Các hành vi vi phạm hành chính về an toàn thông tin mạng xử lý như thế nào ?(P1)

An toàn thông tin: bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn, thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.

Vậy, khi có các hành vi vi phạm hành chính về an toàn thông tin mạng thì xử lý cụ thể như thế nào ?

Vi phạm các quy định về đảm bảo an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng

Căn cứ theo Điều 78 của Nghị định số 15/2020/NĐ-CP ngày 03 tháng 02 năm 2020 quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử, Chính phủ quy định xử lý hành vi vi phạm các quy định về đảm bảo an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng như sau:

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không công bố thông tin về địa chỉ tiếp nhận sự cố trên Trang thông tin điện tử hoặc Cổng thông tin điện tử;

b) Không khai báo hồ sơ, cung cấp, cập nhật thông tin về đầu mối ứng cứu sự cố, nhân lực kỹ thuật an toàn thông tin, ứng cứu sự cố thuộc phạm vi quản lý tới cơ quan điều phối quốc gia;

c) Cập nhật thông tin về đầu mối ứng cứu sự cố không đúng thời gian quy định khi có thay đổi;

d) Vi phạm quy chế hoạt động của mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia hoặc không tuân thủ các yêu cầu điều phối của cơ quan điều phối;

đ) Không báo cáo sự cố an toàn thông tin mạng tới chủ quản hệ thống thông tin, đơn vị chuyên trách ứng cứu sự cố cùng cấp, Cơ quan điều phối quốc gia đúng thời gian quy định kể từ khi phát hiện sự cố.

2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:

a) Không báo cáo với Cơ quan điều phối quốc gia khi tiếp nhận thông tin, phát hiện sự cố đối với hệ thống thông tin trong phạm vi quản lý;

b) Không phản hồi cho tổ chức, cá nhân đã gửi thông báo hoặc báo cáo ban đầu về sự cố;

c) Không triển khai ngay các hoạt động ứng cứu sự cố và báo cáo theo quy định;

d) Không tiến hành phân tích, xác minh, đánh giá tình hình, sơ bộ phân loại sự cố và triển khai ngay các hoạt động ứng cứu sự cố và báo cáo theo quy định;

đ) Không báo cáo về sự cố, diễn biến tình hình ứng cứu sự cố, đề xuất hỗ trợ ứng cứu sự cố hoặc nâng cấp nghiêm trọng của sự cố cho chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia và đơn vị chuyên trách ứng cứu sự cố cùng cấp.

3. Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với một trong các hành vi sau:

a) Không tổng hợp, báo cáo Cơ quan điều phối quốc gia về diễn biến sự cố khi được yêu cầu;

b) Không thành lập hoặc không chỉ định đơn vị chuyên trách ứng cứu sự cố an toàn thông tin mạng hoặc không thành lập Đội ứng cứu sự cố;

c) Không ghi nhận hoặc không tiếp nhận thông báo hoặc không báo cáo sự cố an toàn thông tin mạng theo đúng quy trình;

d) Không xây dựng Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng;

đ) Cung cấp không đầy đủ thông tin trong thời gian chưa khắc phục triệt để sự cố;

e) Không tổng hợp, xây dựng báo cáo định kỳ 06 tháng, 01 năm;

g) Thực hiện không đầy đủ các yêu cầu điều phối ứng cứu sự cố của Cơ quan điều phối quốc gia.

4. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:

a) Không cử đầu mối thực hiện các hoạt động phối hợp ứng cứu sự cố hoặc không tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia;

b) Không thực hiện các yêu cầu điều phối ứng cứu sự cố của Cơ quan điều phối quốc gia;

c) Không bố trí mặt bằng, cổng kết nối và các điều kiện kỹ thuật cần thiết theo yêu cầu của Bộ Thông tin và Truyền thông, Bộ Công an;

d) Không tổ chức hoạt động ứng cứu sự cố trong lĩnh vực, địa bàn, phạm vi mình quản lý;

