Luật an toàn thông tin mạng: Một số quy định về bảo vệ thông tin

14:39 | 03/02/2016

Luật An toàn thông tin mạng, bộ luật quan trọng sẽ làm nền tảng cho việc triển khai các hoạt động an toàn thông tin tại Việt Nam, đã được Chủ tịch nước chính thức công bố. Luật sẽ có hiệu lực thi hành từ ngày 1/7/2016.


Được Bộ Thông tin và Truyền thông (TT&TT) bắt đầu xây dựng từ năm 2011, sau gần 4 năm  hoàn thiện, ngày 19/11/2015, trong phiên họp toàn thể tại hội trường của kỳ họp thứ 10 Quốc hội khóa XIII, Quốc hội đã biểu quyết thông qua Luật An toàn thông tin mạng với 424/425 đại biểu có mặt tán thành.

Luật An toàn thông tin mạng gồm 8 Chương, 54 Điều, quy định về hoạt động an toàn thông tin mạng (ATTTM), quyền và trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm ATTTM; mật mã dân sự; tiêu chuẩn; quy chuẩn kỹ thuật về ATTTM; kinh doanh trong lĩnh vực ATTTM; phát triển nguồn nhân lực ATTTM; quản lý nhà nước về ATTTM.

Luật An toàn thông tin mạng được ban hành sẽ hướng đến giải quyết các yêu cầu về ATTTM quốc gia, qua đó góp phần hoàn thiện cơ sở pháp lý về ATTT theo hướng áp dụng các quy định pháp luật đồng bộ, khả thi trong thực tiễn thi hành và phát huy các nguồn lực của đất nước để bảo đảm ATTTM, phát triển lĩnh vực ATTTM đáp ứng yêu cầu phát triển kinh tế - xã hội và bảo đảm quốc phòng, an ninh.

Luật An toàn thông tin mạng cũng hướng tới mục tiêu bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân tham gia hoạt động ATTTM; đẩy mạnh công tác giám sát, phòng, chống nguy cơ mất ATTTM, đảm bảo hiệu quả công tác thực thi quản lý nhà nước trong lĩnh vực ATTTM; mở rộng hợp tác quốc tế về ATTTM trên cơ sở tôn trọng độc lập, chủ quyền, bình đẳng, cùng có lợi, phù hợp với luật pháp Việt Nam và điều ước quốc tế mà Việt Nam tham gia ký kết.
Ngay sau khi Luật được thông qua, Chính phủ đã lên kế hoạch xây dựng và ban hành các văn bản hướng dẫn dưới Luật vào năm 2016.
Theo kế hoạch, Bộ TT&TT sẽ chủ trì, xây dựng để trình Chính phủ và Thủ tướng Chính phủ ban hành 3 văn bản gồm: Nghị định quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ; Nghị định quy định chi tiết về điều kiện cấp giấy phép kinh doanh sản phẩm, dịch vụ ATTTM; Quyết định của Thủ tướng Chính phủ về danh mục sản phẩm, dịch vụ ATTTM.

Bên cạnh đó, trong thẩm quyền của mình, thời gian tới, Bộ TT&TT cũng sẽ xây dựng các Nghị định của Chính phủ, các Thông tư hướng dẫn chi tiết một số quy định tại Luật An toàn thông tin mạng và xây dựng, đề xuất ban hành hoặc ban hành hệ thống tiêu chuẩn, quy chuẩn về ATTTM; tổ chức các hoạt động tuyên truyền, phổ biến Luật.

Bộ Quốc phòng sẽ chủ trì xây dựng và trình Chính phủ ban hành Nghị định quy định chi tiết về hoạt động ngăn chặn xung đột thông tin trên mạng. Ban Cơ yếu Chính phủ sẽ giúp Bộ trưởng Bộ Quốc phòng xây dựng và trình Chính phủ ban hành Nghị định quy định chi tiết về mật mã dân sự. Bộ Công an sẽ chủ trì xây dựng và trình Chính phủ ban hành Nghị định quy định về ngăn chặn hoạt động sử dụng mạng để khủng bố.

Dưới đây, Tạp chí An toàn thông tin giới thiệu một số nội dung quan trọng của Chương II Bảo đảm an toàn thông tin mạng, quy định về Bảo vệ thông tin mạng (Mục 1) và Bảo vệ  các hệ thống thông tin (Mục 3).

Bảo vệ thông tin mạng

Gồm 7 điều, từ Điều 9 đến Điều 15. Mục này quy định các nội dung sau:

Về phân loại thông tin: Thông tin được phân loại theo thuộc tính bí mật để có biện pháp bảo vệ phù hợp. Thông tin thuộc phạm vi bí mật nhà nước được phân loại và bảo vệ theo quy định của pháp luật về bảo vệ bí mật nhà nước.

