Đảm bảo ANTT là bài toán có tính hệ thống và bao gồm 3 thành phần cơ bản: hệ thống luật pháp, hạ tầng công nghệ và phương tiện kỹ thuật đảm bảo an toàn thông tin (ATTT), hệ thống tổ chức và con người. Trong đó hệ thống luật pháp có ý nghĩa hàng đầu vì đó là cơ sở để triển khai các hoạt động còn lại.
Bài báo này trình bày những nét cơ bản về hệ thống luật pháp của Liên bang Nga (LBN) trong lĩnh vực ANTT. Đây là hệ thống luật pháp có tầm khái quát rất cao. Đặc biệt là Học thuyết An ninh thông tin do Tổng thống LBN phê chuẩn vào năm 2000 đã phân tích toàn diện và sâu sắc về các vấn đề của ANTT.
Một số nét khái quát
Tính đến nay LBN đã ban hành một số lượng khá lớn văn bản luật pháp liên quan trong lĩnh vực ANTT bao gồm 78 văn bản, trong đó 11 văn bản được ban hành ở cấp độ Luật, 16 văn bản dưới hình thức sắc lệnh của Tổng thống và 51 văn bản dưới hình thức quy định của Chính phủ LBN. Tuy nhiên những nội dung cơ bản về ANTT được phản ánh chủ yếu trong 4 Luật Liên bang: Luật về tin học, tin học hóa và bảo vệ thông tin; Luật về sự tham gia vào trao đổi thông tin quốc tế; Luật Liên bang về thông tin thương mại, Luật về chữ ký số; và các sắc lệnh của Tổng thống: Học thuyết An ninh thông tin, Sắc lệnh về các biện pháp đảm bảo ANTT trong lĩnh vực trao đổi thông tin quốc tế, Quan niệm về an ninh quốc gia, Sắc lệnh về các biện pháp tuân thủ luật pháp trong lĩnh vực nghiên cứu, sản xuất, sử dụng khai thác các phương tiện mật mã và cung cấp dịch vụ trong lĩnh vực mã hóa thông tin; Quy định của Chính phủ liên bang về cấp phép và chứng nhận các đối tượng hoạt động trong lĩnh vực bảo vệ thông tin.
Hệ thống văn bản luật pháp của LBN nhằm giải quyết các vấn đề sau:
- Xây dựng các quan điểm chính thức về mục tiêu, các nguyên tắc và phương hướng nhiệm vụ đảm bảo ATTT của LBN, cơ sở tổ chức hệ thống đảm bảo ANTT.
- Thể hiện chính sách thống nhất về ANTT của LBN, mục tiêu, nhiệm vụ và đối tượng của ATTT, mối quan hệ của các chủ thể tham gia quá trình đảm bảo ATTT của LBN; vấn đề xuất nhập khẩu sản phẩm ATTT.
- Xây dựng cơ sở luật pháp cho hoạt động kiểm định (chứng nhận sự phù hợp), cấp phép và cấp chứng nhận trong lĩnh vực bảo vệ thông tin.
- Xây dựng cơ sở luật pháp cho hoạt động nghiên cứu, sản xuất và sử dụng thiết bị mật mã bảo vệ thông tin.
- Luật về Chữ ký điện tử.
- Các vấn đề về tổ chức và đào tạo.
Học thuyết An ninh thông tin - cơ sở để xây dựng chính sách, hệ thống luật pháp và các nội dung đảm bảo ANTT của LBN.
Học thuyết An ninh thông tin của LBN được Tổng thống LBN phê duyệt vào tháng 9/2000 là văn bản có tính nền tảng trong hệ thống văn bản luật pháp về lĩnh vực ANTT của LBN. Học thuyết này được xây dựng trong bối cảnh đặc biệt của nước Nga lúc bấy giờ. Sau hơn 10 năm ra đời từ sự tan rã của Liên bang Xô viết, nước Nga đã rơi vào một cuộc khủng khoảng chính trị, kinh tế, xã hội trầm trọng. Trong bối cảnh đó ANTT không chỉ chưa đáp ứng đầy đủ các yêu cầu đặt ra mà còn đứng trước hàng loạt nguy cơ đe dọa như:
- Sự lạc hậu của luật pháp về phương diện thực thi các lợi ích luật pháp đã gây khó khăn lớn cho việc duy trì sự hài hòa cần thiết về lợi ích của cá nhân, xã hội và quốc gia.
- Cơ sở luật pháp về vấn đề quyền của công dân được tiếp cận thông tin, bảo vệ thông tin riêng tư, bí mật trao đổi thông tin chưa đầy đủ.
