I. Mục tiêu xây dựng hồ sơ cấp độ an toàn thông tin
Với mục tiêu: Thực hiện đúng các phần công việc trong hợp đồng ký kết và xây dựng hồ sơ cấp độ ATTT nhằm đáp ứng các quy định của các cơ quan quản lý nhà nước tại Nghị định số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ, Thông tư 03/2017/TT-BTTTT ngày 24/04/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Ngoài ra việc khảo sát này nhằm xây dựng hồ sơ cấp độ ATTT đáp ứng Tiêu chuẩn TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ quy định.
- Xác định hồ sơ cấp độ an toàn thông tin
Nguyên tắc xác định Hệ thống thông tin để xác định cấp độ căn cứ trên nguyên tắc như sau: hệ thống thông tin chỉ có một chủ quản hệ thống thông tin; Hệ thống có thể hoạt động đọc lập, được thiết lập nhằm trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất kính doanh và điều hành sản xuất. Trên cơ sở đó hệ thống thông tin của Công ty bao gồm các hồ sơ cấp đô như sau:
• Đối với HTTT Cấp độ 4: Gồm 03 hồ sơ cụ thể như sau:
- Hệ thống điều khiển phân tán Yaly
- Hệ thống điều khiển phân tán Sê San 3
- Hệ thống điều khiển phân tán Pleikrong
Dưới đây là một số hoạt động idas triển khai tại nhà máy và các hạng mục, giai đoạn idas triển khai
1. Hệ thống DCS nhà máy thủy điện Pleikrông.
Hệ thống điều khiển nhà máy thủy điện Pleikrông là hệ thống IndustrialIT 800xA – Control and I/O System Version 5.0 SP1 AC 800M của hãng ABB gồm các thành phần chính như sau:
- 01 đồng hồ vệ tinh;
- 03 trạm vận hành (Operator Station);
- 01 máy tính dành cho kỹ sư (Engineer Station);
- 01 máy tính gateway truyền dữ liệu SCADA đến A0, A3;
- 02 máy chủ;
- 01 máy historian;
- Hệ thống cáp quang, cáp mạng, các switch để đấu nối hình thành các hệ thống mạng của hệ thống điều khiển;
- Các bộ controller điều khiển tổ máy, đập tràn, cửa nhận nước, thiết bị phụ, ...
2. Hệ thống DCS nhà máy thủy điện Ialy.
Hệ thống điều khiển nhà máy thủy điện Ialy là hệ thống điều khiển của ABB version 800xA Base 6.0.3 gồm các thành phần chính như sau:
- 01 đồng hồ vệ tinh;
- 02 trạm vận hành (Operator Station);
- 02 máy tính dành cho kỹ sư (Engineer Station);
- 01 máy tính gateway truyền dữ liệu SCADA đến A0, A3;
- 02 máy chủ;
- Hệ thống cáp quang, cáp mạng, các switch để đấu nối hình thành hệ thống mạng của hệ thống điều khiển;
- Các bộ controller điều khiển tổ máy, đập tràn, cửa nhận nước, điện tự dùng, thiết bị phụ, trạm chuyển tiếp, thông gió, ...
3. Hệ thống DCS nhà máy thủy điện Sê San 3.
Hệ thống điều khiển nhà máy thủy điện Ialy là hệ thống điều khiển của ABB Symphony Plus gồm các thành phần chính như sau:
- 01 đồng hồ vệ tinh;
- 03 trạm vận hành (Operator Station);
- 02 máy chủ;
- 02 máy tính dành cho kỹ sư (Engineer Station);
- 02 RTU truyền dữ liệu SCADA đến A0, A3;
- Hệ thống cáp quang, cáp mạng, các switch để đấu nối hình thành hệ thống mạng của hệ thống điều khiển;
- Các bộ controller điều khiển tổ máy, đập tràn, cửa nhận nước, thiết bị phụ, ...
