Bài thuyết trình Triển khai Quy hoạch An toàn thông tin số quốc gia và xây dựng chính sách về An toàn thông tin số tại Việt Nam

Bộ Thông tin và Truyền thông

Trung tâm VNCERT

Triển khai Quy hoạch ATTT số

quốc gia và xây dựng chính

sách về ATTT số tại Việt Nam

TS. Vũ Quốc Khánh

Hội thảo chính sách phát triển An toàn thông tin số phục vụ CPĐT

Hà Nội, 25/05/2012

Nội dung

1. TÌNH HÌNH TRIỂN KHAI QUY HOẠCH

PHÁT TRIỂN ATTT SỐ QG

2. HOÀN THIỆN MÔI TRƯỜNG PHÁP LÝ

2

TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG

QUY HOẠCH PT ATTT SỐ ĐẾN 2020

Đảm bảo an

Đảm bảo cơ

toàn cho

sở hạ tầng

ứng dụng

CNTT&TT

CNTT

Nâng cao nhận thức,

đẩy mạnh thông tin,

tuyên truyền về ATTT

Phát triển

nguồn nhân

lực và nâng

cao nhận

thức

Hoàn thiện

môi trường

pháp lý

Hoàn thiện các

cơ chế và chính

sách nhà nước

về ATTT

Đẩy mạnh hợp tác

trong và ngoài

nước

5 giải pháp

4 định hướng

Phát triển nguồn

lực ATTT: Huy

động vốn, Đào tạo

nhân lực

Xây dựng các thiết

chế và tăng cường

các hoạt động đảm

bảo ATTT

3

TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG

Các Bộ, ngành, UBND các tỉnh, thành phố đều đã xây dựng kế

hoạch ứng dụng công nghệ thông tin và kế hoạch đầu tư cho ứng

dụng CNTT giai đoạn 2011-2015

Dự kiến tỷ lệ đầu tư cho an toàn thông tin trong ngân sách dành

cho CNTT tại các đơn vị (các cơ quan, tổ chức, doanh nghiệp trong

và ngoài Nhà nước) còn thấp

CQ Nhà nước

29%

16%

24%

38%

31%

từ 10-15%

từ 5-9.9%

dưới 5%

Chung cả nước

19%

24%

Không rõ

0%

20%

40%

60%

80%

100%

4

TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG

- 53% đơn vị có hệ thống ATTT không có khả năng ghi nhận các hành vi

thử tấn công (kể cả chưa thành công). Đối với các cơ quan nhà nước tỷ

lệ này là 54%.

- 63% đơn vị không ước lượng được tổn thất tài chính khi bị tấn công.

Đối với các cơ quan nhà nước tỷ lệ này chiếm 64%.

64%

Không ước lượng được tổn

thất tài chính

63%

CQ NN

Chung

54%

Không có khả năng ghi nhận

tấn công

53%

0% 10% 20% 30% 40% 50% 60% 70%

5

TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG

Trong việc thực thi bảo vệ an toàn cho hệ thống thông tin, các đơn

vị gặp khó khăn do:

Nguyên nhân

60%

48%

50%

44%

38%

40%

30%

20%

10%

0%

Lãnh đạo chưa hỗ trợ Thiếu hiểu biết về ATTT do nhận thức người sử

đúng mức cần thiết

trong tổ chức

dụng

6

VỀ QUẢN LÝ ATTT

69% đơn vị có cán bộ chuyên trách về ATTT và 59% đơn vị có kế hoạch đào tạo

về an toàn ATTTs.

Tỷ lệ đơn vị có ban hành quy chế về

ATTT đã được lãnh đạo phê duyệt và áp

dụng

35

36

2011

2010

Tỷ lệ đơn vị có ban hành quy trình thao

tác chuẩn phản ứng, xử lý sự cố máy

tính

27

24.4

Tỷ lệ đơn vị có cán bộ chuyên trách

hoặc bán chuyên trách về ATTT

69

69.8

Tỷ lệ đơn vị có kế hoạch xây dựng HT

quản lý ATTT theo TCVN-ISO/IEC

27001:2009

33

Tỷ lệ đơn vị có kế hoạch đào tạo về

ATTT

59

61.2

Tỷ lệ đơn vị áp dụng hình thức mua bảo

hiểm để đề phòng thiệt hại do bị tấn

công

12

10

0

20

40

60

80

7

TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG

Kế hoạch đào tạo về ATTT được quan tâm hơn các năm trước:

