idas triển khai gói thầu tư vấn xây dựng hồ sơ cấp độ ATTT theo TCVN 11930:2017 tại Công ty truyền tải điện 4 - Tổng Công ty truyền tải điện Quốc gia (EVNNPT)

idas triển khai gói thầu tư vấn xây dựng hồ sơ cấp độ ATTT theo TCVN 11930:2017 tại Công ty truyền tải điện 4 - Tổng Công ty truyền tải điện Quốc gia (EVNNPT) cho  Gói thầu: Tư vấn xây dựng, cập nhật hồ sơ cấp độ an toàn thông tin đối với các hệ thống thông tin tự động hóa trạm biến áp đang trong giai đoạn vận hành tại PTC4

Công ty truyền tải điện 4 - Tổng Công ty truyền tải điện Quốc gia (EVNNPT)

A. Nhiệm vụ và phạm vi thực hiện:
1. Nhiệm vụ:
- Thuê dịch vụ tư vấn xây dựng hồ sơ cấp độ ATTT đối với 42 HTTT TĐH TBA 220kV, 02 HTTT TĐH TBA 500kV và 01 HTTT SIEM OT  đang vận hành với các nội dung công việc:

• Khảo sát cấp độ an toàn thông tin các hệ thống tự động hóa TBA đang trong giai đoạn vận hành, hệ thống thu thập và phân tích log TBA (SIEM OT) so với yêu cầu hệ thống thông tin cấp độ theo nghị định số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ, Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông  tin và Truyền thông về việc hướng dẫn Nghị định 85/2016/NĐ CP về bảo đảm an toàn hệ thống thông tin theo cấp độ và hướng  dẫn chi tiết tại tiêu chuẩn quốc gia TCVN 11930:2017; Nghị định 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ về việc Quy định chi tiết một số điều của Luật An ninh mạng, Quyết định số 168/QĐ-EVN ngày 23/02/2023 của EVN về việc phê duyệt Đề án "Đảm bảo an toàn thông tin cho hệ thống thông tin của Tập đoàn Điện lực quốc gia Việt Nam giai đoạn 2023 – 2028”;
• Xây dựng các hồ sơ cấp độ an toàn thông tin của hệ thống tự động hóa TBA 220kV, TBA 500kV và SIEM OT đang trong giai đoạn vận hành đủ điều kiện để trình các cơ quan có thẩm quyền thẩm định, phê duyệt hồ sơ cấp độ, phê duyệt phương án đảm bảo ATTT;
• Căn cứ vào cấp độ của hệ thống thông tin Tư vấn đề xuất bổ sung trang thiết bị, giải pháp, quy trình, yêu cầu về quản lý đối với các hệ thống thông tin tự động hóa TBA, SIEM OT đang trong giai đoạn vận hành, xây dựng phương án bảo vệ phù hợp để có thể đáp ứng được tiêu chuẩn an toàn thông tin đối với cấp độ ATTT được đề xuất, và thực hiện hoàn thiện hồ sơ đề xuất cấp độ theo quy định.

