng như cộng đồng mạng.
Một nửa số người tham gia chương trình đánh giá tình hình an ninh mạng của Bkav (hơn 48%) cho biết họ phải chịu đựng tin nhắn rác làm phiền mỗi ngày. Thống kê từ hệ thống giám sát an ninh mạng của Bkav cũng cho thấy, mỗi ngày có tới 13,9 triệu tin nhắn rác được phát tán tới người sử dụng tại Việt Nam, mỗi tháng lại có thêm hơn 1.000 trang giả mạo Facebook được lập ra nhằm đánh cắp tài khoản của người sử dụng. Sau đó tài khoản bị đánh cắp sẽ được sử dụng để tiếp tục phát tán mã độc hoặc để lừa đảo, phổ biến nhất là chat với bạn bè của nạn nhân lừa nạp thẻ điện thoại.
Với tình hình an ninh mạng như hiện nay, khi các cuộc tấn công mạng đã trở thành chuyện thường ngày thì ý thức của người dùng cần tiếp tục được cải thiện hơn nữa. Theo các chuyên gia của Bkav, để bảo vệ an toàn thông tin, phòng tránh nguy cơ bị truy cập trái phép vào máy tính, người dùng cần cẩn trọng khi mở các file đính kèm trong email, lưu ý khóa máy khi không trực tiếp ngồi trước máy tính và đặt mật khẩu mạnh. Tốt nhất, cần trang bị phần mềm diệt virus thường trực cho cả máy tính và điện thoại.
Những sự việc trong năm 2016 một lần nữa rung lên hồi chuông báo động về thực trạng mất đảm bảo an toàn an ninh mạng của các cơ quan, doanh nghiệp tại Việt Nam, đặc biệt trong bối cảnh thế giới luôn tiềm ẩn nguy cơ một cuộc chiến tranh mạng có thể xảy ra.
1.2. Tình hình áp dụng Hệ thống ATTT theo cấp độ
Theo thống kê chưa đầy đủ của tổ chức tiêu chuẩn hóa quốc tế (ISO), hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001 ngày càng được áp dụng nhiều hơn, tính đến năm 2017 trên thế giới có đến 27.536 đơn vị được chứng nhận, trong đó, năm 2016, có 23.005 đơn vị được chứng nhận, tăng 20% so với 2016, 03 quốc gia có số lượng chứng nhận lớn nhất là Vương quốc Anh, Ấn Độ và Romani. Trong đó, ở Việt Nam số lượng các đơn vị quan tâm và áp dụng có xu hướng biến động trong những năm gần đây: năm 2015:28 đơn vị; năm 2016: 165 đơn vị; năm 2017: 270 đơn vị.
Qua thống kê cũng cho thấy, các quốc gia rất quan tâm đến việc xây dựng hệ thống quản lý an toàn thông tin theo tiêu chuẩn quốc tế này, đăc biệt khu vực Châu Âu và khu vực Đông Á – Thái Bình Dương có số lượng áp dụng vượt trội so với các khu vực khác.
Tại Việt Nam, Luật ATTT mạng được Quốc hội thông qua vào năm 2015, chính thức có hiệu lực từ 01/7/2016. Đồng bộ với thời điểm Luật ATTT mạng có hiệu lực, nhiều văn bản hướng dẫn Luật ATTT được ban hành, trong đó có Nghị định số 85/NĐ-CP hướng dẫn thi hành Luật ATTT mạng về bảo đảm ATTT HTTT theo cấp độ. Bộ TTTT cũng đã ban hành Thông tư 03 ngày 24/4/2017 quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn HTTT theo cấp độ và có hiệu lực từ 01/7/2017. Cùng với việc ban hành Thông tư 03, Bộ TTTT và Bộ KHCN đã ban hành tiêu chuẩn TCVN 11930:2017 ngày 25/9/2017 nhằm hoàn thiện các hướng dẫn chi tiết thi hành các văn bản về ATTT theo cấp độ của các hệ thống thông tin.
