“Nâng trình” quy định an toàn thông tin ngành Tài chính

Việc ban hành quy định mới thay thế quy định về việc đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính (gọi tắt là quy định ATTT) theo Quyết định số 2615/QĐ-BTC ngày 19/10/2012 của Bộ Tài chính sẽ thay đổi về chất đối với công tác đảm bảo an toàn thông tin (ATTT) của ngành Tài chính, đáp ứng yêu cầu trong bối cảnh ATTT đang trở thành vấn đề “sống còn”, đồng thời tuân thủ các định hướng chung của Nhà nước.

Ảnh minh họa - nguồn internet.Ảnh minh họa - nguồn internet.
Thích ứng với nguy cơ mới

Ngày 19/10/2012, Bộ Tài chính đã ban hành Quyết định số 2615/QĐ-BTC quy định về việc đảm bảo ATTT trên môi trường máy tính và mạng máy tính. Thực tế, quy định này đã phát huy tác dụng ngay sau khi được ban hành, làm cơ sở để các đơn vị thuộc Bộ Tài chính và các cơ quan tài chính địa phương triển khai các hoạt động thường xuyên về đảm bảo ATTT, nâng chất lượng và hiệu quả của công tác này lên một bậc.

Cùng với việc thành lập các bộ phận chuyên trách về ATTT thuộc Cục Tin học và Thống kê tài chính và Cục CNTT của các tổng cục thuộc bộ, việc nâng cao nhận thức về ATTT của toàn thể cán bộ ngành Tài chính cũng được chú trọng và có chuyển biến tích cực. Đây là bước đệm để đưa ATTT thâm nhập vào các hoạt động liên quan đến thông tin và CNTT. Có thể nói Quyết định 2615 là căn cứ để các đơn vị triển khai mạnh các giải pháp về ATTT – vốn bị trì hoãn do lo ngại yếu tố tâm lý của người dùng như: áp dụng chính sách mật khẩu phức tạp, kiểm soát chặt việc truy cập internet, thay đổi phương thức khai thác sử dụng mạng không dây...

Cũng nhờ quy định ATTT mà đã chuẩn hóa bước đầu các hoạt động thường xuyên về ATTT như: giám sát, phân tích, báo cáo nhằm phát hiện sớm và giải quyết kịp thời các vấn đề về an toàn thông tin. Và kết quả lớn nhất đạt được của giai đoạn vừa qua là Bộ Tài chính đã khắc phục được nguy cơ lớn về thất thoát dữ liệu từng diễn ra trong nhiều năm trước tại các đơn vị thuộc bộ.

Tuy nhiên, theo đánh giá của Cục Tin học và Thống kê tài chính (Bộ Tài chính) do được xây dựng, ban hành trong thời gian ngắn để đáp ứng tình hình cấp bách của thời điểm ban hành, nên quy định này mới chỉ dừng ở một số vấn đề thiết yếu, phù hợp với năng lực thực hiện của ngành Tài chính tại thời điểm ban hành, chưa đáp ứng yêu cầu đối với công tác này trong tình hình hiện nay. Bên cạnh đó, ATTT trên môi trường máy tính và mạng máy tính là một lĩnh vực khá phức tạp, cần được đáp ứng từng bước, vì vậy khi ban hành lần đầu, quy định ATTT đã được xác định sẽ phải được cập nhật liên tục để nâng dần trình độ, chất lượng công tác đảm bảo ATTT của ngành Tài chính.

Sau một thời gian triển khai cho thấy, hầu hết các nội dung của quy định đã được đáp ứng tốt, đã đến thời điểm phù hợp để bổ sung tiếp vào quy định các yêu cầu cao hơn, cần thiết hơn cho ATTT, trong đó bao gồm cả các yêu cầu từ Chính phủ và các đơn vị quản lý nhà nước về ATTT chưa được thể hiện trong quy định. Ngoài ra, một số phạm vi, khái niệm trong quy định ATTT cũng cần phải được điều chỉnh, mở rộng hoặc làm rõ hơn để tạo thuận lợi cho các đơn vị trong việc triển khai và phát huy tốt hơn nữa tác dụng của quy định.

