Theo quy định của Luật An ninh mạng, hệ thống thông tin quan trọng về an ninh quốc gia phải được thẩm định, chứng nhận đủ điều kiện về an ninh mạng trước khi đưa vào vận hành, sử dụng; thường xuyên giám sát, kiểm tra về an ninh mạng trong quá trình sử dụng và kịp thời ứng phó, khắc phục sự cố an ninh mạng (Ảnh minh họa. Nguồn: Internet). |
Hệ thống thông tin quan trọng về an ninh quốc gia là gì?
Quốc hội khóa XIV ngày 12/6/2018, tại kỳ họp thứ 5 đã thông qua dự thảo Luật An ninh mạng, với 423 đại biểu tán thành, đạt tỷ lệ 86,86%. Ngay trước khi Quốc hội biểu quyết thông qua toàn bộ dự thảo Luật An ninh mạng, các đại biểu đã biểu quyết thông qua Điều 10 về hệ thống thông tin quan trọng về an ninh quốc gia và Điều 26 về bảo đảm an ninh thông tin trên không gian mạng. Tỷ lệ đại biểu Quốc hội tán thành thông qua 2 Điều luật này lần lượt là 86,86% và 8,72%.
Có hiệu lực thi hành kể từ ngày 1/1/2019, Luật An ninh mạng quy định về hoạt động bảo vệ an ninh quốc gia và bảo đảm trật tự, an toàn xã hội trên không gian mạng; trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.
Việc bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định tại Chương II của Luật An ninh mạng, với 6 điều từ Điều 10 đến Điều 15.
Điều 10 của Luật An ninh mạng quy định, hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại sẽ xâm phạm nghiêm trọng an ninh mạng.
Hệ thống thông tin quan trọng về an ninh quốc gia bao gồm: hệ thống thông tin quân sự, an ninh, ngoại giao, cơ yếu; hệ thống thông tin lưu trữ, xử lý thông tin thuộc bí mật nhà nước; hệ thống thông tin phục vụ lưu giữ, bảo quản hiện vật, tài liệu có giá trị đặc biệt quan trọng; hệ thống thông tin phục vụ bảo quản vật liệu, chất đặc biệt nguy hiểm đối với con người, môi trường sinh thái; hệ thống thông tin phục vụ bảo quản, chế tạo, quản lý cơ sở vật chất đặc biệt quan trọng khác liên quan đến an ninh quốc gia; hệ thống thông tin quan trọng phục vụ hoạt động của cơ quan, tổ chức ở trung ương; hệ thống thông tin quốc gia thuộc lĩnh vực năng lượng, tài chính, ngân hàng, viễn thông, giao thông vận tải, tài nguyên môi trường, hóa chất, y tế, văn hóa, báo chí; hệ thống điều khiển và giám sát tự động tại công trình quan trọng liên quan đến an ninh quốc gia, mục tiêu quan trọng về an ninh quốc gia.
Cũng theo quy định tại Điều 10 Luật An ninh mạng, Thủ tướng Chính phủ ban hành và sửa đổi, bổ sung Danh mục hệ thống thông tin quan trọng về an ninh quốc gia. Chính phủ quy định việc phối hợp giữa Bộ Công an, Bộ Quốc phòng, Bộ TT&TT, Ban Cơ yếu Chính phủ, các Bộ, ngành chức năng trong việc thực hiện các hoạt động thẩm định, đánh giá, kiểm tra, giám sát, ứng phó, khắc phục sự cố đối với hệ thống thông tin quan trọng về an ninh quốc gia.
Các biện pháp bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia
Cùng với việc quy định cụ thể về hệ thống thông tin quan trọng về an ninh quốc gia, Chương II của Luật An mạng còn quy định rõ những biện pháp nhằm thực hiện bảo vệ an ninh mạng đối với các hệ thống thông tin này, bao gồm: Thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia (Điều 11); Đánh giá điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia (Điều 12); Kiểm tra an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia (Điều 13); Giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia (Điều 14); và Ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia (Điều 15).
Trong đó, thẩm định an ninh mạng là hoạt động xem xét, đánh giá những nội dung về an ninh mạng để làm cơ sở cho việc quyết định xây dựng hoặc nâng cấp hệ thống thông tin. Thẩm quyền thẩm định an ninh mạng được quy định tại khoản 4 Điều 11 của Luật An ninh mạng: Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, trừ trường hợp quy định tại điểm b và điểm c khoản này; Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng thẩm định an ninh mạng đối với hệ thống thông tin quân sự; Ban Cơ yếu Chính phủ thẩm định an ninh mạng đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ.
Đánh giá điều kiện về an ninh mạng, theo quy định tại Điều 12 Luật An ninh mạng, là hoạt động xem xét sự đáp ứng về an ninh mạng đối với hệ thống thông tin trước khi đưa vào vận hành, sử dụng. Cũng theo điều luật này, hệ thống thông tin quan trọng về an ninh quốc gia phải đáp ứng các điều kiện về: Quy định, quy trình và phương án bảo đảm an ninh mạng; nhân sự vận hành, quản trị hệ thống; Bảo đảm an ninh mạng đối với các trang thiết bị, phần cứng, phần mềm là thành phần hệ thống; Biện pháp kỹ thuật để giám sát, bảo vệ an ninh mạng; biện pháp bảo vệ hệ thống điều khiển và giám sát tự động, Internet vạn vật, hệ thống phức hợp thực – ảo, điện toán đám mây, hệ thống dữ liệu lớn, hệ thống dữ liệu nhanh, hệ thống trí tuệ nhân tạo; Biện pháp bảo đảm an ninh vật lý bao gồm cách ly cô lập đặc biệt, chống rò rỉ dữ liệu, chống thu tin, kiểm soát ra vào.