2. Phạm vi thực hiện:

• Số lượng hệ thống thông tin tự động hoá Trạm biến áp 500kV, 220kV: gồm 02 TBA 500kV, 42 TBA 220kV, 01 SIEM OT.
• Hệ thống tự động hoá TBA 500kV Long Thành
• Hệ thống tự động hoá TBA 500kV Long Phú
• Hệ thống tự động hoá TBA 220kV Xuân Lộc
• Hệ thống tự động hoá TBA 220kV Nhơn Trạch
• Hệ thống tự động hoá TBA 220kV Tân Thành
• Hệ thống tự động hoá TBA 220kV Mỹ Xuân
• Hệ thống tự động hoá TBA 220kV Vũng Tàu
• Hệ thống tự động hoá TBA 220kV Châu Đức
• Hệ thống tự động hoá TBA 220kV An Phước
• Hệ thống tự động hoá TBA 220kV Bình Long
• Hệ thống tự động hoá TBA 220kV Thuận An
• Hệ thống tự động hoá TBA 220kV Mỹ Phước
• Hệ thống tự động hoá TBA 220kV Trảng Bàng
• Hệ thống tự động hoá TBA 220kV Tây Ninh
• Hệ thống tự động hoá TBA 220kV Uyên Hưng
• Hệ thống tự động hoá TBA 220kV Bến Cát
• Hệ thống tự động hoá TBA 220kV Tây Ninh 2
• Hệ thống tự động hoá TBA 220kV Bạc Liêu
• Hệ thống tự động hoá TBA 220kV Thốt Nốt
• Hệ thống tự động hoá TBA 220kV Trà Nóc
• Hệ thống tự động hoá TBA 220kV Sóc Trăng
• Hệ thống tự động hoá TBA 220kV Cần Thơ
• Hệ thống tự động hoá TBA 220kV Ô Môn
• Hệ thống tự động hoá TBA 220kV Giá Rai
• Hệ thống tự động hoá TBA 220kV Châu Thành
• Hệ thống tự động hoá TBA 220kV Bến Tre
• Hệ thống tự động hoá TBA 220kV Cai Lậy
• Hệ thống tự động hoá TBA 220kV Cao Lãnh
• Hệ thống tự động hoá TBA 220kV Mỹ Tho
• Hệ thống tự động hoá TBA 220kV Vĩnh Long
• Hệ thống tự động hoá TBA 220kV Trà Vinh
• Hệ thống tự động hoá TBA 220kV Mỏ Cày
• Hệ thống tự động hoá TBA 220kV Sa Đéc
• Hệ thống tự động hoá TBA 220kV Châu Đốc
• Hệ thống tự động hoá TBA 220kV Cà Mau
• Hệ thống tự động hoá TBA 220kV Kiên Bình
• Hệ thống tự động hoá TBA 220kV Long Xuyên
• Hệ thống tự động hoá TBA 220kV Long An
• Hệ thống tự động hoá TBA 220kV Tao Đàn
• Hệ thống tự động hoá TBA 220kV Bình Chánh
• Hệ thống tự động hoá TBA 220kV Đức Hòa
• Hệ thống tự động hoá TBA 220kV Cần Đước
• Hệ thống tự động hoá TBA 220kV Bến Lức
• Hệ thống tự động hoá TBA 220kV Thủ Đức
• Hệ thống thu thập và phân tích log TBA (SIEM OT).

- Xây dựng đề cương khảo sát cho các trạm 220kV, 500kV và hệ thống thông tin SIEM OT.
- Khảo sát trực tiếp tại các TBA (đi đến tận nơi để khảo sát): 

1. 220kV Nhơn Trạch (Nari/PCS9700)
2. 220kV Thuận An (Alstom/ DS Agile)
3. 220kV Bình Chánh (Simens/SicamPas)
4. 220kV Uyên Hưng (Toshiba/GCS1000)
5. 220kV Châu Thành (GE/Powerlink conect)
6. 500kV Long Thành (ATS)
7. Hệ thống thu thập và phân tích log các TBA (SIEM OT)

- Khảo sát gián tiếp tại 38 TBA còn lại (thu thập thông tin từ xa. Lưu ý thông tin trao đổi trong dự án này được thực hiện theo hình thức bảo mật)
- Xây dựng hồ sơ cấp độ ATTT cho 02 TBA 500kV, 42 TBA 220kV, 01 SIEM OT.
- Trình bộ Công An và bộ Thông tin Truyền thông thẩm định hồ sơ cấp độ cho 02 TBA 500kV, 42 TBA 220kV, 01 SIEM OT.

Chuyên gia idas triển khai công việc khảo sát hệ thống tại Công ty truyền tải điện 4 - Tổng Công ty truyền tải điện Quốc gia (EVNNPT)

Chuyên gia idas triển khai công việc khảo sát hệ thống tại Công ty truyền tải điện 4 - Tổng Công ty truyền tải điện Quốc gia (EVNNPT)

Chuyên gia idas triển khai công việc khảo sát hệ thống tại Công ty truyền tải điện 4 - Tổng Công ty truyền tải điện Quốc gia (EVNNPT)

B. Nhiệm vụ khảo sát
1. Mục đích khảo sát:
- Khảo sát đánh giá hiện trạng cơ sở hạ tầng kỹ thuật của các hệ thống tự động hóa tại các trạm biến áp đang hoạt động để đề xuất cấp độ an toàn thông tin bảo đảm theo đúng tính chất yêu cầu đối với hệ thống thông tin có tính chất quan trọng, ảnh hưởng đến quốc phòng, an ninh quốc gia cũng như đối với hoạt động sản xuất của cơ quan, tổ chức, doanh nghiệp cũng như sinh hoạt hàng ngày của nhân dân.

