310 likes | 635 Views
Sở Thông tin và Truyền thông Bình Dương. Tập huấn. Hội thi ATTT số Bình Dương lần I, năm 2013. Binh Duong, 11/2013. Giới thiệu. 1. Hệ thống VBPL liên quan đến An toàn thông tin số. 2. Tổ chức quản lý An toàn thông tin số. 1.1. Hệ thống văn bản quy phạm pháp luật. Một số văn bản pháp quy.
E N D
Sở Thông tin và Truyền thông Bình Dương Tập huấn Hội thi ATTT số Bình Dương lần I, năm 2013 Binh Duong, 11/2013
8/20/2014 Giới thiệu 1. Hệ thống VBPL liên quan đến An toàn thông tin số 2. Tổ chức quản lý An toàn thông tin số
1.1. Hệ thống văn bản quy phạm pháp luật Một số văn bản pháp quy + Nghị định 33/2002/NĐ-CP ngày 28/3/2002 của Chính phủ Quy định chi tiết thi hành Pháp lệnh BV BMNN; + Nghị định 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về việc ứng dụng CNTT trong hoạt động của CQNN; + Nghị định 97/2008/NĐ-CPngày 28/8/2008 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin điện tử trên Internet; + Thông tư 12/2002/TT-BCA ngày 13/9/2002 của Bộ Công an về việc hướng dẫn thực hiện Nghị định số 33/2002/NĐ-CP; + Thông tư liên tịch 06/2008/TTLT-BTTTT-BCA ngày 28/11/2008 của Bộ Thông tin và Truyền thông và Bộ Công an về bảo đảm an toàn cơ sở hạ tầng và an ninh thông tin trong hoạt động bưu chính, viễn thông và CNTT; + Thông tư 23/2011/TT-BTTTT ngày 11/8/2011 của Bộ TTTT Quy định về việc quản lý, vận hành, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước; + Quyết định 03/2012/QĐ-UBND ngày 12/01/2012 của UBND tỉnh Quy định về quản lý, vận hành, sử dụng và bảo đảm ATTT trên Mạng TSLCD của các cơ quan Đảng, Nhà nước trên địa bàn tỉnh Bình Dương; + Quyết định 02/2013/QĐ-UBND ngày 05/01/2013 của UBND tỉnh ban hành Quy chế ứng dụng CNTT trong hoạt động của CQNN trên địa bàn tỉnh Bình Dương. +…
1.1. Hệ thống văn bản quy phạm pháp luật Một số văn bản chỉ đạo điều hành + Quyết định 63/QĐ-TTg ngày 13/01/2010 của Thủ tướng Chính phủ về phê duyệt Quy hoạch an toàn thông tin số Quốc gia đến năm 2020; + Chỉ thị 897/CT-TTg ngày 10/6/2011 của Thủ tướng Chính phủ về việc tăng cường triển khai các hoạt động đảm bảo ATTT số; + Công văn 1790/BTTTT-VNCERT ngày 20/6/2011 của Bộ TTTTT về việc tăng cường công tác đảm bảo ATTT cho cổng/trang TTĐT; + Công văn 2132/BTTTT-VNCERT ngày 18/7/2011 của Bộ TTTT hướng dẫn đảm bảo ATTT cho cổng/trang thông tin điện tử; + Chỉ thị 25/CT-UBND ngày 06/12/2011 của UBND tỉnh về việc tăng cường triển khai các hoạt động đảm bảo ATTT số của CQNN trên địa bàn tỉnh; + Quyết định 3635/QĐ-UBND ngày 26/12/2012 của UBND tỉnh ban hành Kế hoạch tăng cường triển khai các hoạt động đảm bảo ATTT số trong các CQNN trên địa bàn tỉnh giai đoạn 2013-2015.. +. Công văn 141/STTTT-CNTT ngày 02/4/2013 của Sở Thông tin và Truyền thông về việc hướng dẫn áp dụng thiết kế mẫu trong việc xây dựng, tổ chức hệ thống mạng nội bộ trong các cơ quan nhà nước +…