Cơ quan, tổ chức sử dụng thông tin đã phân loại và chưa phân loại trong hoạt động thuộc lĩnh vực của mình phải có trách nhiệm xây dựng quy định, thủ tục để xử lý thông tin; xác định nội dung và phương pháp ghi truy nhập được phép vào thông tin đã được phân loại.

Về quản lý gửi thông tin: Việc gửi thông tin trên mạng phải bảo đảm các yêu cầu: Không giả mạo nguồn gốc gửi thông tin tuân thủ quy định của Luật này và quy định khác của pháp luật có liên quan.

Tổ chức, cá nhân không được gửi thông tin mang tính thương mại vào địa chỉ điện tử của người tiếp nhận khi chưa được người tiếp nhận đồng ý hoặc khi người tiếp nhận đã từ chối, trừ trường hợp người tiếp nhận có nghĩa vụ phải tiếp nhận thông tin theo quy định của pháp luật.

Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ ứng dụng viễn thông và doanh nghiệp cung cấp dịch vụ công nghệ thông tin gửi thông tin có trách nhiệm: Tuân thủ quy định của pháp luật về lưu trữ thông tin, bảo vệ thông tin cá nhân, thông tin riêng của tổ chức, cá nhân; Áp dụng biện pháp ngăn chặn, xử lý khi nhận được thông báo của tổ chức, cá nhân về việc gửi thông tin vi phạm quy định của pháp luật; Có phương thức để người tiếp nhận thông tin có khả năng từ chối việc tiếp nhận thông tin và Cung cấp điều kiện kỹ thuật và nghiệp vụ cần thiết để cơ quan nhà nước có thẩm quyền thực hiện nhiệm vụ quản lý, bảo đảm ATTTM khi có yêu cầu.

Về phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại, quy định rõ trách nhiệm của các chủ thể:

- Cơ quan, tổ chức, cá nhân có trách nhiệm thực hiện phòng ngừa, ngăn chặn phần mềm độc hại theo hướng dẫn, yêu cầu của cơ quan nhà nước có thẩm quyền.

- Chủ quản hệ thống thông tin quan trọng quốc gia triển khai hệ thống kỹ thuật nghiệp vụ nhằm phòng ngừa, phát hiện, ngăn chặn và xử lý kịp thời phần mềm độc hại.

- Doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin phải có hệ thống lọc phần mềm độc hại trong quá trình gửi, nhận, lưu trữ thông tin trên hệ thống của mình và báo cáo cơ quan nhà nước có thẩm quyền theo quy định của pháp luật; Doanh nghiệp cung cấp dịch vụ Internet có biện pháp quản lý, phòng ngừa, phát hiện, ngăn chặn phát tán phần mềm độc hại và xử lý theo yêu cầu của cơ quan nhà nước có thẩm quyền.

- Bộ TT&TT chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành liên quan tổ chức phát hiện, phòng ngừa, ngăn chặn và xử lý phần mềm độc hại gây ảnh hưởng đến quốc phòng, an ninh quốc gia.

Về bảo đảm an toàn tài nguyên viễn thông:

- Cơ quan, tổ chức, cá nhân sử dụng tài nguyên viễn thông có trách nhiệm áp dụng biện pháp quản lý và kỹ thuật để ngăn chặn mất ATTTM xuất phát từ tần số, kho số, tên miền và địa chỉ Internet của mình và phối hợp, cung cấp thông tin liên quan đến an toàn tài nguyên viễn thông theo yêu cầu của cơ quan nhà nước có thẩm quyền.

- Doanh nghiệp cung cấp dịch vụ trên Internet có trách nhiệm quản lý, phối hợp ngăn chặn mất ATTTM xuất phát từ tài nguyên Internet, từ khách hàng của mình; cung cấp đầy đủ thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền; phối hợp kết nối, định tuyến để bảo đảm hệ thống máy chủ tên miền quốc gia Việt Nam hoạt động an toàn, ổn định.

- Bộ TT&TT có trách nhiệm thực hiện bảo đảm ATTTM cho hệ thống máy chủ tên miền quốc gia Việt Nam.

Về ứng cứu sự cố an toàn thông tin mạng: Đây là hoạt động nhằm xử lý, khắc phục sự cố gây mất ATTTM.