- Khảo sát, thu thập thông tin, dữ liệu về hạ tầng kỹ thuật, trang thiết bị, hệ thống tự động hóa… thực tế tại các trạm biến áp đang hoạt động cũng như các yếu tố về nhân sự, cơ chế chính sách… đối với việc quản lý, vận hành, giám sát tại trạm biến áp để so sánh, đối chiếu với yêu cầu đảm bảo an toàn an ninh thông tin theo cấp độ phù hợp với nghị định số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ, Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thôngtin và Truyền thông về việc hướng dẫn Nghị định 85/2016/NĐ CP về bảo đảm an toàn hệ thống thông tin theo cấp độ và hướngdẫn chi tiết tại tiêu chuẩn quốc gia TCVN 11930:2017; phù hợp với Nghị định 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủvề việc Quy định chi tiết một số điều của Luật An ninh mạng, và phù hợp với Quyết định số 168/QĐ-EVN ngày 23/02/2023 của EVN về việc phê duyệt Đề án "Đảm bảo an toàn thông tin cho hệ thống thông tin của Tập đoàn Điện lực quốc gia Việt Nam giai đoạn 2023 – 2028”, từ đó đề xuất giải pháp, phương án nhằm bảo đảm an toàn an ninh thông tin cho các hệ thống thông tin. Trong mục đề xuất phương án đảm bảo ATTT, nhà thầu phải nêu chi tiết về cấu hình trên thiết bị hoặc phần mềm để vừa đảm bảo ATTT theo đúng các tiêu chuẩn, quy chuẩn kỹ thuật áp dụng (mục 1.3) vừa đảm bảo phù hợp với đặc thù của mỗi hệ thống thông tin tự động hóa TBA và hệ thống SIEM OT.

2. Nội dung công tác khảo sát. 
Việc khảo sát được thực hiện tại 42 TBA 220kV, 02 TBA 500kV và PTC4 (SIEM OT). Áp dụng phương pháp khảo sát trực tiếp và khảo sát gián tiếp thông qua mẫu phiếu khảo sát. Trong quá trình khảo sát, đơn vị tư vấn có tham khảo và nghiên cứu các hồ sơ hiện trạng tại các TBA, hồ sơ hoàn công dự án, công trình nếu có. Nội dung công việc tiến hành bao gồm các nội dung cơ bản sau:

Khảo sát tại Công ty truyền tải điện 4:
Khảo sát về mặt kỹ thuật: Hạ tầng kỹ thuật; hệ thống kiểm soát ra vào; hệ thống phòng cháy chữa cháy; truyền dẫn; thiết bị mạng; thiết bị an ninh bảo mật; máy chủ; thiết bị lưu trữ; thiết bị đầu cuối; phương án, giải pháp bảo đảm an toàn thông tin, bảo mật, phòng chống tấn công, ngăn chặn thâm nhập trái phép; phương án, giải pháp quản lý vận hành, giám sát; phương án, giải pháp về lưu trữ dữ liệu, sao lưu, phục hồi khi có sự cố; mối quan hệ giữa các hệ thống điều khiển, OT, IT.
Khảo sát hệ thống tự động hóa và mối liên hệ giữa các hệ thống IT, OT; tính sẵn sàng cao của hệ thống…
Khảo sát hệ thống thu thập và phân tích log các TBA (SIEM OT);
Khảo sát về cơ chế chính sách, quy định: chính sách, quy định về thiết kế, tổ chức, quản lý, vận hành các hệ thống điều khiển, OT, IT; chính sách, quy định về thiết kế, tổ chức, quản lý, vận hành sản xuất, nghiệp vụ; chính sách, quy định về kiểm tra, đánh giá, kiểm soát chất lượng.
Khảo sát về nhân sự: bố trí, tổ chức nhân sự, trình độ chuyên môn; nhân sự quản trị hệ thống, quản lý vận hành, chuyên trách về CNTT, chuyên trách về điện…; nhân sự hỗ trợ, vận hành đối với các hệ thống ứng dụng; nhân sự kiểm tra, kiểm soát chất lượng, đánh giá rủi ro.
Khảo sát tại các trạm biến áp 220kV và 500kV:
Khảo sát về mặt kỹ thuật tại tại trạm biến áp (các nhà BAY, nhà điều hành): Hạ tầng kỹ thuật, tường rào, camera an ninh, giám sát nhiệt…; hệ thống kiểm soát ra vào; hệ thống phòng cháy chữa cháy; truyền dẫn; thiết bị mạng; thiết bị an ninh bảo mật; máy chủ; thiết bị lưu trữ; thiết bị đầu cuối; phương án, giải pháp bảo đảm an toàn thông tin, bảo mật, phòng chống tấn công, ngăn chặn xâm nhập trái phép; phương án, giải pháp quản lý vận hành, giám sát; hệ thống điều khiển, hệ thống IT, hệ thống OT; phương án, giải pháp về lưu trữ dữ liệu, sao lưu, phục hồi khi có sự cố; mối quan hệ giữa các hệ thống điều khiển, OT, IT.
Khảo sát hệ thống tự động hóa được sử dụng trong công việc vận hành, quản lý, giám sát sự hoạt động của trạm biến áp (như ATS/@Station, NARI/PCS9700, GE/Powerlink conect, Alstom/ DS Agile, SIEMENS/SicamPAS, TOSHIBA/GSC1000,...). Khảo sát mối liên hệ giữa các hệ thống IT, OT, điều khiển tự động; tính sẵn sàng cao của hệ thống…
Khảo sát về nhân sự quản lý, vận hành tại trạm biến áp: bố trí, tổ chức nhân sự, trình độ chuyên môn; nhân sự quản trị hệ thống, quản lý vận hành, chuyên trách về CNTT, chuyên trách về điện…; nhân sự hỗ trợ, vận hành đối với các hệ thống ứng dụng; nhân sự kiểm tra, kiểm soát chất lượng, đánh giá rủi ro.
Khảo sát về cơ chế chính sách, quy định tại trạm biến áp: chính sách, quy định về thiết kế, tổ chức, quản lý, vận hành các hệ thống điều khiển, OT, IT; chính sách, quy định về thiết kế, tổ chức, quản lý, vận hành sản xuất, nghiệp vụ; chính sách, quy định về kiểm tra, đánh giá, kiểm soát chất lượng.
Khảo sát, thu thập thông tin về các thành phần, yêu cầu kỹ thuật, công nghệ đối với việc quản lý, vận hành, giám sát tại trạm biến áp.