1.3. Các luật định liên quan
- Luật An toàn thông tin mạng số 86/2015/QH13
- Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về đảm bảo an toàn thông tin theo cấp độ
- Thông tư 12/2022/TT-BTTTT ngày 01/10/2022 quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP
- Tiêu chuẩn TCVN 11930:2017 ngày 25/9/2017: Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ
Kế hoạch triển khai Tư vấn
01Giai đoạn 1: Khảo sát, thiết kế hệ thống thông tin theo cấp độ
02Giai đoạn 2: Tư vấn xác định phạm vi áp dụng hệ thống thông tin theo cấp độ
03Giai đoạn 3: Xây dựng hệ thống tài liệu hệ thống thông tin theo cấp độ
04Giai đoạn 4: Tư vấn tiến hành nộp hồ sơ đề xuất cấp độ để thẩm định
05Giai đoạn 5: Nhận giấy phê duyệt hồ sơ cấp độ ATTT
06Một số khách hàng idas triển khai thành công hồ sơ cấp độ ATTT ( idas - TCVN 11930)
Sơ đồ
Video giới thiệu công ty
Các trang tin liên kết
Bản tin khách hàng IDAS
Tin tức
Câu Hỏi Thường Gặp
5 cấp độ bảo đảm an toàn hệ thống thông tin
Theo Nghị định 85/2016/NĐ-CP, có 5 cấp độ bảo đảm an toàn hệ thống thông tin.
Cụ thể, hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng.
Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau: 1- Hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và có xử lý thông tin riêng, thông tin cá nhân của người sử dụng nhưng không xử lý thông tin bí mật nhà nước; 2- Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau: Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 2 trở xuống theo quy định của pháp luật; Cung cấp dịch vụ trực tuyến không thuộc danh mục dịch vụ kinh doanh có điều kiện; Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của dưới 1.000 người sử dụng; 3- Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một cơ quan, tổ chức….
Hệ thống thông tin cấp độ 5 là hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia; hoặc là hệ thống thông tin phục vụ lưu trữ dữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọng của quốc gia; hoặc là hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế…
Nghị định quy định cụ thể trách nhiệm bảo đảm an toàn hệ thống thông tin. Theo đó, người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin có trách nhiệm trực tiếp chỉ đạo và phụ trách công tác bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức mình. Trong trường hợp chưa có đơn vị chuyên trách về an toàn thông tin độc lập, người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin có trách nhiệm chỉ định đơn vị chuyên trách về công nghệ thông tin làm nhiệm vụ chuyên trách về an toàn thông tin; thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin trực thuộc đơn vị chuyên trách về công nghệ thông tin.
Chủ quản hệ thống thông tin có trách nhiệm chỉ đạo, tổ chức thực hiện phương án bảo đảm an toàn hệ thống thông tin theo cấp độ đối với hệ thống thông tin thuộc phạm vi mình quản lý.
Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin có trách nhiệm tham mưu, tổ chức thực thi, đôn đốc, kiểm tra, giám sát công tác bảo đảm an toàn thông tin.
Căn cứ vào Điều 9 Thông tư 12/2022/TT-BTTTT quy định như sau:
Yêu cầu chung
1. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ thực hiện theo yêu cầu cơ bản quy định tại Thông tư này và Tiêu chuẩn quốc gia TCVN 11930-2017 về Công nghệ thông tin - các kỹ thuật an toàn - yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.
2. Yêu cầu cơ bản đối với từng cấp độ quy định tại Thông tư này là các yêu cầu tối thiểu để bảo đảm an toàn hệ thống thông tin, bao gồm yêu cầu cơ bản về quản lý, yêu cầu cơ bản về kỹ thuật và không bao gồm các yêu cầu bảo đảm an toàn vật lý.
3. Yêu cầu cơ bản về quản lý, bao gồm:
a) Thiết lập chính sách an toàn thông tin;
b) Tổ chức bảo đảm an toàn thông tin;
c) Bảo đảm nguồn nhân lực;
d) Quản lý thiết kế, xây dựng hệ thống;
đ) Quản lý vận hành hệ thống:
e) Phương án Quản lý rủi ro an toàn thông tin;
g) Phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông tin.
4. Yêu cầu cơ bản về kỹ thuật, bao gồm:
a) Bảo đảm an toàn mạng,
b) Bảo đảm an toàn máy chủ;
c) Bảo đảm an toàn ứng dụng
d) Bảo đảm an toàn dữ liệu.
5. Việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định 85/2016/NĐ-CP, cụ thể như sau:
a) Đối với hệ thống thông tin cấp độ 1, 2, 3: Phương án bảo đảm an toàn thông tin phải xem xét khả năng dùng chung giữa các hệ thống thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí;
b) Đối với hệ thống thông tin cấp độ 4, 5: Phương án bảo đảm an toàn thông tin cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan tới hệ thống bị mất an toàn thông tin.