đ) Không phối hợp với Cơ quan điều phối quốc gia, các nhà cung cấp dịch vụ và các cơ quan chức năng khôi phục một số hoạt động, dữ liệu hoặc kết nối cần thiết nhất để giảm thiểu thiệt hại đối với hệ thống thông tin hoặc gây ảnh hưởng xấu tới xã hội;

e) Không phối hợp trong thời gian chưa khắc phục triệt để sự cố;

g) Không xử lý các hậu quả do sự cố hệ thống thông tin của mình gây ra ảnh hưởng đến người dân, cơ quan, tổ chức khác;

h) Không lưu trữ hoặc không cung cấp thông tin liên quan đến các địa chỉ IP thuê bao, máy chủ, thiết bị IOT, các log file, nhật ký dịch vụ phân giải tên miền DNS trong phạm vi quản lý;

i) Không thiết lập môi trường để lắp đặt thiết bị quan trắc, lấy mẫu và cung cấp luồng dữ liệu mạng;

k) Không thiết lập đầu mối thường trực 24/7 hoặc không bố trí nhân lực, vật lực sẵn sàng phối hợp, triển khai các giải pháp nhằm ứng cứu, khắc phục hậu quả sự cố trong trường hợp nguồn tấn công được xác định xuất phát từ thuê bao thuộc doanh nghiệp mình hoặc khi được yêu cầu từ Cơ quan điều phối quốc gia.

Vi phạm quy định về an toàn, an ninh trong giao dịch điện tử sử dụng chữ ký số, chứng thư số

Căn cứ theo Điều 79 của Nghị định số 15/2020/NĐ-CP ngày 03 tháng 02 năm 2020 quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử, Chính phủ quy định xử lý hành vi vi phạm quy định về an toàn, an ninh trong giao dịch điện tử sử dụng chữ ký số, chứng thư số như sau:

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Cản trở trái pháp luật hoạt động cung cấp và sử dụng dịch vụ chứng thực chữ ký số;

b) Không bảo đảm bí mật, an toàn trong việc lưu trữ thông tin liên quan đến nhân thân của tổ chức, cá nhân xin cấp chứng thư số.

2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:

a) Trộm cắp, gian lận, mạo nhận, chiếm đoạt hoặc sử dụng trái phép khóa bí mật của người khác;

b) Không bảo đảm an toàn trong suốt quá trình tạo và chuyển giao chứng thư số cho thuê bao hoặc không bảo đảm bí mật toàn bộ quá trình tạo cặp khoá cho tổ chức, cá nhân xin cấp chứng thư số;

c) Sử dụng thiết bị không đúng quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng để tự tạo cặp khóa;

d) Không lưu trữ bí mật những thông tin về nhân thân và khóa bí mật của thuê bao trong suốt thời gian tạm dừng chứng thư số;

đ) Không bảo đảm giữ bí mật khóa bí mật của thuê bao trong trường hợp thuê bao ủy quyền.

3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:

a) Làm giả hoặc hướng dẫn người khác làm giả chứng thư số;

b) Không đáp ứng các điều kiện đảm bảo an toàn cho chữ ký số theo quy định;

c) Sử dụng hệ thống thiết bị kỹ thuật không có khả năng phát hiện, cảnh báo những truy nhập bất hợp pháp và những hình thức tấn công trên môi trường mạng;

d) Sử dụng hệ thống phân phối khóa cho thuê bao không bảo đảm sự toàn vẹn và bảo mật của cặp khóa;

đ) Không triển khai phương án kiểm soát sự ra vào trụ sở hoặc nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ ký số;

e) Không triển khai phương án kiểm soát quyền truy nhập hệ thống cung cấp dịch vụ chứng thực chữ ký số.

4. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:

a) Không có phương án dự phòng đảm bảo duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra;

b) Trộm cắp khóa bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia;

c) Tiết lộ hoặc cung cấp khóa bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia trái pháp luật;

d) Sử dụng trái phép khóa bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia;

đ) Không thực hiện hoặc thực hiện không đúng yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật về tình trạng khẩn cấp hoặc để đảm bảo an ninh quốc gia.

Luật Hoàng Anh