3. Tiêu chuẩn, quy chuẩn kỹ thuật áp dụng:
Nghị định số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ;
Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông  tin và Truyền thông về việc hướng dẫn Nghị định 85/2016/NĐ CP về bảo đảm an toàn hệ thống thông tin theo cấp độ và hướng  dẫn chi tiết tại tiêu chuẩn quốc gia TCVN 11930:2017;
Nghị định 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ  về việc Quy định chi tiết một số điều của Luật An ninh mạng;
Quyết định số 168/QĐ-EVN ngày 23/02/2023 của EVN về việc phê duyệt Đề án "Đảm bảo an toàn thông tin cho hệ thống thông tin của Tập đoàn Điện lực quốc gia Việt Nam giai đoạn 2023 – 2028”;
Các tiêu chuẩn kỹ thuật khác có liên quan.
Xây dựng hồ sơ cấp độ: Hồ sơ đề xuất cấp độ phải tuân thủ theo các quy định của Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông  tin và Truyền thông về việc hướng dẫn Nghị định 85/2016/NĐ CP về bảo đảm an toàn hệ thống thông tin theo cấp độ và hướng  dẫn chi tiết tại tiêu chuẩn quốc gia TCVN 11930:2017; phù hợp với Nghị định 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ  về việc Quy định chi tiết một số điều của Luật An ninh mạng, và phù hợp với Quyết định số 168/QĐ-EVN ngày 23/02/2023 của EVN về việc phê duyệt Đề án "Đảm bảo an toàn thông tin cho hệ thống thông tin của Tập đoàn Điện lực quốc gia Việt Nam giai đoạn 2023 – 2028”.
Trình thẩm định: Hồ sơ đề xuất cấp độ an toàn thông tin cho hệ thống thông tin của 42 TBA 220kV, 02 TBA 500kV và 01 SIEM OT đã được các cấp có thẩm quyền ký thẩm định.
Kết quả đầu ra của dịch vụ.
Phiếu khảo sát tại 42 TBA 220kV.
Phiếu khảo sát tại 02 TBA 500kV.
Phiếu khảo sát hệ thống thông tin SIEM OT tại PTC4 và các TBA.
Báo cáo khảo sát tại 42 TBA 220kV, 02 TBA 500kV và 01 SIEM OT.
Hồ sơ đề xuất cấp độ an toàn thông tin cho hệ thống thông tin của 42 TBA 220kV, 02 TBA 500kV và 01 SIEM OT đã được các cấp có thẩm quyền ký thẩm định.