Nhận định, soi kèo U23 Thái Lan vs U23 Malaysia, 22h ngày 5/6

Bộ TT&TT mời chuyên gia "góp sức" hoàn thiện Tiêu chuẩn đảm bảo ATTT

Chiều ngày 8/12/2016, Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng đã chủ trì hội thảo tham vấn ý kiến chuyên môn của các chuyên gia an toàn thông tin (ATTT) với việc xây dựng dự thảo Tiêu chuẩn quốc gia “Yêu cầu cơ bản về an toàn HTTT theo cấp độ”. Hội thảo có sự tham dự của một số chuyên gia ATTT đến từ Hiệp hội ATTT Việt Nam (VNISA); các công ty MISOFT, Bkav, CMC InfoSec, FPT IS, VNCS; Trung tâm Chứng nhận Phù hợp (QUACERT) cùng đại diện lãnh đạo các đơn vị chức năng của Bộ TT&TT.

Đại diện Cục ATTT cho biết, sau khi Luật ATTT mạng được Quốc hội thông qua ngày 19/11/2015 và có hiệu lực từ 1/7/2016, Chính phủ đã ban hành Nghị định 85 về đảm bảo an toàn HTTT theo cấp độ. Điều 19 Nghị định 85 quy định, việc đảm bảo an toàn HTTT  phải đảm bảo các yêu cầu an toàn cơ bản theo tiêu chuẩn, quy chuẩn kỹ thuật về ATTT. Nghị định cũng giao nhiệm vụ cho Bộ TT&TT xây dựng dự thảo tiêu chuẩn và ban hành quy chuẩn kỹ thuật về ATTT.

Thứ trưởng Nguyễn Thành Hưng nhấn mạnh, một yêu cầu quan trọng của việc hướng dẫn Luật ATTT mạng và Nghị định 85 là cần phải đưa ra các khuyến nghị về những yêu cầu kỹ thuật để áp dụng cho các cấp độ an toàn của HTTT như thế nào cho phù hợp.

“Tinh thần của Bộ TT&TT là học tập kinh nghiệm quốc tế, nhưng cũng làm thế nào để phù hợp với tình hình trong nước hiện nay. Nếu chúng ta áp dụng tất cả các khuyến nghị quốc tế như tiêu chuẩn ISO 27000 có lẽ về mặt thực tiễn cũng không phù hợp. Vì vậy cần xem xét, chắt lọc các nội dung của quốc tế, kết hợp với điều kiện thực tiễn Việt Nam để đưa ra những khuyến nghị sao cho các cơ quan, tổ chức, doanh nghiệp có HTTT có thể dễ dàng áp dụng”, Thứ trưởng nói.

Dự thảo Tiêu chuẩn “Yêu cầu cơ bản về an toàn HTTT theo cấp độ” được Cục ATTT chủ trì xây dựng trên cơ sở tham khảo các tiêu chuẩn quốc tế, tiêu chuẩn của các nước phát triển về CNTT và các tiêu chuẩn quốc gia đã ban hành. Các tiêu chuẩn tham chiếu được lựa chọn các nội dung cho phù hợp với cơ cấu tổ chức, công tác quản lý nhà nước về ATTT cũng như điều kiện thực tế tại Việt Nam hiện nay; phù hợp với đối tượng và phạm vi áp dụng quy định tại Nghị định 85.

Với tinh thần trên, dự thảo Tiêu chuẩn đã được xây dựng trên cơ sở tham chiếu tiêu chuẩn SP800-53 của Mỹ để xây dựng các yêu cầu về kỹ thuật và tiêu chuẩn ISO/IEC 27001:2013 để xây dựng các yêu cầu về quản lý. Các nội dung được lựa chọn để xây dựng tiêu chuẩn tập trung vào nội dung bảo vệ HTTT trên môi trường mạng và đảm bảo các yêu cầu này là cơ bản, có tính khả thi và phù hợp với đối tượng áp dụng. Những nội dung khác như: an toàn vật lý, bảo vệ thông tin cá nhân… nằm trong các tiêu chuẩn tham chiếu sẽ được nghiên cứu xây dựng thành các tiêu chuẩn độc lập. 

Dự thảo Tiêu chuẩn có nội dung chính gồm các yêu cầu kỹ thuật và yêu cầu quản lý. Cụ thể, yêu cầu kỹ thuật gồm 139 tiêu chí chụ thể được chia theo 4 nhóm: Bảo đảm an toàn hạ tầng mạng; Bảo đảm an toàn máy chủ; Bảo đảm an toàn ứng dụng; An toàn dữ liệu. Yêu cầu quản lý có tổng cộng 150 tiêu chí được chia làm 5 nhóm gồm: Chính sách ATTT; Tổ chức đảm bảo ATTT; Bảo đảm nguồn nhân lực; Quản lý thiết kế, xây dựng HTTT; Quản lý vận hành hệ thống.

Tháng 6/2017: Ban hành Tiêu chuẩn đảm bảo ATTT cho hệ thống thông tin

Tại hội thảo, các chuyên gia đã cơ bản ủng hộ với cách tiếp cận của Tổ công tác trong việc xây dựng dự thảo Tiêu chuẩn “Yêu cầu cơ bản về an toàn HTTT theo cấp độ”. Ông Vũ Bảo Thạch, GĐ Kỹ thuật của MISOFT bày tỏ sự đồng thuận với phương pháp ghép cả ISO và tiêu chuẩn NIST (Viện Tiêu chuẩn và Công nghệ Mỹ - PV) đã được Tổ công tác chọn để xây dựng dự thảo Tiêu chuẩn.

Vị chuyên gia tư vấn độc lập này đánh giá: “Tiêu chuẩn ISO ổn nhưng vẫn là các tiêu chuẩn quản lý ATTT, còn tiêu chuẩn NIST của Mỹ rất hợp lý trong việc chúng ta cần những hành động cụ thể để đảm bảo ATTT. Tôi hoàn toàn ủng hộ phương pháp ghép các tiêu chuẩn tương đương với NIST”.

Vừa mới đây sáng ngày 28/11/2016, Sở TT&TT tỉnh Hải Dương cũng tổ chức khai giảng lớp bồi dưỡng nghiệp vụ về công tác đảm bảo an toàn thông tin cho cán bộ, công chức, viên chức trong các cơ quan Nhà nước. Theo Cổng thông tin điện tử Sở TT&TT tỉnh Hải Dương đưa tin, lớp bồi dưỡng có giảng viên đến từ Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam VNCERT thuộc Bộ TT&TT.

Lớp bồi dưỡng nghiệp vụ về công tác đảm bảo an toàn thông tin này có trên 100 học viên (chia thành 2 lớp) là cán bộ, công chức, viên chức phụ trách an toàn thông tin của các sở, ban, ngành, đoàn thể, UBND các huyện, thị xã, thành phố; Phòng Văn hóa - Thông tin các huyện, thị xã, thành phố.