Yêu cầu có phương án phòng chống xâm nhập, phần mềm độc hại cho hạ tầng mạng TSLCD

Thông tư 27 của Bộ TT&TT sẽ có hiệu lực thi hành từ ngày 5/12/2017 đã dành hẳn 1 chương để quy định về các yêu cầu đối với việc đảm bảo an toàn thông tin cho mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước (Ảnh minh họa. Nguồn: Internet)

Bộ TT&TT mới đây đã ban hành Thông tư 27 quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng TSLCD của các cơ quan Đảng, Nhà nước.

Có hiệu lực thi hành từ đầu tháng 12/2017, Thông tư 27 áp dụng với các tổ chức, cá nhân tham gia quản lý, vận hành, kết nối và sử dụng mạng TSLCD của các cơ quan Đảng, Nhà nước; các đơn vị chuyên trách CNTT của các cơ quan Đảng, Nhà nước tại Trung ương, Sở TT&TT các tỉnh, thành phố trực thuộc Trung ương.

Mạng TSLCD của các cơ quan Đảng, Nhà nước là hệ thống thông tin quan trọng quốc gia, được sử dụng riêng trong hoạt động truyền số liệu và ứng dụng CNTT của các cơ quan Đảng, Nhà nước do Cục Bưu điện Trung ương là chủ mạng, quản lý, điều hành hoạt động của mạng.

Đáng chú ý, Thông tư 27 của Bộ TT&TT đã dành hẳn 1 chương để quy định về việc bảo đảm an toàn thông tin trên mạng TSLCD.

Theo đó, việc bảo đảm an toàn thông tin cho hạ tầng mạng TSLCD phải tuân thủ các quy định chung, bao gồm: thiết kế hạ tầng mạng có phân vùng thành từng vùng mạng chức năng phù hợp với hệ thống thông tin theo cấp độ tương ứng; phải có phương án quản lý truy nhập hệ thống từ các mạng bên ngoài nhằm quản lý và ngăn chặn, các truy nhập trái phép từ các mạng bên ngoài vào mạng trong. Phải có biện pháp quản lý truy nhập từ bên trong mạng ra các mạng bên ngoài và mạng Internet nhằm đảm bảo chỉ những kết nối mạng hợp lệ theo chính sách của cơ quan, tổ chức mới được cho phép kết nối ra bên ngoài.

Cùng với đó, phải có phương án lưu trữ và quản lý nhật ký hệ thống phục vụ việc theo dõi, giám sát hoạt động bình thường, các hoạt động liên quan đến an toàn thông tin của hệ thống; phải có phương án phòng, chống xâm nhập, phần mềm độc hại nhằm giám sát phát hiện sớm, xử lý và ngăn chặn những cuộc tấn công mạng, những sự kiện bất thường xảy ra trên hệ thống qua môi trường mạng; đồng thời phải có phương án bảo vệ các thiết bị mạng, thiết bị an toàn thông tin trong hệ thống nhằm giám sát và ngăn chặn truy nhập, thay đổi trái phép cấu hình và hoạt động của thiết bị.

Về bảo đảm an toàn thông tin cho mạng TSLCD, Thông tư 27 quy định, mạng TSLCD cấp 1 phải đáp ứng tối thiểu các tiêu chí yêu cầu về bảo đảm an toàn hệ thống thông tin theo cấp độ, được quy định tại khoản 5, Điều 9 Thông tư 03 ngày 24/4/2017 của Bộ trưởng Bộ TT&TT quy định chi tiết và hướng dẫn một số điều của Nghị định 85 ngày 1/7/2017 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ (Thông tư 03).

Mạng TSLCD cấp II phải đáp ứng phải đáp ứng tối thiểu các tiêu chí yêu cầu về bảo đảm an toàn hệ thống thông tin theo cấp độ, được quy định tại khoản 3, Điều 9 Thông tư 03 của Bộ TT&TT.

Cũng theo quy định tại Thông tư 27, đối với việc bảo đảm an toàn thông tin cho phân hệ quản lý mạng TSLCD, Bộ TT&TT yêu cầu, phân hệ quản lý mạng phải được tách riêng với các phân hệ mạng khác và không được kết nối Internet; có hệ thống quản lý xác thực tập trung đối với các tài khoản truy cập cấp hình thiết bị, phân quyền phù hợp cho người quản trị.

Bên cạnh các quy định về bảo đảm an toàn thông tin cho mạng TSLCD, Thông tư 27 cũng quy định cụ thể về: quản lý và vận hành mạng TSLCD cũng như việc kết nối và sử dụng mạng này.

Bộ TT&TT giao trách nhiệm cho Cục Bưu điện Trung ương chủ trì, xây dựng kế hoạch phát triển mạng TSLCD; chủ trì hướng dẫn các đơn vị thi hành các nội dung của Thông tư 27; đồng thời phối hợp cùng Vụ KH&CN xây dựng, trình Bộ TT&TT ban hành các tiêu chuẩn, quy chuẩn kỹ thuật về quản lý, vận hành, kết nối, sử dụng, bảo đảm an toàn thông tin trên mạng TSLCD.

Cục Bưu điện Trung ương cũng có trach nhiệm chủ trì ban hành các quy chế, chính sách, chỉ tiêu chất lượng, quy trình, quy phạm bảo đảm kết nối, bảo đảm an toàn thông tin liên quan đến mạng TSDCD; kiểm tra, đánh giá định kỳ hoặc đột xuất để đảm bảo an toàn mạng TSLCD, điều phối xử lý sự cố phát sinh trên mạng lưới; phối hợp thực hiện công tac thanh tra, kiểm tra trên mạng TSLCD.

Trong trường hợp khẩn cấp, được huy động hạ tầng, năng lực của doanh nghiệp viễn thông để phục vụ thông tin khẩn cấp theo yêu cầu của các cơ quan Đảng, Nhà nước tại Trung ương. Định kỳ 6 tháng, hằng năm chỉ đạo doanh nghiệp viễn thông cung cấp kết nối và dịch vụ cho mạng TSLCD cấp II tại các tỉnh, thành phố trực thuộc Trung ương báo cáo về tình hình khai thác, sử dụng mạng TSLCD với Cục Bưu điện Trung ương và Sở TT&TT các tỉnh, thành phố trực thuộc Trung ương.

Cục Bưu điện Trung ương là đầu mối của Bộ TT&TT để tiếp nhận thông tin từ Sở TT&TT tại các tỉnh, thành phố trực thuộc Trung ương về mạng TSLCD; là đầu mối cung cấp các dịch vụ của doanh nghiệp viễn thông triển khai trên mạng TSDLC cấp I.

Cục cũng có trách nhiệm triển khai các giải pháp, hệ thống thiết bị để bảo đảm các yêu cầu về dung lượng, tốc độ, chất lượng dịch vụ, an toàn thông tin và phương án dự phòng của mạng TSLCD; định kỳ rà soát, đánh giá, đề xuất cấp độ bảo đảm an toàn hệ thống thông tin, trình các cấp có thẩm quyền phê duyệt.

Ngoài ra, Thông tư 27 cũng quy định rõ trách nhiệm của các cơ quan, đơn vị có liên quan thuộc Bộ TT&TT; của doanh nghiệp viễn thông cung cấp hạ tầng kết nối và dịch vụ cho mạng TSLCD; của các đơn vị chuyên trách CNTT các cơ quan Đảng, Nhà nước tại Trung ương; của các Sở TT&TT tỉnh, thành phố và trách nhiệm của các đơn vị, cá nhân sử dụng mạng TSLCD.