Quá trình idas triển khai cho 03 nhà máy Sê San; Pleikrông; Ialy của Công ty Thủy điện IALY nhằm đáp ứng được các yêu cầu về ATTT theo cấp độ như sau
- Luật An toàn thông tin mạng số 86/2015/QH13
- Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về đảm bảo an toàn thông tin theo cấp độ
- Thông tư số 12/2022/TT-BTTTT của Bộ Thông tin và Truyền thông: Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ
- Tiêu chuẩn TCVN 11930:2017 ngày 25/9/2017: Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ
Do vậy idas triển khai bao gồm 05 giai đoạn như sau
Giai đoạn 1: - Khảo sát, thiết kế hệ thống thông tin theo cấp độ
• Hướng dẫn xác định hệ thống thông tin cụ thể; xác định cấp độ căn cứ trên nguyên tắc quy định tại khoản 1 Điều 5 Nghị định số 85/2016/NĐ-CP
• Xác định phạm vi áp dụng hệ thống thông tin theo cấp độ (Xác định lại phạm vi nào cần làm và phạm vi này theo cấp độ nào?)
• Khảo sát: Về trang bị các thiết bị đảm bảo kinh doanh liên tục
• Khảo sát : hoạt động thiết bị an ninh, tính liên tục vận hành của các thiết bị, dữ liệu của hệ thống
• Khảo sát: Hệ thống mạng máy tính, bảo vệ cáp truyền dẫn, các hệ thống truyền tín hiệu, dữ liệu
• Khảo sát: Hệ thống công nghệ thông tin phục vụ công tác vận hành và giám sát nhằm đảm bảo tính liên tục
• Khảo sát: Hệ thống điều khiển, tự động hóa … phần mềm chuyên dùng và các hệ thống phân quyền, hệ thống cấp quyền truy cập từ nội bộ và bên ngoài
• Khảo sát: các công cụ phát triển; dữ liệu, kiến trúc ứng dụng của các hệ thống CNTT & VT
• Khảo sát: các giải pháp đảm bảo ATTT hiện có của chủ đầu tư đang thực hiện
• Khảo sát cơ cấu tổ chức quản lý của Chủ đầu tư về phương diện an toàn thông tin, làm rõ các đơn vị vận hành, chuyên trách, chủ quản hệ thống
• Khảo sát các hệ thống thông tin của Chủ đầu tư
• Lập báo cáo kết quả khảo sát, đánh giá thực trạng về công tác quản lý và kỹ thuật
Giai đoạn 2: Xây dựng hệ thống tài liệu hệ thống thông tin theo cấp độ
• Lập, xây dựng hồ sơ ATTT các hệ thống: Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin theo cấp độ
• Lập, xây dựng hồ sơ ATTT các hệ thống: Tài liệu mô tả, thuyết minh lập hồ sơ quản lý hệ thống
• Lập hồ sơ đảm bảo về yêu cầu chính sách, quản lý hệ thống theo cấp độ (Thiết lập chính sách ATTT)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Đảm bảo yêu cầu về tổ chức đảm bảo ATTT)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Đảm bảo yêu cầu quản lý nguồn nhân lực ATTT)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Quản lý thiết kế, xây dựng hệ thống)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Quản lý vận hành hệ thống)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Quản lý vận hành hệ thống/ Quản lý an toàn mạng)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Quản lý vận hành hệ thống/ Quản lý an toàn máy chủ và ứng dụng)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Quản lý vận hành hệ thống/ Quản lý an toàn dữ liệu)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Quản lý vận hành hệ thống/ Quản lý an toàn