- Ứng cứu sự cố ATTTM được thực hiện theo các nguyên tắc sau: Kịp thời, nhanh chóng, chính xác, đồng bộ và hiệu quả; Tuân thủ quy định của pháp luật về điều phối ứng cứu sự cố ATTTM; Phối hợp giữa cơ quan, tổ chức, doanh nghiệp trong nước và nước ngoài.

- Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân cấp tỉnh, doanh nghiệp viễn thông, chủ quản hệ thống thông tin quan trọng quốc gia phải thành lập hoặc chỉ định bộ phận chuyên trách ứng cứu sự cố ATTTM. Bộ TT&TT có trách nhiệm điều phối ứng cứu sự cố ATTTM trên toàn quốc, quy định chi tiết về điều phối ứng cứu sự cố ATTTM.

Về ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia: Đây là hoạt động ứng cứu sự cố trong tình huống thảm họa hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền nhằm bảo đảm ATTTM quốc gia. 

Ứng cứu khẩn cấp bảo đảm ATTTM quốc gia phải tuân thủ các nguyên tắc sau đây: Tổ chức thực hiện theo phân cấp; Thực hiện tại chỗ, nhanh chóng, nghiêm ngặt, phối hợp chặt chẽ; Áp dụng các biện pháp kỹ thuật, bảo đảm hiệu quả, khả thi.

Hệ thống phương án ứng cứu khẩn cấp bảo đảm ATTTM quốc gia gồm: Phương án ứng cứu khẩn cấp bảo đảm ATTTM quốc gia, mạng của cơ quan Đảng, Nhà nước và các tổ chức chính trị - xã hội, mạng của địa phương và mạng của doanh nghiệp viễn thông.

Về trách nhiệm bảo đảm an toàn thông tin mạng quốc gia được quy định: 

- Thủ tướng Chính phủ quyết định hệ thống phương án ứng cứu khẩn cấp bảo đảm ATTTM quốc gia;

- Bộ TT&TT có trách nhiệm chủ trì điều phối công tác ứng cứu khẩn cấp bảo đảm ATTTM quốc gia;

- Bộ, ngành, Ủy ban nhân dân các cấp và các cơ quan, tổ chức liên quan trong phạm vi nhiệm vụ, quyền hạn của mình có trách nhiệm phối hợp, chỉ đạo ứng cứu khẩn cấp bảo đảm ATTTM;

- Doanh nghiệp viễn thông có trách nhiệm thực hiện biện pháp ứng cứu khẩn cấp, phối hợp với Bộ TT&TT, Bộ, ngành, Ủy ban nhân dân các cấp có liên quan để bảo đảm ATTTM quốc gia.

Về trách nhiệm của cơ quan, tổ chức, cá nhân trong bảo đảm an toàn thông tin mạng: Cơ quan, tổ chức, cá nhân tham gia hoạt động ATTTM có trách nhiệm phối hợp với cơ quan nhà nước có thẩm quyền và tổ chức, cá nhân khác trong việc bảo đảm ATTTM; Cơ quan, tổ chức, cá nhân sử dụng dịch vụ trên mạng có trách nhiệm thông báo kịp thời cho doanh nghiệp cung cấp dịch vụ hoặc bộ phận chuyên trách ứng cứu sự cố khi phát hiện các hành vi phá hoại, sự cố ATTTM.


Bảo vệ hệ thống thông tin

Gồm 7 điều, từ Điều 21 đến Điều 27. Mục này quy định những nội dung sau: 

Phân loại cấp độ an toàn thông tin của hệ thống thông tin là việc xác định cấp độ an toàn hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ. 

Hệ thống thông tin được phân loại theo cấp độ an toàn như sau:

- Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

- Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

- Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia;

- Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia;

- Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

Chính phủ quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ ATTT và trách nhiệm bảo đảm ATTT theo từng cấp độ.

Về nhiệm vụ bảo vệ hệ thống thông tin, bao gồm: Xác định cấp độ ATTT của hệ thống thông tin; Đánh giá và quản lý rủi ro an toàn hệ thống thông tin; Đôn đốc, giám sát, kiểm tra công tác bảo vệ hệ thống thông tin; Tổ chức triển khai các biện pháp bảo vệ hệ thống thông tin; Thực hiện chế độ báo cáo theo quy định và Tổ chức tuyên truyền, nâng cao nhận thức về ATTTM.

Về biện pháp bảo vệ hệ thống thông tin, bao gồm: Ban hành quy định về bảo đảm ATTTM trong thiết kế, xây dựng, quản lý, vận hành, sử dụng, nâng cấp, hủy bỏ hệ thống thông tin; Áp dụng biện pháp quản lý, kỹ thuật theo tiêu chuẩn, quy chuẩn về ATTTM để phòng, chống nguy cơ, khắc phục sự cố ATTTM; Kiểm tra, giám sát việc tuân thủ quy định và đánh giá hiệu quả của các biện pháp quản lý và kỹ thuật được áp dụng và giám sát an toàn hệ thống thông tin.