1.1. Hệ thống văn bản quy phạm pháp luật Bảo vệ BMNN Đảm bảo ANTT Pháp lệnh BVBMNN Luật CNTT NĐ 33/2002/NĐ-CP NĐ 64/2007/NĐ-CP NĐ 97/2008/NĐ-CP TT 23/2011/TT-BTTTT TT 12/2002/TT-BCA TTLT 06/2008/TTLT-BTTTT-BCA QĐ 02/2013/QĐ-UBND QĐ 03/2012/QĐ-UBND
1.1. Hệ thống văn bản quy phạm pháp luật Văn bản chỉ đạo đảm bảo ANTT số Quyết định 63/QĐ-TTg Chỉ thị 897/CT-TTg 1790/BTTTT-VNCERT 2132/BTTTT-VNCERT Chỉ thị 25/CT-UBND Quyết định 3635/QĐ-UBND VB 141/STTTT-CNTT Một số VB hướng dẫn của Sở TTTT
1.2 Trích một số nội dung ATTT số tại các VB NĐ 64/2007/NĐ-CP: Điều 41: 1. Việc bảo đảm ATTT là yêu cầu bắt buộc …. 3. CQNN phải xây dựng nội quy bảo đảm ANTT; có cán bộ phụ trách quản lý ATTT; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho HTTT… đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về ATTT. 4. Áp dụng quy trình bảo đảm an toàn dữ liệu bao gồm: a) Lưu trữ dự phòng; b) Sử dụng mật mã ….; c) Quản lý chặt chẽ việc di chuyển các trang thiết bị công nghệ thông tin lưu trữ các thông tin thuộc danh mục bí mật nhà nước; d) Giám sát các khâu tạo lập, xử lý và hủy bỏ dữ liệu; đ) Các quy trình bảo đảm an toàn dữ liệu khác. 5. Áp dụng quy trình quản lý an toàn hạ tầng kỹ thuật bao gồm: a) Các giải pháp bảo vệ nhằm ngăn chặn và phát hiện sớm việc truy cập trái phép vào mạng máy tính hay thiết bị lưu trữ dữ liệu; b) Áp dụng các công nghệ xác thực, cơ chế quản lý quyền truy cập và cơ chế ghi biên bản hoạt động … để quản lý và kiểm tra việc truy cập mạng; c) Kiểm soát chặt chẽ việc cài đặt các phần mềm mới lên máy chủ và máy trạm; d) Theo dõi thường xuyên tình trạng lây nhiễm và thực hiện loại bỏ phần mềm độc hại khỏi hệ thống; đ) Các quy trình quản lý an toàn hạ tầng kỹ thuật khác. 6. Điều kiện bảo đảm thực hiện nhiệm vụ ATTT: a) CBCCVC phải nắm vững các quy định của pháp luật và nội quy của cơ quan về ATTT; b) Cán bộ kỹ thuật về ATTT phải được tuyển chọn, đào tạo, huấn luyện, thường xuyên bồi dưỡng nghiệp vụ phù hợp với nhiệm vụ được giao và được tạo điều kiện làm việc phù hợp; c) CQNN ưu tiên sử dụng lực lượng kỹ thuật về ATTTT của mình; khi cần thiết có thể sử dụng dịch vụ của các tổ chức bảo đảm ATTT đủ năng lực được Nhà nước công nhận; d) Hạ tầng kỹ thuật phải được định kỳ kiểm tra, đánh giá hoặc kiểm định về mặt ATTTT…
