Bài thuyết trình Triển khai Quy hoạch An toàn thông tin số quốc gia và xây dựng chính sách về An toàn thông tin số tại Việt Nam
Bộ Thông tin và Truyền thông
Trung tâm VNCERT
Triển khai Quy hoạch ATTT số
quốc gia và xây dựng chính
sách về ATTT số tại Việt Nam
TS. Vũ Quốc Khánh
Hội thảo chính sách phát triển An toàn thông tin số phục vụ CPĐT
Hà Nội, 25/05/2012
Nội dung
1. TÌNH HÌNH TRIỂN KHAI QUY HOẠCH
PHÁT TRIỂN ATTT SỐ QG
2. HOÀN THIỆN MÔI TRƯỜNG PHÁP LÝ
2
TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG
QUY HOẠCH PT ATTT SỐ ĐẾN 2020
Đảm bảo an
Đảm bảo cơ
toàn cho
sở hạ tầng
ứng dụng
CNTT&TT
CNTT
Nâng cao nhận thức,
đẩy mạnh thông tin,
tuyên truyền về ATTT
Phát triển
nguồn nhân
lực và nâng
cao nhận
thức
Hoàn thiện
môi trường
pháp lý
Hoàn thiện các
cơ chế và chính
sách nhà nước
về ATTT
Đẩy mạnh hợp tác
trong và ngoài
nước
5 giải pháp
4 định hướng
Phát triển nguồn
lực ATTT: Huy
động vốn, Đào tạo
nhân lực
Xây dựng các thiết
chế và tăng cường
các hoạt động đảm
bảo ATTT
3
TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG
Các Bộ, ngành, UBND các tỉnh, thành phố đều đã xây dựng kế
hoạch ứng dụng công nghệ thông tin và kế hoạch đầu tư cho ứng
dụng CNTT giai đoạn 2011-2015
Dự kiến tỷ lệ đầu tư cho an toàn thông tin trong ngân sách dành
cho CNTT tại các đơn vị (các cơ quan, tổ chức, doanh nghiệp trong
và ngoài Nhà nước) còn thấp
CQ Nhà nước
29%
16%
24%
38%
31%
từ 10-15%
từ 5-9.9%
dưới 5%
Chung cả nước
19%
19%
24%
Không rõ
0%
20%
40%
60%
80%
100%
4
TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG
- 53% đơn vị có hệ thống ATTT không có khả năng ghi nhận các hành vi
thử tấn công (kể cả chưa thành công). Đối với các cơ quan nhà nước tỷ
lệ này là 54%.
- 63% đơn vị không ước lượng được tổn thất tài chính khi bị tấn công.
Đối với các cơ quan nhà nước tỷ lệ này chiếm 64%.
64%
Không ước lượng được tổn
thất tài chính
63%
CQ NN
Chung
54%
Không có khả năng ghi nhận
tấn công
53%
0% 10% 20% 30% 40% 50% 60% 70%
5
TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG
Trong việc thực thi bảo vệ an toàn cho hệ thống thông tin, các đơn
vị gặp khó khăn do:
Nguyên nhân
60%
48%
50%
44%
38%
40%
30%
20%
10%
0%
Lãnh đạo chưa hỗ trợ Thiếu hiểu biết về ATTT do nhận thức người sử
đúng mức cần thiết
trong tổ chức
dụng
6
VỀ QUẢN LÝ ATTT
69% đơn vị có cán bộ chuyên trách về ATTT và 59% đơn vị có kế hoạch đào tạo
về an toàn ATTTs.
Tỷ lệ đơn vị có ban hành quy chế về
ATTT đã được lãnh đạo phê duyệt và áp
dụng
35
36
2011
2010
Tỷ lệ đơn vị có ban hành quy trình thao
tác chuẩn phản ứng, xử lý sự cố máy
tính
27
24.4
Tỷ lệ đơn vị có cán bộ chuyên trách
hoặc bán chuyên trách về ATTT
69
69.8
Tỷ lệ đơn vị có kế hoạch xây dựng HT
quản lý ATTT theo TCVN-ISO/IEC
27001:2009
33
Tỷ lệ đơn vị có kế hoạch đào tạo về
ATTT
59
61.2
Tỷ lệ đơn vị áp dụng hình thức mua bảo
hiểm để đề phòng thiệt hại do bị tấn
công
12
10
0
20
40
60
80
7
TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG
Kế hoạch đào tạo về ATTT được quan tâm hơn các năm trước:
Tỷ lệ các đơn vị có kế hoạch đào tạo về ATTT.s
73%
có kế hoạch đào tạo về ATTT
61%
có nhu cầu đào tạo về ATTT
theo nội dung cơ bản trong
vòng 1 năm
38%
CQNN
Chung
26.50%
có nhu cầu đào tạo về ATTT
theo nội dung cơ bản trong
vòng 1 năm
32%
20.50%
0.00% 20.00% 40.00% 60.00% 80.00%
8
Chỉ số mức độ quan tâm của các nhóm
doanh nghiệp về công tác đảm bảo ATTT
trong thương mại điện tử