Bộ Tài chính là đơn vị hiện đang cung cấp hơn 1.000 dịch vụ công, trong đó các ứng dụng, dịch vụ công quan trọng của ngành Tài chính như: Ứng dụng khai thuế qua mạng; Hệ thống thông tin quản lý ngân sách Nhà nước - TABMIS; Hệ thống thông quan điện tử VNACCS/VCIS; Hệ thống ứng dụng quản lý thuế tập trung TMS… Các ứng dụng quan trọng này cần phải được đảm bảo các đặc tính ATTT như: tính toàn vẹn, tính bí mật và tính sẵn sàng (C,I,A).

Tuy nhiên, trong thời gian qua Bộ Tài chính và các đơn vị thuộc bộ đang là đối tượng tấn công của nhiều loại hình tấn công nguy hiểm từ mạng internet với các thủ đoạn ngày càng tinh vi. Các giải pháp ATTT truyền thống như: tường lửa, IDS/IPS, phòng diệt virus không phát hiện được các tấn công dạng này. Những giải pháp hiện tại dựa trên các phân tích chữ ký không thực sự còn hiệu quả trong phòng chống tấn công ATP. Hiện tại các tin tặc thường hay sử dụng các mã độc hoàn toàn mới để có thể vượt được qua các tường lửa và tấn công cho đến khi đạt được mực tiêu.

Vì vậy, trong thời gian tới, nếu không có sự chuẩn bị tốt thì nguy cơ khả năng thâm nhập của tin tặc vào hệ thống của Bộ Tài chính và các đơn vị thuộc bộ mà không bị phát hiện là rất cao. Trong đó đặc biệt "đe dọa thường trực cao cấp" đang trở thành mối quan tâm lớn của bộ. Có thể nói, việc ban hành quy định mới thay thế quy định ATTT tại Quyết định 2615 là yêu cầu bức thiết đặt ra hiện nay.

Trên cơ sở nghiên cứu, chắt lọc các hướng dẫn từ Tiêu chuẩn Việt Nam TCVN ISO/IEC 27002:2011 về quy tắc thực hành quản lý ATTT (gồm các hướng dẫn và nguyên tắc chung cho hoạt động khởi tạo, triển khai, duy trì và cải tiến công tác quản lý ATTT của một tổ chức, trên cơ sở chấp nhận Tiêu chuẩn ISO/IEC 27002:2005 của Tổ chức tiêu chuẩn thế giới)… đồng thời, tham khảo, đối chiếu với đề xuất chính sách ATTT cho ngành Tài chính của tư vấn an toàn bảo mật. Cục Tin học và Thống kê tài chính nhận thấy các tiêu chuẩn ATTT và đề xuất của tư vấn bao gồm rất nhiều nội dung mang tính toàn diện và chi tiết.

Tuy nhiên việc áp dụng đầy đủ các tiêu chuẩn này và đề xuất của tư vấn sẽ tạo ra một khối lượng công việc khổng lồ cho các đơn vị thuộc bộ với rất nhiều thủ tục và quy trình phải được xây dựng và triển khai áp dụng. Điều này không phù hợp với điều kiện thực tế của các đơn vị thuộc Bộ Tài chính về số lượng và chất lượng nhân sự cho CNTT nói chung và công tác đảm bảo an ATTT nói riêng, có thể dẫn đến tốn nhiều thời gian công sức cho quá nhiều nội dung mà không dồn sức tập trung cho các vấn đề cốt yếu mà Bộ Tài chính đang gặp phải.

Đảm bảo về chất đối với công tác ATTT

Trong bối cảnh ngày càng nhiều các cuộc tấn công nhắm vào cơ quan Chính phủ, tổ chức, Cục Tin học và Thống kê tài chính đã chủ trì phối hợp với các đơn vị trong bộ hoàn thành trình lãnh đạo Bộ phê duyệt Kế hoạch đảm bảo ATTT ngành Tài chính giai đoạn 2016 - 2020, tầm nhìn 2030. Để hoàn thành được mục tiêu, định hướng và giải pháp cho kế hoạch đảm bảo an toàn an ninh thông tin đến năm 2020, tầm nhìn 2030 cho toàn ngành Tài chính, Cục Tin học và Thống kê tài chính sẽ phối hợp, làm việc với các đơn vị thuộc bộ, các đơn vị chuyên trách và đặc biệt là các hãng lớn về an toàn bảo mật.