1.2 Trích một số nội dung ATTT số tại các VB NĐ 64/2007/NĐ-CP: Điều 42: 1. Trách nhiệm của CQNN có hạ tầng kỹ thuật bị sự cố: a) Áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại do sự cố xảy ra, lập biên bản báo cáo cho CQ cấp trênquản lý trực tiếp; b) Trường hợp có sự cố nghiêm trọngvượt quá khả năng khắc phục…, phải báo cáo ngay cho CQQLNNcó thẩm quyền… c) Tạo điều kiện thuận lợi cho cơ quan chức năng tham gia khắc phục sự cố và thực hiện theo đúng hướng dẫn; d) Cung cấp đầy đủ, chính xác, kịp thời những thông tin cần thiết cho CQ cấp trênquản lý trực tiếp; đ) Báo cáo bằng văn bản về sự cố cho CQ cấp trênquản lý trực tiếp và CQ QLNN. 2. Trách nhiệm của CQ cấp trênquản lý trực tiếp: a) Tuỳ theo mức độ của sự cố, hướng dẫn hoặc cử cán bộ có thẩm quyền đến cơ sở để hướng dẫn, giúp đỡ khắc phục sự cố; b) Huy động các phương tiện cần thiết để khắc phục sự cố. 3. Trách nhiệm của CQQLNN:
1.2 Trích một số nội dung ATTT số tại các VB Chỉ thị 897/CT-TTg ngày 10/06/2012 yêu cầu: • Kiểm tra và nghiêm túc thực hiện các quy định về đảm bảo ATTT số tại các điều 41, 42 NĐ 64/2007/NĐ-CP … • Tăng cường công tác triển khai quản lý ATTT số theo tiêu chuẩn TCVN ISO/IEC 27000:2009 • Triển khai áp dụng các giải pháp đảm bảo ATTT, chống virus và mã độc hại cho các HTTT và máy tính cá nhân có kết nối mạng Internet. • - Đối với các HTTT quan trọng, các cổng, trang TTĐT quan trọng, nhất thiết phải áp dụng chính sách ghi …logfile cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng với thời gian lưu trữ … tối thiểu không ít hơn 03 tháng…
1.3. Những việc cần thực hiện tại 1 cơ quan (NĐ 64) 1. Yêu cầu đảm bảo ATTT trong ứng dụng CNTT “Việc bảo đảm ATTT là yêu cầu bắt buộc trong quá trình thiết kế, xây dựng, vận hành, nâng cấp và huỷ bỏ các hạ tầng kỹ thuật của CQNN” - Quá trình thiết kế: khi lập dự án hoặc thực hiện các hoạt động, nhiệm vụ ứng dụng CNTT, các cơ quan là chủ đầu tư phải chuyển cho Sở TTTT thẩm định luận chứng, phương án đảm bảo ATTT trước khi thực hiện. - Quá trình xây dựng, vận hành, nâng cấp hạ tầng kỹ thuật: cơ quan chủ đầu tư phải đảm bảo việc triển khai đúng theo các thiết kế đã được thẩm định - Quá trình hủy bỏ hạ tầng kỹ thuật: cơ quan chủ đầu tư phải đảm bảo hủy bỏ vĩnh viễn các dữ liệu (ví dụ trên đĩa cứng, bộ nhớ...) gắn liền với hạ tầng kỹ thuật; không được bị lợi dụng để sao chép, đánh cắp dữ liệu Sở TTTT sẽ thực hiện việc kiểm tra, đánh giá định kỳ hoặc đột xuất về tình hình đảm bảo ATTT tại các cơ quan.
1.3. Những việc cần thực hiện tại 1 cơ quan (NĐ 64) 2. Xử lý các thông tin mật “Thông tin số thuộc quy định danh mục BMNN của các CQNN phải được phân loại, lưu trữ, bảo vệ trên cơ sở quy định của pháp luật về bảo vệ BMNN.” Áp dụng quy định bảo vệ thông tin mật: - Cơ quan phải dành riêng một số máy tính để soạn thảo, lưu trữ văn bản mật. Các máy tính này KHÔNG được nối mạng Internet (trực tiếp lẫn gián tiếp). - Cơ quan cũng cần ban hành các quy định riêng về trách nhiệm bảo quản, sao lưu các thông tin mật này; quy định việc sửa chữa các thiết bị có chứa các thông tin mật – đảm bảo không lộ, lọt BMNN.