TT Nhóm doanh nghiệp được
khảo sát
Số lượng
Mức độ quan tâm (từ 1-10)
về công tác đảm bảo ATTT
1 Công nghiệp – Thương mại
2 Ngân hàng – Tài chính
3 Chứng khoán
15
10
08
03
04
15
5/10
10/10
10/10
4 Hàng không – vận tải
5 Viễn thông
10/10
8/10
7/10
6 Dịch vụ TMDT và CNTT
Nguồn: Cục TMĐT-CNTT, Bộ CT
9
CHỈ SỐ TỶ LỆ ÁP DỤNG GiẢI PHÁP ATTT (%)
Mức độ trung bình áp dụng các giải
pháp công nghệ đảm bảo ATT
24.5
Nhóm giải pháp bảo vệ dữ liệu bằng
mật khẩu và mật mã
18
Nhóm thiết bị, phần mềm, giải pháp
bảo vệ hệ thống
42
Nhóm giải pháp kiểm soát truy cập,
áp dụng công nghệ sinh trắc học
16.6
Nhóm công cụ dò quét điểm yếu,
quản lý bản vá ATTT
14.1
Nhóm giải pháp quản lý log-file, giải
pháp quản lý sự kiện và sự cố ATTT
16.4
0
20
40
60
Nguồn: kết quả khảo sát của VNCERT 2010
10
NHẬN BIẾT DẠNGTẤN CÔNG MẠNG (%)
27
Không gặp phải tấn công nào
Phá hoại dữ liệu hay hệ thống
10
10
Thay đổi diện mạo, nội dung website
Tấn công từ chối dịch vụ (DoS, DDoS)
8
Các kiểu tấn công làm suy giảm hiệu năng
mạng (ví dụ: dò quét scan mạng với cường…
18
46
Hệ thống nhiễm phải virus hay worm
Hệ thống nhiễm phải trojan hay rootkit
35
40
6
Xâm nhập hệ thống bởi người trong tổ chức
Xâm nhập từ người ngoài nắm rõ bên trong
(ví dụ: do nhân viên cũ còn giữ mật khẩu)
Xâm nhập hệ thống từ bên ngoài vào bên
trong
9
17
20
0
60
Nguồn: kết quả khảo sát của Hiệp hội An toàn Thông tin Việt Nam,công bố tại
11
Lỗi bảo mật của cổng thông tin điện tử VN
các địa phương
các bộ ngành trung ương
cácdoanh nghiệp nhà nước
Theo đánh giá của VNCERT 2010
TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG
Một số Bộ được phân công cụ thể
1. Bộ Quốc phòng
+ Ban Cơ yếu Chính phủ
2. Bộ Công An
3. Bộ Công thương
4. Bộ Thông tin và Truyền thông
13
MÔI TRƯỜNG PHÁP LÝ VỀ ATTT
Giai đoạn 2005-2011 (từ 2010)
+ Luật liên quan: 5 (1)
+ Nghị định: 7 (3)
+ Thông tư: 10 (6)
+ Văn bản điều hành, Quyết định: 9 (4)
+ Tiêu chuẩn Việt Nam: 2
14
5 LUẬT liên quan về ATTTs
Ngày
Luật
29/11/2005 Luật Giao dịch điện tử, số 51/2005/QH11
29/06/2006 Luật Công nghệ thông tin, số 67/2006/QH11
19/06/2009 Luật sửa đổi, bổ sung một số điều của Luật
Hình sự, số 37/2009/QH12
(ATTT số: các điều 224-226b)
23/11/2009 Luật Viễn thông, số 41/2009/QH12
26/11/2011 Luật Cơ yếu, số 05/2011/QH13
15
7 NGHỊ ĐỊNH VỀ ATTTs
Ngày
Nghị định
09/06/2006 Nghị định số 57/2006/NĐ-CP về Thương mại điện tử
10/04/2007 Nghị định số 64/2007/NĐ-CP về Ứng dụng công nghệ thông tin
trong hoạt động của cơ quan nhà nước
13/08/2008 Nghị định số 90/2008/NĐ-CP về chống thư rác
28/08/2008 Nghị định số 97/2008/NĐ-CP về quản lý, cung cấp, sử dụng dịch
vụ Internet và TTĐT trên Internet
06/04/2011 Nghị định số 25/2011/NĐ-CP quy định chi tiết và hướng dẫn thi
hành một số điều của Luật Viễn thông
13/06/2011 Nghị định số 43/2011/NĐ-CP quy định về việc cung cấp thông tin
và dịch vụ công trực tuyến trên trang thông tin điện tử hoặc
cổng thông tin điện tử của cơ quan nhà nước
20/09/2011 Nghị định số 83/2011/NĐ-CP quy định xử phạt vi phạm hành
chính trong lĩnh vực viễn thông
1
10 THÔNG TƯ VỀ ATTTs
Ngày
Thông tư
18/12/2008 Thông tư số 07/2008/TT-BTTTT hướng dẫn một số nội
dung về hoạt động cung cấp thông tin trên trang TTĐT cá
nhân trong Nghị định số 97/2008/NĐ-CP
31/12/2008 Thông tư số 12/2008/TT-BTTTT hướng dẫn thực hiện một
số nội dung của Nghị định số 90/2008/NĐ-CP