Tỷ lệ các đơn vị có kế hoạch đào tạo về ATTT.s

73%

có kế hoạch đào tạo về ATTT

61%

có nhu cầu đào tạo về ATTT

theo nội dung cơ bản trong

vòng 1 năm

38%

CQNN

Chung

26.50%

có nhu cầu đào tạo về ATTT

theo nội dung cơ bản trong

vòng 1 năm

32%

20.50%

0.00% 20.00% 40.00% 60.00% 80.00%

8

Chỉ số mức độ quan tâm của các nhóm

doanh nghiệp về công tác đảm bảo ATTT

trong thương mại điện tử

TT Nhóm doanh nghiệp được

khảo sát

Số lượng

Mức độ quan tâm (từ 1-10)

về công tác đảm bảo ATTT

1 Công nghiệp – Thương mại

2 Ngân hàng – Tài chính

3 Chứng khoán

15

10

08

03

04

15

5/10

10/10

4 Hàng không – vận tải

5 Viễn thông

10/10

8/10

7/10

6 Dịch vụ TMDT và CNTT

Nguồn: Cục TMĐT-CNTT, Bộ CT

9

CHỈ SỐ TỶ LỆ ÁP DỤNG GiẢI PHÁP ATTT (%)

Mức độ trung bình áp dụng các giải

pháp công nghệ đảm bảo ATT

24.5

Nhóm giải pháp bảo vệ dữ liệu bằng

mật khẩu và mật mã

18

Nhóm thiết bị, phần mềm, giải pháp

bảo vệ hệ thống

42

Nhóm giải pháp kiểm soát truy cập,

áp dụng công nghệ sinh trắc học

16.6

Nhóm công cụ dò quét điểm yếu,

quản lý bản vá ATTT

14.1

Nhóm giải pháp quản lý log-file, giải

pháp quản lý sự kiện và sự cố ATTT

16.4

0

20

40

60

Nguồn: kết quả khảo sát của VNCERT 2010

10

NHẬN BIẾT DẠNGTẤN CÔNG MẠNG (%)

27

Không gặp phải tấn công nào

Phá hoại dữ liệu hay hệ thống

10

Thay đổi diện mạo, nội dung website

Tấn công từ chối dịch vụ (DoS, DDoS)

8

Các kiểu tấn công làm suy giảm hiệu năng

mạng (ví dụ: dò quét scan mạng với cường…

18

46

Hệ thống nhiễm phải virus hay worm

Hệ thống nhiễm phải trojan hay rootkit

35

40

6

Xâm nhập hệ thống bởi người trong tổ chức

Xâm nhập từ người ngoài nắm rõ bên trong

(ví dụ: do nhân viên cũ còn giữ mật khẩu)

Xâm nhập hệ thống từ bên ngoài vào bên

trong

9

17

20

0

60

Nguồn: kết quả khảo sát của Hiệp hội An toàn Thông tin Việt Nam,công bố tại

Hội thảo ngày “An toàn thông tin Việt Nam” 2010

11

Lỗi bảo mật của cổng thông tin điện tử VN

các địa phương

các bộ ngành trung ương

cácdoanh nghiệp nhà nước

Theo đánh giá của VNCERT 2010

TÌNH HÌNH TRIỂN KHAI QH PT ATTT SỐ QG

Một số Bộ được phân công cụ thể

1. Bộ Quốc phòng

+ Ban Cơ yếu Chính phủ

2. Bộ Công An

3. Bộ Công thương

4. Bộ Thông tin và Truyền thông

13

MÔI TRƯỜNG PHÁP LÝ VỀ ATTT

Giai đoạn 2005-2011 (từ 2010)

+ Luật liên quan: 5 (1)

+ Nghị định: 7 (3)

+ Thông tư: 10 (6)

+ Văn bản điều hành, Quyết định: 9 (4)

+ Tiêu chuẩn Việt Nam: 2

14

5 LUẬT liên quan về ATTTs

Ngày

Luật

29/11/2005 Luật Giao dịch điện tử, số 51/2005/QH11

29/06/2006 Luật Công nghệ thông tin, số 67/2006/QH11

19/06/2009 Luật sửa đổi, bổ sung một số điều của Luật

Hình sự, số 37/2009/QH12

(ATTT số: các điều 224-226b)