- Cơ sở dữ liệu cá nhân do các cơ quan nhà nước lưu trữ và thu thập chưa được tổ chức bảo vệ tốt.
- Các chính sách nhà nước về hình thành không gian thông tin của Nga và gia nhập không gian thông tin Nga vào không gian thông tin quốc tế chưa rõ ràng, đã tạo điều kiện cho các hãng nước ngoài lũng đoạn thị trường Nga.
- Sự lạc hậu của công nghệ thông tin trong nước dẫn đến việc phải mua thiết bị của nước ngoài sử dụng trong các hoạt động của cơ quan nhà nước, làm tăng sự phụ thuộc vào các hãng nước ngoài và khả năng mất ATTT trong các hệ thống thông tin và viễn thông trong nước cũng như làm tăng khả năng sử dụng vũ khí thông tin chống lại hạ tầng thông tin của Nga.
Trước tình hình đó, Học thuyết ra đời là cơ sở để hình thành chính sách nhà nước trong lĩnh vực đảm bảo ANTT, hoàn thiện và xây dựng các nội dung mới về luật pháp, đảm bảo khoa học- kỹ thuật và tổ chức, xây dựng các chương trình, mục tiêu về đảm bảo ANTT của LBN. Học thuyết gồm 4 phần:
- Phần 1 “An ninh thông tin của LBN” xác định cơ cấu lợi ích dân tộc của LBN trong lĩnh vực thông tin, các nguy cơ đe dọa và nguồn gốc các nguy cơ đe dọa ANTT của LBN; mô tả hiện trạng ANTT của LBN, xác định các nhiệm vụ lâu dài và cấp bách đảm bảo ANTT của LBN.
- Phần2 “Các phương pháp đảm bảo ANTT của LBN” đề cập những phương pháp chung đảm ANTT cũng như những đặc thù của ANTT trong từng lĩnh vực của đời sống xã hội và hợp tác quốc tế.
- Phần 3 “Các luận điểm cơ bản của chính sách nhà nước đảm bảo ANTT của LBN và các biện pháp hàng đầu để thực hiện”.
- Phần 4 “Cơ sở tổ chức của hệ thống đảm bảo ANTT của LBN”.
Trên cơ sở coi ANTT là sự phát triển của an ninh quốc gia trong lĩnh vực thông tin, Học thuyết xác định An ninh thông tin là trạng thái được bảo vệ các lợi ích dân tộc của LBN trong lĩnh vực thông tin, là sự kết hợp hài hòa các quyền lợi cá nhân, xã hội và nhà nước.
Về phương pháp tiếp cận, Học thuyết An ninh thông tin của LBN được xây dựng trên cơ sở mô hình kiểu Lợi ích dân tộc - các mối nguy cơ - phương pháp đảm bảo. Học thuyết đã chỉ ra bốn thành phần của lợi ích dân tộc trong lĩnh vực ANTT bao gồm:
- Tuân thủ các quyền luật pháp và tự do của con người và công dân trong việc tiếp nhận và sử dung thông tin.
- Đảm bảo thông tin cho chính sách của nhà nước Nga trong việc cung cấp cho dư luận Nga và quốc tế những thông tin tin cậy về chính sách nhà nước của LBN, về lập trường chính thức của Nga đối với các biến cố của đời sống quốc tế và việc đảm bảo cho công dân tiếp cận nguồn tài nguyên thông tin quốc gia công khai.
- Phát triển công nghệ thông tin hiện đại, công nghiệp công nghệ thông tin trong nước, trong đó có công nghiệp điện tử, viễn thông và liên lạc, đảm bảo nhu cầu của thị trường trong nước bằng sản phẩm của mình và đưa ra thị trường quốc tế.
- Bảo vệ nguồn tài nguyên thông tin quốc gia, đảm bảo an toàn cho các hệ thống thông tin và viễn thông của Nga.
Trên cơ sở phân tích 4 cơ cấu hợp thành của lợi ích dân tộc trong lĩnh vực ANTT, Học thuyết đã chỉ các loại nhóm nguy cơ đe dọa ANTT. Nhóm nguy cơ đối với việc phát triển công nghiệp thông tin trong nước là:
- Ngăn cản LBN tiếp cận các công nghệ thông tin mới, ngăn cản sự tham gia bình đẳng của các nhà sản xuất của Nga vào sự phân chia lao động trên thế giới trong công nghiệp dịch vụ thông tin, các thiết bị tin học hóa, viễn thông và liên lạc, đồng thời tạo ra các điều kiện để tăng cường sự phụ thuộc của Nga trong lĩnh vực công nghệ thông tin hiện đại.
