Quy định về bảo vệ hệ thống thông tin trong việc bảo đảm an toàn thông tin mạng ? (P1)

Luật an toàn thông tin mạng được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XIII, kỳ họp thứ 10 thông qua ngày 19/11/2015. Luật có hiệu lực thi hành từ ngày 01/7/2016. Luật quy định về hoạt động an toàn thông tin mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin mạng.

An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin. Để bảo đảm an toàn thông tin mạng, Nhà nước quy định cần bảo vệ các thông tin sau: bảo vệ thông tin mạng; bảo vệ thông tin cá nhân; bảo vệ hệ thống thông tin; ngăn chặn xung đột thông tin trên mạng.

Vậy, Luật quy định như thế nào về bảo vệ hệ thống thông tin trong việc bảo đảm an toàn thông tin mạng ?

Theo Khoản 3, Điều 3 của Luật An tòa thông tin mạng năm 2015, Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

Phân loại thông tin và hệ thống thông tin

Theo Điều 6 của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 07 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ, Chính phủ phân loại thông tin và hệ thống thông tin như sau:

1. Thông tin xử lý thông qua hệ thống thông tin được phân loại theo thuộc tính bí mật như sau:

a) Thông tin công cộng là thông tin trên mạng của một tổ chức, cá nhân được công khai cho tất cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng đó;

b) Thông tin riêng là thông tin trên mạng của một tổ chức, cá nhân mà tổ chức, cá nhân đó không công khai hoặc chỉ công khai cho một hoặc một nhóm đối tượng đã được xác định danh tính, địa chỉ cụ thể;

c) Thông tin cá nhân là thông tin trên mạng gắn với việc xác định danh tính một người cụ thể;

d) Thông tin bí mật nhà nước là thông tin ở mức Mật, Tối Mật, Tuyệt Mật theo quy định của pháp luật về bảo vệ bí mật nhà nước.

2. Hệ thống thông tin được phân loại theo chức năng phục vụ hoạt động nghiệp vụ như sau:

a) Hệ thống thông tin phục vụ hoạt động nội bộ là hệ thống chỉ phục vụ hoạt động quản trị, vận hành nội bộ của cơ quan, tổ chức;

b) Hệ thống thông tin phục vụ người dân, doanh nghiệp là hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến và dịch vụ trực tuyến khác trong các lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục và các lĩnh vực chuyên ngành khác;

c) Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức như mạng diện rộng, cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây; xác thực điện tử, chứng thực điện tử, chữ ký số; kết nối liên thông các hệ thống thông tin;

d) Hệ thống thông tin Điều khiển công nghiệp là hệ thống có chức năng giám sát, thu thập dữ liệu, quản lý và kiểm soát các hạng Mục quan trọng phục vụ Điều khiển, vận hành hoạt động bình thường của các công trình xây dựng;

đ) Hệ thống thông tin khác.

Phân loại cấp độ an toàn hệ thống thông tin

Căn cứ theo Điều 21 của Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015, Luật quy định phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ.

Hệ thống thông tin được phân loại theo cấp độ an toàn như sau:

a) Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

b) Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

c) Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia;

d) Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia;

đ) Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

Hệ thống thông tin quan trọng quốc gia

Hệ thống thông tin quan trọng quốc gia là hệ thống thông tin mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

Căn cứ theo Điều 26 của Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015, Luật quy định Khi thiết lập, mở rộng và nâng cấp hệ thống thông tin quan trọng quốc gia phải thực hiện kiểm định an toàn thông tin trước khi đưa vào vận hành, khai thác.

Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành có liên quan xây dựng Danh mục hệ thống thông tin quan trọng quốc gia trình Thủ tướng Chính phủ ban hành.

Nhiệm vụ bảo vệ hệ thống thông tin

Căn cứ theo Điều 22 của Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015, Luật quy định nhiệm vụ bảo vệ hệ thống thông tin bao gồm:

+ Thứ nhất, xác định cấp độ an toàn thông tin của hệ thống thông tin.

+ Thứ hai, đánh giá và quản lý rủi ro an toàn hệ thống thông tin.

+ Thứ ba, đôn đốc, giám sát, kiểm tra công tác bảo vệ hệ thống thông tin.

+ Thứ tư, tổ chức triển khai các biện pháp bảo vệ hệ thống thông tin.

+ Thứ năm, thực hiện chế độ báo cáo theo quy định.

+ Thứ sáu, Tổ chức tuyên truyền, nâng cao nhận thức về an toàn thông tin mạng.

Luật Hoàng Anh