6. Hệ thống thông tin khi được đầu tư xây dựng mới hoặc mở rộng, nâng cấp phải triển khai đầy đủ phương án bảo đảm an toàn thông tin đã được phê duyệt tại Hồ sơ đề xuất cấp độ và đáp ứng các yêu cầu an toàn tại Điều 9 và Điều 10 Thông tư này trước khi đưa vào vận hành, khai thác.
7. Quy chế bảo đảm an toàn hệ thống thông tin cho hệ thống phải được xây dựng, đáp ứng các yêu cầu an toàn về quản lý theo cấp độ an toàn hệ thống thông tin tương ứng và được cấp có thẩm quyền phê duyệt, ban hành trước khi Hồ sơ đề xuất cấp độ được phê duyệt.
8. Yêu cầu bảo đảm an toàn thông tin đối với phần mềm nội bộ khi xây dựng mới hoặc mở rộng, nâng cấp:
a) Phần mềm nội bộ được xây dựng mới hoặc mở rộng, nâng cấp phải tuân thủ Khung phát triển phần mềm an toàn;
b) Đáp ứng yêu cầu an toàn cơ bản đối với Phần mềm nội bộ.
9. Trường hợp hệ thống thông tin cấp độ 3 được triển khai dưới hình thức thuê dịch vụ công nghệ thông tin tại Trung tâm dữ liệu hoặc điện toán đám mây, thiết kế hệ thống phải đáp ứng các yêu cầu sau:
a) Phải được thiết kế tách riêng, độc lập với các hệ thống khác về lô-gic và có biện pháp quản lý truy cập giữa các hệ thống:
b) Các vùng mạng trong hệ thống phải được thiết kế tách riêng, độc lập với nhau về lô-gic và có biện pháp quản lý truy cập giữa các vùng mạng
c) Có phân vùng lưu trữ được phân tách độc lập về lô-gic.
10, Trường hợp hệ thống thông tin cấp độ 4 hoặc cấp độ 5 được triển khai dưới hình thức thuê dịch vụ công nghệ thông tin tại Trung tâm dữ liệu hoặc Điện toán đám mây, thiết kế hệ thống phải đáp ứng các yêu cầu sau:
a) Phải được thiết kế tách riêng, độc lập với các hệ thống khác về vật lý và có biện pháp quản lý truy cập giữa các hệ thống
b) Các vùng mạng trong hệ thống phải được thiết kế tách riêng, độc lập với nhau về lô-gic và có biện pháp quản lý truy cập giữa các vùng mạng
c) Có phân vùng lưu trữ được phân tách độc lập về vật lý;
d) Các thiết bị mạng chính phải được phân tách độc lập về vật lý.
Theo đó, việc bảo đảm an toàn hệ thống thông tin theo cấp độ được thực hiện theo những yêu cầu chung như trên.
Cấp độ an toàn HTTT được phân loại tăng dần từ cấp độ 1 đến cấp độ 5 để áp dụng biện pháp quản lý và ký thuật nhằm bảo vệ HTTT phù theo cấp độ theo các tiêu chí
Cấp độ 1: Xử lý thông tin công cộng và phục vụ hoạt động nội bộ
Cấp độ 2: Xử lý thông tin riêng, cá nhân; Hệ thống cung cấp DVCTT cấp <= 2; không thuộc DMDV kinh doanh có ĐK; xử lý thông riêng,cn < 10.000 người sử dụng; cơ sở hạ tầng thông tin phục vụ hoạt động của một CQTC
Cấp độ 3: Xử lý thông tin bí mật nhà nước, làm tổn hại tới quốc phòng, an ninh; Hệ thống cung cấp DVCTT cấp >= 3; thuộc DMDV kinh doanh có ĐK; xử lý thông riêng,cn>=10.000 người sử dụng; cơ sở hạ tầng phục vụ hoạt động của một ngành, một tỉnh, một số tỉnh
Cấp độ 4: Xử lý thông tin bí mật nhà nước, làm tổn hại nghiêm trọng quốc phòng, an ninh; Hệ thống TT phục vụ PT CPĐT yêu cầu vận hành 24/7; cơ sở hạ tầng phục vụ hoạt động của CQTC trên toàn quốc; Hệ thống điều khiển công nghiệp của các công trình xây dựng cấp I theo phân cấp của pháp luật về xây dựng.