- Việc các cơ quan nhà nước mua các thiết bị thông tin liên lạc của nước ngoài trong điều kiện có mặt các sản phẩm tương đương trong nước.
- Sự chèn ép, đẩy các nhà sản xuất của Nga ra khỏi thị trường trong nước.
Đối với các phương tiện thông tin và hệ thống viễn thông, các nguy cơ đe dọa là:
- Sử dụng thông tin trái pháp luật, phá hoại công nghệ xử lý thông tin, đưa vào chương trình các thành phần không khai báo trong tài liệu.
- Chế tạo và phổ biến các chương trình phá hoại sự hoạt động bình thường của các phương tiện thông tin và hệ thống viễn thông trong đó có cả hệ thống bảo vệ thông tin.
- Tiêu diệt, làm tổn hại hệ thống vô tuyến điện tử hoặc phá hoại các phương tiện và hệ thống xử lý thông tin, viễn thông và tin học.
- Tác động lên hệ thống khóa - mật khẩu của hệ thống bảo vệ thông tin.
- Làm tổn hại đến khóa và các phương tiện mật mã bảo vệ thông tin.
- Rò rỉ thông tin trên kênh kỹ thuật.
- Sử dụng các thiết bị điện tử để chặn bắt thông tin trên các kênh liên lạc.
- Chặn bắt thông tin trong các mạng truyền dữ liệu, giải mã và thay thế nội dung dữ liệu bằng dữ liệu sai.
- Sử dụng các công nghệ thiết bị trong và ngoài nước chưa được cấp chứng nhận.
- Tiếp cận trái phép thông tin trong các ngân hàng và cơ sở dữ liệu.
Học thuyết đã phân tích sâu sắc và toàn diện các mối nguy cơ đe dọa ANTT, xác định các nguồn gốc của chúng, từ đó đề ra các nhiệm vụ lâu dài và cấp bách cũng như các phương pháp đảm bảo ANTT của LBN đó là:
- Xây dựng chính sách nhà nước thống nhất về đảm bảo ANTT, xây dựng các chương trình mục tiêu đảm bảo ANTT, hoàn thiện hệ thống luật pháp, xác lập trách nhiệm và phối hợp trách nhiệm của các cơ quan nhà nước trong lĩnh vực ANTT, đảm bảo sự độc lập của LBN trong những hướng quan trọng nhất của tin học hóa, viễn thông và liên lạc, đặc biệt là trong lĩnh vực xây dựng các kỹ thuật tính toán chuyên dụng phục vụ kỹ thuật quân sự. Xây dựng các phương pháp hiện đại và chế tạo các phương tiện bảo vệ thông tin, bảo đảm an toàn công nghệ thông tin, trước hết là những công nghệ dùng trong điều khiển quân đội và vũ khí, các quá trình sản xuất quan trọng về kinh tế và gây nguy hiểm cho môi trường.
- Phát triển và hoàn thiện hệ thống bảo vệ thông tin bí mật nhà nước.
- Xây dựng và phát triển cơ sở công nghệ hiện đại có bảo vệ dùng ở cấp quốc gia trong thời bình cũng như thời chiến và các tình huống khẩn cấp.
- Đảm bảo các điều kiện cho sự phát triển hạ tầng thông tin của Nga, đảm bảo cho sự tham gia của nước Nga vào quá trình xây dựng và sử dụng mạng và hệ thống thông tin toàn cầu.
- Xây dựng hệ thống về đào tạo cán bộ trong lĩnh vực ATTT và công nghệ thông tin thống nhất.
Một phần đáng kể của Học thuyết dành cho việc phân tích các đặc điểm, các mối nguy cơ đe dọa và các phương hướng đảm bảo an toàn thông tin trong các lĩnh vực khác nhau của đời sống xã hội: quốc phòng, an ninh, kinh tế, khoa học kỹ thuật, chính sách đối nội và đối ngoại, tòa án, sức khỏe và đời sống tinh thần của xã hội. Đảm bảo ANTT trong lĩnh vực kinh tế được coi là cốt yếu trong đảm bảo an ninh quốc gia. Các nội dung cơ bản của đảm bảo ANTT cho các hệ thống thông tin và viễn thông quốc gia là:
- Ngăn ngừa việc chặn bắt thông tin từ các phòng làm việc cũng như thông tin qua kênh kỹ thuật.
- Ngăn chặn việc tiếp cận trái phép thông tin được xử lý và lưu trữ trong các phương tiện kỹ thuật.