14/12/2009 Thông tư số 37/2009/TT-BTTTT quy định về hồ sơ và thủ
tục liên quan đến cấp phép, đăng ký, công nhận các tổ
chức cung cấp dịch vụ chứng thực chữ ký số
29/06/2010 Thông tư số 14/2010/TT-BTTTT quy định chi tiết một số
điều của Nghị định số 97/2008/NĐ-CP đối với hoạt động
quản lý trang thông tin điện tử và dịch vụ mạng xã hội
trực tuyến
01/07/2010 Thông tư 05/2010/TT-BNV hướng dẫn về cung cấp, quản
lý và sử dụng dịch vụ chứng thực chữ ký số chuyên dùng
phục vụ các cơ quan thuộc hệ thống chính trị
1
10 THÔNG TƯ VỀ ATTTs (2)
Ngày
15/11/2010
Thông tư
Thông tư số 25/2010/TT-BTTTT quy định việc thu thập, sử
dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá
nhân trên trang thông tin điện tử hoặc cổng thông tin điện
tử của cơ quan nhà nước
30/03/2011 Thông tư số 09/2011/TT-BCT quy định về việc quản lý, sử
dụng chữ ký số, chứng thư số và dịch vụ chứng thực chữ
ký số của Bộ Công Thương
11/08/2011
Thông tư số 23/2011/TT-BTTTT quy định về việc quản lý,
vận hành, sử dụng và bảo đảm an toàn thông tin trên
Mạng truyền số liệu chuyên dùng của các cơ quan Đảng,
Nhà nước
21/09/2011 Thông tư số 29/2011/TT-NHNNN quy định về an toàn, bảo
mật cho việc cung cấp dịch vụ ngân hàng trên Internet.
04/10/2011 Thông tư số 27/2011/TT-BTTTT quy định về điều phối các
hoạt động ứng cứu sự cố mạng Internet Việt Nam
18
Chỉ thị, Quyết định và các văn bản điều hành khác
20/12/2005 Quyết định số 339/2005/QĐ-TTg của Thủ tướng CP về việc thành lập
Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam
23/02/2007 Chỉ thị số 03/2007/NĐ-CP của Bộ trưởng Bộ Bưu chính Viễn Thông về
việc tăng cường đảm bảo an toàn thông tin trên mạng Internet
17/09/2008 Công văn số 2967/BTTTT-Ttra của Bộ TTTT về việc tăng cường
ngăn chặn hack Online game và nhắn tin lừa đảo
31/12/2008 Quyết định số 59/2008/QĐ-BTTTT của Bộ TTTT về Danh mục tiêu
chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số
2005-2009 Các Quyết định của Bộ KHCN ban hành các Tiêu chuẩn an toàn
thông tin TCVN ISO/IEC 17799:2005 và TCVN ISO/IEC 27001:2009
13/01/2010 Quyết định số 63/QĐ-TTg của Thủ tướng Chính phủ phê duyệt Quy
hoạch phát triển an toàn thông tin số quốc gia đến năm 2020
22/09/2010 Quyết định số 1755/QĐ-TTg của Thủ tướng CP phê duyệt Đề án
“Đưa Việt Nam sớm trở thành nước mạnh về CNTT&TT”
10/06/2011 Chỉ thị số 897/CT-TTg của Thủ tướng CP về việc tăng cường triển
khai các hoạt động đảm bảo an toàn thông tin số
18/07/2011 Công văn số 2132/BTTTT-VNCERT của Bộ TTTT hướng dẫn triển
khai áp dụng tài liệu “Hướng dẫn một số biện pháp kỹ thuật cơ bản
đảm bảo ATTT cho các cổng/trang TTĐT”
19
Nhận định chung về hiện trạng
+ Các quy định khá phong phú
Tập trung giải quyết những vấn đề bức xúc
Ưu tiên đưa ra các quy định định hướng
Chú trọng các chế tài xử lý
+ Vấn đề hệ thống:
Chưa có tính hệ thống cao,
Nhiều văn bản gò bó, khái niệm chưa nhất quán
Các văn bản QPPL nền tảng chưa đón đầu phát triển
+ Vấn đề thực thi và tuân thủ:
Bước đầu quan tâm nhưng chưa nhiều
Thiếu các hệ thống hướng dẫn, tài liệu đào tạo
Thiếu các tiêu chuẩn, quy chuẩn
20
Tải về để xem bản đầy đủ
Bạn đang xem 20 trang mẫu của tài liệu "Bài thuyết trình Triển khai Quy hoạch An toàn thông tin số quốc gia và xây dựng chính sách về An toàn thông tin số tại Việt Nam", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
File đính kèm:
- bai_thuyet_trinh_trien_khai_quy_hoach_an_toan_thong_tin_so_q.pdf