1.3. Những việc cần thực hiện tại 1 cơ quan (NĐ 64) 3. Áp dụng quy trình quản lý an toàn hạ tầng kỹ thuật “a - Các giải pháp bảo vệ nhằm ngăn chặn và phát hiện sớm việc truy cập trái phép vào mạng máy tính hay thiết bị lưu trữ dữ liệu” • - Ngăn chặn việc truy cập, sử dụng máy tính để bàn, laptop và các thiết bị di động của cơ quan: áp dụng nhiều chế độ mật khẩu, mã hóa: mật khẩu mở máy (Power on), mật khẩu Windows, mật khẩu truy cập ứng dụng; Các dữ liệu quan trọng cần được mã hóa; Có quy định kiểm soát thiết bị đem ra, vào cơ quan; • - Ngăn chặn việc truy cập vào hệ thống máy chủ: có chế độ kiểm soát ra/vào phòng máy chủ, trang bị các thiết bị giám sát an ninh; • - Ngăn chặn việc truy cập trái phép từ ngoài vào mạng nội bộ: bằng cách cài đặt thiết bị, phần mềm tường lửa (firewall); phần mềm hoặc thiết bị IDS/IPS tại các vị trí thích hợp trong mạng • Ngăn chặn việc truy cập trái phép từ các máy tính trong mạng nội bộ: áp dụng các chính sách, cơ chế bảo mật như access list, quy tắc định tuyến, quản lý quyền truy cập (authorization); • (Tham khảo Điều 18, Quy chế ứng dụng CNTT trong hoạt động của các cơ quan nhà nước (QĐ 02/2013/QĐ-UBND), văn bản 141/STTTT-CNTT của Sở).
1.3. Những việc cần thực hiện tại 1 cơ quan (NĐ 64) 3. Áp dụng quy trình quản lý an toàn hạ tầng kỹ thuật “b - Áp dụng các công nghệ xác thực, cơ chế quản lý quyền truy cập và cơ chế ghi biên bản hoạt động của hệ thống để quản lý và kiểm tra việc truy cập mạng” • Cơ chế quản lý truy cập dựa vào nguyên tắc AAA (Authentication (xác thực), Authorization (quản lý quyền truy cập), and Accounting (ghi biên bản hoạt động) ) • - Xác thực: nhằm kiểm tra thiết bị hoặc người dùng đã được đăng ký hay chưa ? • + Đối với thiết bị: thường dựa vào địa chỉ vật lý. Cơ quan cần sử dụng hạ tầng mạng có tính năng xác thực địa chỉ vật lý (thường là hệ thống Core switch lớp 3 và các Access switch lớp 2). • + Đối với người dùng: thông qua một trong các biện pháp: user name /password, sinh trắc học, chứng thư số ... Cơ quan cần sử dụng một máy chủ lưu trữ cơ sở dữ liệu các thông tin trên (thường là máy chủ chạy dịch vụ Active Directory). • - Quản lý quyền truy cập: Mỗi thiết bị hoặc người dùng đã đăng ký đều được ấn định một số quyền truy cập nhất định đến các tài nguyên mạng. • + Đối với thiết bị: việc xác định quyền truy cập được thực hiện thông qua các access control list • + Đối với người dùng: quyền truy cập được xác định ngay trong cơ sở dữ liệu người dùng. • Sau khi việc xác thực thành công, thiết bị hoặc người dùng sẽ được cấp các quyền đã định trước. • Ghi biên bản hoạt động: là việc theo dõi quá trình mà thiết bị hoặc người dùng thực hiện quyền đã được cấp, bằng cách ghi nhận lại từng hoạt động vào các log file. Khi đọc lại log file, có thể phát hiện các truy cập bất thường, phát hiện các hành động xâm nhập, tấn công vào hệ thống mạng. Các logfile phải được lưu trữ ít nhất là 03 tháng.