23/11/2009 Luật Viễn thông, số 41/2009/QH12

26/11/2011 Luật Cơ yếu, số 05/2011/QH13

15

7 NGHỊ ĐỊNH VỀ ATTTs

Ngày

Nghị định

09/06/2006 Nghị định số 57/2006/NĐ-CP về Thương mại điện tử

10/04/2007 Nghị định số 64/2007/NĐ-CP về Ứng dụng công nghệ thông tin

trong hoạt động của cơ quan nhà nước

13/08/2008 Nghị định số 90/2008/NĐ-CP về chống thư rác

28/08/2008 Nghị định số 97/2008/NĐ-CP về quản lý, cung cấp, sử dụng dịch

vụ Internet và TTĐT trên Internet

06/04/2011 Nghị định số 25/2011/NĐ-CP quy định chi tiết và hướng dẫn thi

hành một số điều của Luật Viễn thông

13/06/2011 Nghị định số 43/2011/NĐ-CP quy định về việc cung cấp thông tin

và dịch vụ công trực tuyến trên trang thông tin điện tử hoặc

cổng thông tin điện tử của cơ quan nhà nước

20/09/2011 Nghị định số 83/2011/NĐ-CP quy định xử phạt vi phạm hành

chính trong lĩnh vực viễn thông

1

6

10 THÔNG TƯ VỀ ATTTs

Ngày

Thông tư

18/12/2008 Thông tư số 07/2008/TT-BTTTT hướng dẫn một số nội

dung về hoạt động cung cấp thông tin trên trang TTĐT cá

nhân trong Nghị định số 97/2008/NĐ-CP

31/12/2008 Thông tư số 12/2008/TT-BTTTT hướng dẫn thực hiện một

số nội dung của Nghị định số 90/2008/NĐ-CP

14/12/2009 Thông tư số 37/2009/TT-BTTTT quy định về hồ sơ và thủ

tục liên quan đến cấp phép, đăng ký, công nhận các tổ

chức cung cấp dịch vụ chứng thực chữ ký số

29/06/2010 Thông tư số 14/2010/TT-BTTTT quy định chi tiết một số

điều của Nghị định số 97/2008/NĐ-CP đối với hoạt động

quản lý trang thông tin điện tử và dịch vụ mạng xã hội

trực tuyến

01/07/2010 Thông tư 05/2010/TT-BNV hướng dẫn về cung cấp, quản

lý và sử dụng dịch vụ chứng thực chữ ký số chuyên dùng

phục vụ các cơ quan thuộc hệ thống chính trị

1

7

10 THÔNG TƯ VỀ ATTTs (2)

Ngày

15/11/2010

Thông tư

Thông tư số 25/2010/TT-BTTTT quy định việc thu thập, sử

dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá

nhân trên trang thông tin điện tử hoặc cổng thông tin điện

tử của cơ quan nhà nước

30/03/2011 Thông tư số 09/2011/TT-BCT quy định về việc quản lý, sử

dụng chữ ký số, chứng thư số và dịch vụ chứng thực chữ

ký số của Bộ Công Thương

11/08/2011

Thông tư số 23/2011/TT-BTTTT quy định về việc quản lý,

vận hành, sử dụng và bảo đảm an toàn thông tin trên

Mạng truyền số liệu chuyên dùng của các cơ quan Đảng,

Nhà nước

21/09/2011 Thông tư số 29/2011/TT-NHNNN quy định về an toàn, bảo

mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

04/10/2011 Thông tư số 27/2011/TT-BTTTT quy định về điều phối các

hoạt động ứng cứu sự cố mạng Internet Việt Nam

18

Chỉ thị, Quyết định và các văn bản điều hành khác

20/12/2005 Quyết định số 339/2005/QĐ-TTg của Thủ tướng CP về việc thành lập

Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam

23/02/2007 Chỉ thị số 03/2007/NĐ-CP của Bộ trưởng Bộ Bưu chính Viễn Thông về

việc tăng cường đảm bảo an toàn thông tin trên mạng Internet

17/09/2008 Công văn số 2967/BTTTT-Ttra của Bộ TTTT về việc tăng cường

ngăn chặn hack Online game và nhắn tin lừa đảo

31/12/2008 Quyết định số 59/2008/QĐ-BTTTT của Bộ TTTT về Danh mục tiêu

chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số

2005-2009 Các Quyết định của Bộ KHCN ban hành các Tiêu chuẩn an toàn

thông tin TCVN ISO/IEC 17799:2005 và TCVN ISO/IEC 27001:2009

13/01/2010 Quyết định số 63/QĐ-TTg của Thủ tướng Chính phủ phê duyệt Quy

hoạch phát triển an toàn thông tin số quốc gia đến năm 2020

22/09/2010 Quyết định số 1755/QĐ-TTg của Thủ tướng CP phê duyệt Đề án

“Đưa Việt Nam sớm trở thành nước mạnh về CNTT&TT”

10/06/2011 Chỉ thị số 897/CT-TTg của Thủ tướng CP về việc tăng cường triển

khai các hoạt động đảm bảo an toàn thông tin số

18/07/2011 Công văn số 2132/BTTTT-VNCERT của Bộ TTTT hướng dẫn triển

khai áp dụng tài liệu “Hướng dẫn một số biện pháp kỹ thuật cơ bản

đảm bảo ATTT cho các cổng/trang TTĐT”

19

Nhận định chung về hiện trạng

+ Các quy định khá phong phú

Tập trung giải quyết những vấn đề bức xúc

Ưu tiên đưa ra các quy định định hướng

Chú trọng các chế tài xử lý

+ Vấn đề hệ thống:

Chưa có tính hệ thống cao,

Nhiều văn bản gò bó, khái niệm chưa nhất quán

Các văn bản QPPL nền tảng chưa đón đầu phát triển

+ Vấn đề thực thi và tuân thủ:

Bước đầu quan tâm nhưng chưa nhiều

Thiếu các hệ thống hướng dẫn, tài liệu đào tạo

Thiếu các tiêu chuẩn, quy chuẩn

20