Cấp độ 5: Xử lý thông tin bí mật nhà nước, làm tổn hại đặc biệt nghiêm trọng quốc phòng, an ninh; Hệ thống lưu trữ tập trung dữ liệu QTQG, cơ sở hạ tầng kết nối liên thông VN và quốc tế; Hệ thống điều khiển công nghiệp của các công trình xây dựng cấp đặc biệt theo phân cấp của pháp luật về xây dựng.
Xây dựng Hệ thống tài liệu thông tin theo cấp độ bao gồm: Thuyết minh hồ sơ cấp độ; Thuyết minh tổng quan hệ thống thông tin; Thuyết minh đề xuất cấp độ; Thuyết minh phương án bảo đảm An toàn thông tin ….. Giai đọan này cần có sự hợp tác chặt chẽ của hai bên. Tư vấn sẽ tiến hành đào tạo cách thức viết văn bản thống nhất trong toàn Đơn vị. Để từ đó Tư vấn và Đơn vị thống nhất về Hệ thống văn bản của Đơn vị. Phía Đơn vị sẽ bổ sung làm cho bộ khung trở nên chi tiết, hoàn chỉnh, dễ áp dụng đối với đặc điểm sản xuất, kinh doanh và đặc điểm về nhân sự của mình. Tại giai đọan này Hệ thống tài liệu thông tin theo cấp độ sẽ được ban hành tới tất cả các bộ phận liên quan và được phê duyệt.
Bộ Thông tin và Truyền thông đã ban hành Thông tư quy định chi tiết, hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 1/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Theo đó, thông tư 12/2022/TT-BTTTT quy định chi tiết, hướng dẫn bảo đảm an toàn hệ thống thông tin theo cấp độ, bao gồm: xác định hệ thống thông tin và thuyết minh cấp độ an toàn hệ thống thông tin; yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ; kiểm tra, đánh giá an toàn thông tin; chế độ báo cáo.
Đối tượng áp dụng Thông tư này được thực hiện theo quy định tại Điều 2 Nghị định số 85/2016/NĐ-CP ngày 1/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Thông tư quy định đối với các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các tỉnh, thành phố trực thuộc Trung ương, chủ quản hệ thống thông tin là một trong các trường hợp sau: Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ; UBND các tỉnh, thành phố trực thuộc Trung ương; cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.
Đối với yêu cầu bảo đảm an toàn hệ thống thông tin thực hiện theo yêu cầu cơ bản quy định tại Thông tư này và Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - các kỹ thuật an toàn - yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.
Yêu cầu cơ bản đối với từng cấp độ quy định tại Thông tư này là các yêu cầu tối thiểu để bảo đảm an toàn hệ thống thông tin, bao gồm yêu cầu cơ bản về quản lý, yêu cầu cơ bản về kỹ thuật và không bao gồm các yêu cầu bảo đảm an toàn vật lý.
Việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định 85/2016/NĐ-CP.
Cụ thể, đối với hệ thống thông tin cấp độ 1, 2, 3: Phương án bảo đảm an toàn thông tin phải xem xét khả năng dùng chung giữa các hệ thống thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí.
Đối với hệ thống thông tin cấp độ 4, 5: Phương án bảo đảm an toàn thông tin cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan tới hệ thống bị mất an toàn thông tin.
Quy chế bảo đảm an toàn hệ thống thông tin cho hệ thống phải được xây dựng, đáp ứng các yêu cầu an toàn về quản lý theo cấp độ an toàn hệ thống thông tin tương ứng và được cấp có thẩm quyền phê duyệt, ban hành trước khi Hồ sơ đề xuất cấp độ được phê duyệt.
Đồng thời, Thông tư cũng quy định rõ về hoạt động kiểm tra, đánh giá; chế độ báo cáo đối với việc bảo đảm an toàn hệ thống thông tin theo cấp độ...
Thông tư có hiệu lực từ ngày 1/10/2022, thay thế Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 1/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ. Trong quá trình thực hiện Thông tư này, nếu có vướng mắc, các cơ quan, đơn vị liên hệ với Bộ Thông tin và Truyền thông để phối hợp giải quyết.
Đối tác của IDAS
- Tải ứng dụng trên
-
![]()
-
![]()