1.3. Những việc cần thực hiện tại 1 cơ quan (NĐ 64) 3. Áp dụng quy trình quản lý an toàn hạ tầng kỹ thuật c -Theo dõi thường xuyên tình trạng lây nhiễm và thực hiện loại bỏ phần mềm độc hại khỏi hệ thống; Các máy tính trong hệ thống mạng nội bộ cơ quan phải: - Sử dụng phần mềm có bản quyền – hoặc phần mềm nguồn mở đã qua kiểm định. + Đối với các cơ quan hành chính: UBND tỉnh có chương trình mua bản quyền của Cty Microsoft cho Các cơ quan có thể liên hệ Sở TTTT để nhận bản quyền các phần mềm: Windows Server 2008 /2012, Windows XP, Windows Vista, MS Office, MS SQL Server, MS TMG, Phần mềm antivirus MS Forefront ... + Đối với các đơn vị sự nghiệp: định hướng sử dụng phần mềm nguồn mở. - Được cài đặt và cập nhật phần mềm chống virus: Sau khi cài đặt phần mềm chống virus cho các máy trạm, cơ quan nên cài đặt cơ chế giám sát tập trung tình trạng hoạt động của các phần mềm chống virus và cơ chế thường xuyên cập nhật các thông tin về virus mới.
1.3. Những việc cần thực hiện tại 1 cơ quan (NĐ 64) 3. Áp dụng quy trình quản lý an toàn hạ tầng kỹ thuật d) Kiểm soát chặt chẽ việc cài đặt các phần mềm mới lên máy chủ và máy trạm; Hiện nay, đa số các cơ quan chưa quy định rõ về việc cài đặt phần mềm mới lên máy chủ, máy trạm - đặc biệt là máy trạm. Người dùng thường tự ý cài đặt các phần mềm theo ý muốn: Photoshop, Hotspotshield, .. Nhiều khi vướng vào các lời khuyến cáo dụ dỗ trên mạng: cài đặt các phần mềm kiểm tra an toàn máy tính, tối ưu hóa hoạt động máy tính .. Hoặc vô tình click vào các hình ảnh có chứa các đường dẫn nguy hiểm, các mã độc ... Nếu không bị đánh cắp thông tin, thì cũng bị nhiễm virus, hoặc ít nhất máy tính cũng bị giảm hiệu năng hoạt động. Giải pháp cho vấn đề này: - Trước tiên cơ quan phải có quy định hạn chế việc cài đặt phần mềm mới, lập danh sách các phần mềm được phép cài đặt; xác lập quy trình cài đặt thử nghiệm phần mềm mới. - Triển khai giải pháp kỹ thuật như: kết nối các máy trạm vào domain để áp dụng các chính sách, cơ chế hạn chế / kiểm soát việc cài đặt phần mềm.
1.3. Những việc cần thực hiện tại 1 cơ quan (NĐ 64) 4. Áp dụng quy trình đảm bảo an toàn dữ liệu a) Lưu trữ dự phòng; • Đối với dữ liệu của cá nhân hoặc phòng ban: • Nên thiết lập các ổ đĩa mạng để lưu trữ và chia sẻ các dữ liệu làm việc (không kể các dữ liệu mật). Đối với dữ liệu tập trung của cơ quan: - Sử dụng các hệ thống máy chủ chạy song song và các hệ thống lưu trữ dữ liệu chuyên nghiệp (NAS hoặc SAN) để bảo đảm tính sẵn sàng của dữ liệu. Trang bị các thiết bị chuyên dùng cho công tác sao lưu, phục hồi dữ liệu tập trung như: băng từ, đĩa CD /DVD ... - Định kỳ thực hiện sao lưu dữ liệu (tối thiểu 01 lần/tuần) và đảm bảo khả năng khôi phục dữ liệu khi hệ thống gặp sự cố. - Cơ quan có nhiều dữ liệu quan trọng phải đăng ký lưu trữ dự phòng tại trung tâm dữ liệu của tỉnh
1.3. Những việc cần thực hiện tại 1 cơ quan (NĐ 64) 4. Áp dụng quy trình đảm bảo an toàn dữ liệu “ b) Sử dụng mật mã để bảo đảm an toàn và bảo mật dữ liệu trong lưu trữ và giao dịch theo quy định của NN về mật mã” - Bảo mật dữ liệu trong lưu trữ: Áp dụng biện pháp mã hóa các dữ liệu quan trọng khi lưu trữ; Người có được mật mã mới truy cập, giải mã được. - Bảo mật dữ liệu trong giao dịch: + Khi CBCCVC truy cập vào các hệ thống thông tin của cơ quan, cần sử dụng các phương thức mã hóa kênh truyền như giao thức HTTPS, VPN (khi truy cập từ bên ngoài) hoặc IP Security (khi truy cập từ trong mạng nội bộ). + Khi giao truyền nhận dữ liệu qua email, nên dùng chữ ký số để mã hóa dữ liệu và đảm bào dữ liệu không bị thay đổi.