Thẩm quyền đánh giá điều kiện an ninh mạng cũng được quy định cụ thể, theo đó: Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an đánh giá, chứng nhận đủ điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, trừ trường hợp quy định tại điểm b và điểm c khoản này; Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng đánh giá, chứng nhận đủ điều kiện an ninh mạng đối với hệ thống thông tin quân sự; Ban Cơ yếu Chính phủ đánh giá, chứng nhận đủ điều kiện an ninh mạng đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ. Hệ thống thông tin quan trọng về an ninh quốc gia được đưa vào vận hành, sử dụng sau khi được chứng nhận đủ điều kiện an ninh mạng. Chính phủ quy định chi tiết khoản 2 Điều 12 Luật An ninh mạng.
Đối với việc kiểm tra an ninh mạng với hệ thống thông tin quan trọng về an ninh quốc gia, Điều 13 Luật An ninh mạng cho hay, kiểm tra an ninh mạng được thực hiện trong trường hợp: Khi đưa phương tiện điện tử, dịch vụ an toàn thông tin mạng vào sử dụng trong hệ thống thông tin (a); Khi có thay đổi hiện trạng hệ thống thông tin (b); Kiểm tra định kỳ hằng năm (c); Kiểm tra đột xuất khi xảy ra sự cố an ninh mạng, hành vi xâm phạm an ninh mạng; khi có yêu cầu quản lý nhà nước về an ninh mạng; hết thời hạn khắc phục điểm yếu, lỗ hổng bảo mật theo khuyến cáo của lực lượng chuyên trách bảo vệ an ninh mạng (d).
Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm tiến hành kiểm tra an ninh mạng đối với hệ thống thông tin do mình quản lý trong trường hợp quy định tại các điểm a, b và c khoản 2 Điều này, thông báo kết quả bằng văn bản cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng đối với hệ thống thông tin quân sự trước tháng 10 hằng năm.
Về kiểm tra an ninh mạng đột xuất, Điều 13 Luật An ninh mạng quy định, trước thời điểm tiến hành kiểm tra, lực lượng chuyên trách bảo vệ an ninh mạng có trách nhiệm thông báo bằng văn bản cho chủ quản hệ thống thông tin ít nhất 12 giờ trong trường hợp xảy ra sự cố an ninh mạng, hành vi xâm phạm an ninh mạng và ít nhất 72 giờ trong trường hợp có yêu cầu quản lý nhà nước về an ninh mạng hoặc hết thời hạn khắc phục điểm yếu, lỗ hổng bảo mật theo khuyến cáo của lực lượng chuyên trách bảo vệ an ninh mạng.
Trong thời hạn 30 ngày kể từ khi kết thúc kiểm tra, lực lượng chuyên trách bảo vệ an ninh mạng thông báo kết quả kiểm tra và đưa ra yêu cầu đối với chủ quản hệ thống thông tin trong trường hợp phát hiện điểm yếu, lỗ hổng bảo mật; hướng dẫn hoặc tham gia khắc phục khi có đề nghị của chủ quản hệ thống thông tin;
Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an kiểm tra an ninh mạng đột xuất đối với hệ thống thông tin quan trọng về an ninh quốc gia, trừ hệ thống thông tin quân sự do Bộ Quốc phòng quản lý, hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ và sản phẩm mật mã do Ban Cơ yếu Chính phủ cung cấp để bảo vệ thông tin thuộc bí mật nhà nước.
Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng kiểm tra an ninh mạng đột xuất đối với hệ thống thông tin quân sự. Ban Cơ yếu Chính phủ kiểm tra an ninh mạng đột xuất đối với hệ thống thông tin cơ yếu do Ban Cơ yếu Chính phủ quản lý và sản phẩm mật mã do Ban Cơ yếu Chính phủ cung cấp để bảo vệ thông tin thuộc bí mật nhà nước.
Điều luật này cũng quy định, chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng tiến hành kiểm tra an ninh mạng đột xuất; kết quả kiểm tra an ninh mạng được bảo mật theo quy định của pháp luật.
Điều 43 của Luật An ninh mạng quy định, hệ thống thông tin đang vận hành, sử dụng được đưa vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, trong thời hạn 12 tháng kể từ ngày Luật này có hiệu lực (ngày 1/1/2019), chủ quản hệ thống thông tin bổ sung đủ điều kiện an ninh mạng, lực lượng chuyên trách bảo vệ an ninh mạng đánh giá điều kiện an ninh mạng theo quy định tại Điều 12 Luật này; trường hợp cần gia hạn do Thủ tướng Chính phủ quyết định nhưng không quá 12 tháng.
Hệ thống thông tin đang vận hành, sử dụng được bổ sung Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, trong thời hạn 12 tháng kể từ ngày được bổ sung, chủ quản hệ thống thông tin bổ sung đủ điều kiện an ninh mạng, lực lượng chuyên trách bảo vệ an ninh mạng đánh giá điều kiện an ninh mạng theo quy định tại Điều 12 Luật này; trường hợp cần gia hạn do Thủ tướng Chính phủ quyết định nhưng không quá 12 tháng.