- Chống lại việc rò rỉ thông tin qua kênh kỹ thuật.
- Vô hiệu hóa các chương trình phần mềm chuyên dụng, phá hủy, bóp méo hoặc làm dừng hoạt động của các thiết bị thông tin.
- Đảm bảo ATTT khi kết nối các hệ thống thông tin và viễn thông quốc gia vào các mạng thông tin bên ngoài trong đó có mạng quốc tế.
Một nội dung hết sức quan trọng của Học thuyết là xây dựng những luận điểm cơ bản cho chính sách nhà nước trong lĩnh vực ANTT nhằm xác định phương hướng nhiệm vụ trong hoạt động của các cơ quan nhà nước và các tổ chức trong lĩnh vực ANTT. Chính sách đó phải dựa trên các nguyên tắc cơ bản là tuân thủ hiến pháp của LBN, tính công khai trong thực thi các chức năng của các cơ quan nhà nước, bình đẳng của tất cả các thành viên tham gia quá trình trao đổi thông tin trên cơ sở quy định của luật pháp và ưu tiên phát triển các công nghệ thông tin và viễn thông, các phương tiện kỹ thuật và phần mềm có khả năng hoàn thiện các mạng viễn thông trong nước và kết nối an toàn vào mạng toàn cầu.
Một số biện pháp tuân thủ luật pháp trong lĩnh vực mật mã
Sử dụng phương tiện mật mã là một trong những phương thức cơ bản, phổ biến và quan trọng nhất trong kỹ thuật bảo vệ thông tin. Bởi vậy, để ngăn ngừa việc sử dụng các phương tiện mật mã cũng như các phương tiện kỹ thuật bảo vệ thông tin không đảm bảo chất lượng hoặc các sản phẩm của nước ngoài chưa được kiểm định, nhằm tăng cường độ an toàn của các hệ thống thông tin viễn thông của các cơ quan nhà nước, các tổ chức tài chính- tín dụng của LBN, các tổ chức và xí nghiệp, sắc lệnh của Tổng thống quy định:
- Cấm các cơ quan và xí nghiệp nhà nước sử dụng các thiết bị mật mã, kể cả những thiết bị đảm bảo tính xác thực thông tin, và các phương tiện lưu trữ, xử lý và truyền thông tin không có chứng nhận của Cơ quan Liên bang về liên lạc và thông tin trực thuộc Tổng thống LBN.
- Giao cho Ngân hàng Trung ương Nga và Cơ quan Liên bang về liên lạc và thông tin trực thuộc Tổng thống LBN thực hiện các biện pháp cần thiết đối với các ngân hàng thương mại Nga sử dụng các thiết bị mật mã và các phương tiện lưu trữ, xử lý và truyền thông tin không có chứng nhận của của Cơ quan liên bang về liên lạc và thông tin trực thuộc Tổng thống LBN.
- Vì lợi ích ANTT của LBN và để tăng cường đấu tranh với tội phạm có tổ chức, nghiêm cấm các cá nhân và tổ chức nghiên cứu, sản xuất, triển khai, khai thác các phương tiện mật mã cũng như các phương tiện lưu trữ, xử lý và truyền thông tin không có giấy phép của Cơ quan Liên bang về liên lạc và thông tin trực thuộc Tổng thống LBN.
- Các thiết bị mật mã phải do trong nước sản xuất và phát triển trên cơ sở các thuật toán mật mã do Cơ quan Liên bang về liên lạc và thông tin trực thuộc Tổng thống LBN khuyến cáo.
- Giao cho Cục Hải quan nhà nước thực hiện biện pháp ngăn chặn việc đưa vào Nga các thiết bị mã hóa của nước ngoài mà không có giấy phép của Bộ Kinh tế đối ngoại Nga cấp cùng với sự đồng ý của Cơ quan Liên bang về liên lạc và thông tin trực thuộc Tổng thống LBN.
- Các hệ thống thông tin, mạng liên lạc và các máy tính cá nhân xử lý, lưu trữ và truyền thông tin bí mật nhà nước và thông tin nghiệp vụ mật không được phép kết nối vào mạng thông tin mở.
- Giao cho Cơ quan Liên bang về liên lạc và thông tin trực thuộc Tổng thống LBN duy trì và phát triển mạng “Internet” riêng biệt phục vụ cho các cơ quan nhà nước, cho phép văn phòng Tổng thống, bộ máy Hội đồng liên bang, Văn phòng Đuma quốc gia, Văn phòng Chính phủ Tòa án tối cao trao đổi thông tin qua mạng máy tính này.