1.3. Những việc cần thực hiện tại 1 cơ quan (NĐ 64) 4. Áp dụng quy trình đảm bảo an toàn dữ liệu “c) Quản lý chặt chẽ việc di chuyển các trang thiết bị công nghệ thông tin lưu trữ các thông tin thuộc danh mục BMNN” Cơ quan phải có biện pháp giám sát, theo dõi việc quản lý, sử dụng các thiết bị dùng để soạn thảo, lưu trữ tài liệu mật bao gồm: danh sách thiết bị, người được phân công quản lý, sử dụng, tình trạng thiết bị. Việc di chuyển, điều chuyển, sửa chữa bảo trì hoặc hủy bỏ các thiết bị này phải được sự đồng ý của Lãnh đạo cơ quan. Khi sửa chữa, bảo trì máy tính, phải giữ lại đĩa cứng và các loại thiết bị lưu trữ khác.
1.3. Những việc cần thực hiện tại 1 cơ quan (NĐ 64) 4. Áp dụng quy trình đảm bảo an toàn dữ liệu “d) Giám sát các khâu tạo lập, xử lý và hủy bỏ dữ liệu” Dữ liệu được tạo lập, xử lý hoặc hủy bỏ (gọi chung là xử lý) thông qua các quy trình nghiệp vụ được thực hiện trên phần mềm máy tính. Các phần mềm phải có chức năng giám sát quá trình xử lý các dữ liệu này; Khi cần thiết, lãnh đạo cơ quan có thể xem lại lịch sử xử lý dữ liệu. Khi thanh lý máy tính hay các thiết bị lưu trữ, phải có biện pháp hủy bỏ dữ liệu vĩnh viễn.
8/20/2014 Giới thiệu 1. Hệ thống VBPL liên quan đến An toàn thông tin số 2. Tổ chức quản lý An toàn thông tin số
2.1. Quản lý an toàn thông tin số (NĐ 64) “1. Cơ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin;” - UBND tỉnh đã ban hành Quy chế ứng dụng CNTT trong các cơ quan nhà nước trên địa bàn tỉnh (QĐ 02/2013/QĐ-UBND), trong đó đã có quy định về an toàn thông tin số. - Trên cơ sở các quy định chung, từng cơ quan phải ban hành nội quy đảm bảo an toàn thông tin của cơ quan mình. (Mẫu Quy chế quản lý và sử dụng hệ thống thông tin đã được Sở TTTT hướng dẫn)
2.1. Quản lý an toàn thông tin số “2. CQNN phảicó cán bộ phụ trách quản lý an toàn thông tin” • - Ở cấp quốc gia:Bộ TTTT đảm nhiệm chức năng điều phối hoạt động ứng cứu máy tính tại Việt Nam …; Cơ quan trực tiếp thực hiện các nhiệm vụ này là VNCERT (trực thuộc Bộ). • Ở cấp tỉnh:Sở TTTT đóng vai trò trung gian điều phối, hướng dẫn đảm bảo ATTT và khắc phục sự cố cho các CQNN trên địa bàn tỉnh. • - Cán bộ phụ trách ATTT tại các cơ quan: • + Cán bộ lãnh đạo về an toàn thông tin: UBND tỉnh quy định: “Thủ trưởng cơ quan phải phân công một cán bộ trong Ban lãnh đạo hoặc trực tiếp đảm nhận vai trò Đại diện lãnh đạo về công nghệ thông tin”, đây cũng chính là cán bộ lãnh đạo phụ trách về an toàn thông tin. • + Cán bộ kỹ thuật về an toàn thông tin: hiện nay, tỉnh có chế độ ưu đãi cho cán bộ làm công tác CNTT. Đây cũng chính là cán bộ phụ trách về an toàn thông tin cho các cơ quan.