thiết bị đầu cuối)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Quản lý vận hành hệ thống/ Quản lý phòng chống phần mềm độc hại)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Quản lý vận hành hệ thống/ Quản lý giám sát an toàn hệ thống thông tin)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Quản lý vận hành hệ thống/ Quản lý điểm yếu an toàn thông tin)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Quản lý vận hành hệ thống/ Quản lý sự cố an toàn thông tin)
• Lập hồ sơ yêu cầu quản lý hệ thống theo cấp độ (Quản lý vận hành hệ thống/ Quản lý người sử dụng đầu cuối)
• Lập, xây dựng hồ sơ ATTT các hệ thống: Tài liệu thiết kế: (Thiết kế sơ bộ/Thiết kế thi công) - Yêu cầu kỹ thuật hệ thống
• Lập hồ thiết kế (Sơ bộ/ thi công): Đảm bảo yêu cầu an toàn mạng
• Lập hồ thiết kế (Sơ bộ/ thi công): Đảm bảo yêu cầu an toàn máy chủ
• Lập hồ thiết kế (Sơ bộ/ thi công): Đảm bảo yêu cầu an toàn ứng dụng
• Lập, xây dựng tài liệu thiết kế hệ thống nhằm đảm bảo các yêu cầu: Bảo đảm an toàn dữ liệu
• Lập, xây dựng hồ sơ cấp độ ATTT các hệ thống: Tài liệu thuyết minh về việc đề xuất cấp độ (Mô tả tổng quan về hệ thống thông tin; Thuyết minh đề xuất cấp độ)
• Lập, xây dựng hồ sơ cấp độ ATTT các hệ thống: Tài liệu thuyết minh phương án bảo đảm an toàn thông tin
Giai đoạn 3: Lấy ý kiến đánh giá của các chuyên gia thẩm định lần 01
• Chuẩn bị các hồ sơ văn bản thẩm định (văn bản đề nghị; đề nghị phê duyệt; văn bản gửi đơn vị chủ thể về CNTT/ATTT
• Chuẩn bị các hồ sơ văn bản thẩm định (văn bản xin ý kiến chuyên môn về HSCĐ; Tờ trình duyệt hồ sơ đề xuất cấp độ( mẫu 05-NĐ85) + Hồ sơ cấp độ)
• Chuẩn bị các hồ sơ về xin ý kiến chuyên môn cho hồ sơ cấp độ 4 theo mẫu 03-NĐ85 tới đơn vị chuyên trách về CNTT/ATTT
• Chuẩn bị các hồ sơ trình phê duyệt cấp độ + hồ sơ cấp độ + ý kiến thẩm định của đơn vị chuyên trách về CNTT/ ATTT lên đơn vị chủ quản Hệ thống
• Kiểm tra, phê duyệt thử hồ sơ cấp độ: Báo cáo, ý kiến chuyên môn/ thẩm định
• Lấy ý kiến của các chuyên gia chuyên môn về việc thẩm định
• Soạn thảo chỉnh sửa lại theo các yêu cầu của các chuyên gia chuyên môn, thẩm định
Giai đoạn 4: Lấy ý kiến đánh giá của các chuyên gia thẩm định lần 02
• Kiểm tra, phê duyệt thử hồ sơ cấp độ: Báo cáo, ý kiến chuyên môn/ thẩm định lần 02
• Lấy ý kiến của các chuyên gia chuyên môn về việc thẩm định lần 02
• Soạn thảo chỉnh sửa lại theo các yêu cầu của các chuyên gia chuyên môn, thẩm định lần 02
• Phân tích và diễn giải hồ sơ và trình duyệt chủ đầu tư phê duyệt lại hồ sơ
Giai đoạn 5: Phối hợp và trình duyệt hồ sơ cấp độ theo đúng yêu cầu
• Báo cáo, giải trình Hồ sơ đề xuất cấp độ an toàn hệ thống thông tin đối với cơ quan thẩm duyệt
• Điều chỉnh hồ sơ đề xuất cấp độ an toàn hệ thống thông tin đối với cơ quan thẩm duyệt
• Tiếp nhận hồ sơ cấp độ an toàn thông tin đối với cơ quan thẩm duyệt
Qua dự án triển khai này idas cam kết triển khai xây dựng 03 hệ thống cho 03 Nhà máy IALY; Sê san và nhà máy Pleikrông sẽ đạt được kết quả tốt và đảm bảo yêu cầu chất lượng của dự án
Trận trọng