Về giám sát an toàn hệ thống thông tin: Đây là hoạt động lựa chọn đối tượng giám sát, thu thập, phân tích trạng thái thông tin của đối tượng giám sát nhằm xác định những nhân tố ảnh hưởng đến an toàn hệ thống thông tin; báo cáo, cảnh báo hành vi xâm phạm ATTTM hoặc hành vi có khả năng gây ra sự cố ATTTM đối với hệ thống thông tin; tiến hành phân tích yếu tố then chốt ảnh hưởng tới trạng thái ATTTM; đề xuất thay đổi biện pháp kỹ thuật.

Đối tượng giám sát an toàn hệ thống thông tin bao gồm: tường lửa, kiểm soát truy nhập, tuyến thông tin chủ yếu, máy chủ quan trọng, thiết bị quan trọng hoặc thiết bị đầu cuối quan trọng.

Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin và doanh nghiệp cung cấp dịch vụ ATTTM có trách nhiệm phối hợp với chủ quản hệ thống thông tin trong việc giám sát an toàn hệ thống thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền.

Về trách nhiệm của chủ quản hệ thống thông tin: Chủ quản hệ thống thông tin có trách nhiệm thực hiện bảo vệ hệ thống thông tin theo quy định tại các Điều 23, 24 và 25 của Luật An toàn thông tin mạng.

Chủ quản hệ thống thông tin sử dụng ngân sách nhà nước thực hiện trách nhiệm quy định tại khoản 1 Điều này và có trách nhiệm: Có phương án bảo đảm ATTTM được cơ quan nhà nước có thẩm quyền thẩm định khi thiết lập, mở rộng hoặc nâng cấp hệ thống thông tin và chỉ định cá nhân, bộ phận phụ trách về ATTTM.

Về hệ thống thông tin quan trọng quốc gia: Khi thiết lập, mở rộng và nâng cấp hệ thống thông tin quan trọng quốc gia phải thực hiện kiểm định ATTT trước khi đưa vào vận hành, khai thác.

Bộ TT&TT chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành liên quan xây dựng Danh mục hệ thống thông tin quan trọng quốc gia trình Thủ tướng Chính phủ ban hành.

Về trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia:

- Chủ quản hệ thống thông tin quan trọng quốc gia có trách nhiệm: Thực hiện quy định tại Điều 26 của Luật; Định kỳ đánh giá rủi ro ATTTM. Việc đánh giá rủi ro ATTTM phải do tổ chức chuyên môn được cơ quan nhà nước có thẩm quyền chỉ định thực hiện; Triển khai biện pháp dự phòng cho hệ thống thông tin; Lập kế hoạch bảo vệ, lập phương án và diễn tập phương án bảo vệ hệ thống thông tin quan trọng quốc gia.

- Bộ TT&TT có trách nhiệm: Chủ trì, phối hợp với chủ quản hệ thống thông tin quan trọng quốc gia, Bộ Công an và bộ, ngành liên quan hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ ATTTM đối với hệ thống thông tin quan trọng quốc gia, trừ hệ thống thông tin quy định tại khoản 3 và khoản 4 của Điều 27; Yêu cầu doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin tham gia tư vấn, hỗ trợ kỹ thuật, ứng cứu sự cố ATTTM cho hệ thống thông tin quan trọng quốc gia.

- Bộ Công an chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ ATTTM đối với hệ thống thông tin quan trọng quốc gia do Bộ Công an quản lý; phối hợp với Bộ TT&TT, chủ quản hệ thống thông tin quan trọng quốc gia và bộ, ngành và ủy ban nhân dân các cấp có liên quan trong việc bảo vệ hệ thống thông tin quan trọng quốc gia khác khi có yêu cầu của cơ quan nhà nước có thẩm quyền.

- Bộ Quốc phòng chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ ATTTM đối với hệ thống thông tin quan trọng quốc gia do Bộ Quốc phòng quản lý.

- Ban Cơ yếu Chính phủ chủ trì tổ chức triển khai giải pháp dùng mật mã để bảo vệ thông tin trong hệ thống thông tin quan trọng quốc gia của các cơ quan Đảng, Nhà nước, tổ chức chính trị - xã hội; phối hợp với chủ quản hệ thống thông tin quan trọng quốc gia trong việc giám sát ATTTM theo quy định của pháp luật.