2.1. Quản lý an toàn thông tin số “3. CQNN phải áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về ATTT. Các cơ quan phải thực hiện, áp dụng các biện pháp đảm bảo an toàn thông tin đã được Sở TTTT phổ biến, hướng dẫn. Cơ quan nào không thực hiện đúng sẽ chịu trách nhiệm trước UBND tỉnh.
2.1. Quản lý an toàn thông tin số “4. Áp dụng hệ thống quản lý bảo mật theo tiêu chuẩn TCVN ISO/IEC 27001:2009” Cơ quan, đơn vị có ứng dụng CNTT Mức độ 3 trở lên phải áp dụng và duy trì hệ thống quản lý bảo mật theo tiêu chuẩn TCVN ISO/IEC 27001:2009. “5. Báo cáo thống kê về an toàn thông tin” Khi có yêu cầu của UBND tỉnh hoặc cơ quan chuyên trách về ATTT số, các cơ quan, đơn vị lập báo cáo về tình hình quản lý an toàn, bảo mật trong ứng dụng CNTT của cơ quan mình.
2.2. Điều kiện bảo đảm thực hiện nhiệm vụ ATTT “1. CBCCVC phải nắm vững các quy định của pháp luật và nội quy của cơ quan về an toàn thông tin” CQNN phải tổ chức tuyên truyền, tập huấn cho CBCCVC nắm rõ và thực hiện đúng: - Các quy định của pháp luật về an toàn thông tin như: Nghị định 64/2007/NĐ-CP, Quy chế ứng dụng CNTT trong hoạt động của các CQNN trên địa bàn tỉnh... (Lớp tập huấn hôm nay cũng nhằm mục đích này) - Nội quy của cơ quan về ATTT (sau khi ban hành),…
2.2. Điều kiện bảo đảm thực hiện nhiệm vụ ATTT “2. Cán bộ kỹ thuật về ATTT phải được tuyển chọn, đào tạo, huấn luyện, thường xuyên bồi dưỡng nghiệp vụ phù hợp với nhiệm vụ được giao và được tạo điều kiện làm việc phù hợp;” • Cán bộ phụ trách CNTT chính là cán bộ kỹ thuật về ATTT. Hiện nay, đội ngũ này cũng đang được hưởng chính sách ưu đãi của tỉnh. Vấn đề quan trọng là làm sao nâng cao chất lượng, hiệu quả hoạt động của đội ngũ này ? • - Khâu tuyển dụng, tuyển chọn: hiện nay vẫn do các cơ quan tự tuyển dụng, do đó, có một số trường hợp chưa đáp ứng trình độ, năng lực cần thiết. Dự kiến sẽ đề xuất UBND tỉnh quy định khâu tuyển dụng phải qua phỏng vấn, sát hạch chuyên môn của Sở TTTT • Khâu đào tạo, bồi dưỡng: Sở TTTT được giao thực hiện dự án đảm bảo nguồn nhân lực CNTT, thường xuyên mở các lớp bồi dưỡng chuyên đề về ATTT cho cán bộ CNTT. Tuy nhiên, vẫn có những trường hợp cán bộ CNTT không tham gia đầy đủ các lớp. Sắp tới, sẽ có những lớp bồi dưỡng chuyên sâu các kỹ năng cấu hình mạng. • Ngoài ra, Sở TTTT sẽ theo dõi, đánh giá việc thực hiện đào tạo, bồi dưỡng bắt buộc theo quy định tại điều 23 – Quy chế ứng dụng CNTT trong hoạt động của các cơ quan nhà nước trên địa bàn tỉnh Bình Dương:
2.2. Điều kiện bảo đảm thực hiện nhiệm vụ ATTT “c) CQNN ưu tiên sử dụng lực lượng kỹ thuật về ATTT của mình; khi cần thiết có thể sử dụng dịch vụ của các tổ chức bảo đảm ATTT đủ năng lực được Nhà nước công nhận” Hiện nay, vẫn còn nhiều CQNN thuê các cửa hàng, doanh nghiệp tin học bên ngoài thực hiện việc bảo trì, sửa chữa nâng cấp thiết bị hoặc hệ thống mạng (kể cả các cơ quan đã có cán bộ phụ trách CNTT). Đây là một trong những nguy cơ mất ATTT số mà các cơ quan cần lưu ý.
2.2. Điều kiện bảo đảm thực hiện nhiệm vụ ATTT “3. Hạ tầng kỹ thuật phải được định kỳ kiểm tra, đánh giá hoặc kiểm định về mặt ATTT phù hợp các tiêu chuẩn, quy chuẩn kỹ thuật quy định.” UBND tỉnh đã giao Sở TTTT tổ chức các đợt kiểm tra ứng dụng CNTT hàng năm tại các cơ quan nhà nước, qua đó sẽ kiểm tra về ATTT số. Riêng trong năm 2013 – 2104, UBND tỉnh đã Quyết định số 3635/QĐ-UBND ngày 26/12/2012 về việc ban hành Kế hoạch tăng cường triển khai các hoạt động đảm bảo an toàn thông tin số trong các cơ quan nhà nước trên địa bàn tỉnh giai đoạn 2013-2015, trong đó có chương trình kiểm tra đánh giá an toàn thông tin của các sở, ngành, UBND cấp huyện (kể cả an toàn website).
2.3. Quy trình giải quyết và khắc phục sự cố ATTT 1. Cơ quan, đơn vị xảy ra sự cố an toàn thông tin: a) Cán bộ phụ trách CNTT áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại do sự cố xảy ra đồng thời báo cáo ngay cho Lãnh đạo về CNTT của cơ quan. b) Nếu sự cố có phạm vi rộng hoặc ảnh hưởng nghiêm trọng vượt quá khả năng khắc phục của cơ quan thì: - Báo cáo ngay cho Sở TTTT (và cả VNCERT nếu cần) - Tạo điều kiện thuận lợi cho cơ quan chức năng tham gia khắc phục sự cố và thực hiện theo đúng hướng dẫn; c) Trong mọi trường hợp, phải lập Báo cáo bằng văn bản về sự cố cho cơ quan cấp trên quản lý trực tiếp và Sở TTTT. http://www.vncert.gov.vn/
2.3. Quy trình giải quyết và khắc phục sự cố ATTT 2. Trách nhiệm của cơ quan cấp trên quản lý trực tiếp a) Tuỳ theo mức độ của sự cố, hướng dẫn hoặc cử cán bộ có thẩm quyền đến cơ sở để hướng dẫn, giúp đỡ khắc phục sự cố; b) Huy động các phương tiện cần thiết để khắc phục sự cố. 3. Trách nhiệm của Sở Thông tin và Truyền thông và VNCERT a) Tuỳ theo mức độ sự cố, Sở Thông tin và Truyền thông trực tiếp hướng dẫn, điều phối lực lượng ứng cứu hoặc báo cáo để VNCERT hướng dẫn, điều phối lực lượng ứng cứu để tham gia khắc phục sự cố; b) Phối hợp với các Bộ, cơ quan ngang Bộ để điều tra khắc phục sự cố; 4. Trách nhiệm của Công an tỉnh Điều tra, xử lý các tội phạm về an toàn thông tin số.