Đảm bảo ATTT là yêu cầu bắt buộc trong quá trình tạo lập, xử lý, sử dụng thông tin và thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống thông tin. Dó đó, ngày 24/12/2014 Bộ Tài chính đã ban hành Quyết định số 3317/QĐ-BTC quy định về việc đảm bảo ATTT trên môi trường máy tính và mạng máy tính thay thế cho Quyết định số 2615/QĐ-BTC. Có thể nói quyết định này đã quy định chi tiết, cụ thể hơn việc đảm bảo ATTT trên môi trường máy tính và mạng máy tính.

Theo đó, những hành vi bị nghiêm cấm bao gồm việc vi phạm các quy định về quản lý, vận hành và sử dụng mạng của ngành Tài chính gây rối loạn hoạt động của hệ thống, trong đó có các hành vi tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập không dây của cá nhân vào mạng nội bộ; trên cùng một thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và truy cập internet bằng thiết bị kết nối internet của cá nhân (modem quay số, USB 3G, điện thoại di động, máy tính bảng). Phát tán thư rác, mã độc, thiết lập hệ thống thông tin giả mạo, lừa đảo trong mạng của ngành Tài chính; lợi dụng điểm yếu của hệ thống thông tin để tấn công, chiếm quyền điều khiển trái phép đối với hệ thống… là những hành vi bị nghiêm cấm.

Ngoài ra, còn có việc can thiệp trái phép, gây nguy hại, xóa, thay đổi, sửa chữa, làm sai lệch thông tin trên mạng; Làm mất tác dụng của biện pháp an toàn thông tin do đơn vị thiết lập, trong đó bao gồm các hành vi tự ý thay đổi, gỡ bỏ biện pháp ATTT cài đặt trên thiết bị CNTT phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc; Các hành vi vi phạm quy định công tác bảo vệ bí mật nhà nước của ngành Tài chính trong quá trình sử dụng hệ thống thông tin, trong đó bao gồm hành vi đánh cắp mật khẩu tài khoản truy cập hệ thống thông tin ngành Tài chính của người khác hoặc tiết lộ mật khẩu của bản thân cho đối tượng không được phép sử dụng.

Trước những nguy cơ mất ATTT ngày càng gia tăng, quy định ATTT cũng yêu cầu người dùng sử dụng các thiết bị lưu trữ dữ liệu di động (máy tính xách tay, thiết bị số cầm tay, thẻ nhớ USB, ổ cứng ngoài, băng từ) để lưu thông tin có trách nhiệm bảo vệ các thiết bị này và thông tin lưu trên thiết bị, tránh làm mất, lộ thông tin. Không được mang ra nước ngoài thông tin của cơ quan, Nhà nước không liên quan tới nội dung công việc thực hiện ở nước ngoài.

Đối với thiết bị xử lý thông tin của đơn vị khi mang đi bảo hành, bảo dưỡng, sửa chữa, phải tháo ổ cứng khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp mang thiết bị đi khôi phục dữ liệu). Thiết bị lưu trữ không sử dụng tiếp cho công việc của đơn vị (thanh lý, cho, tặng) phải được xoá nội dung bằng phần mềm hoặc bằng thiết bị hủy dữ liệu chuyên dụng hay phá hủy vật lý.

Máy tính phục vụ công việc chỉ được cài đặt phần mềm theo danh mục phần mềm do đơn vị quy định và do bộ phận CNTT của đơn vị quản lý hoặc được cung cấp theo các chương trình ứng dụng CNTT của Bộ Tài chính và các cơ quan Nhà nước khác có thẩm quyền, được cập nhật bản vá lỗi hệ điều hành về an ninh, cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu mã độc gần nhất. Bộ phận CNTT của đơn vị chịu trách nhiệm cài đặt phần mềm cho máy tính phục vụ công việc. Người dùng không được can thiệp vào các phần mềm đã cài đặt trên máy tính (thay đổi, gỡ bỏ,…) khi chưa được sự đồng ý của bộ phận CNTT của đơn vị. Không cài đặt phần mềm, công cụ có tính năng gây mất an toàn thông tin hoặc tạo rủi ro cho hệ thống mạng (cấp phát địa chỉ mạng, dò quét mật khẩu, dò quét cổng mạng, giả lập tấn công,..).
 
Hệ thống mạng nội bộ phải được phân chia thành các vùng mạng theo phạm vi truy cập và kiểm soát truy cập giữa các vùng mạng bằng tường lửa. Trong đó, mạng nội bộ cơ quan Bộ Tài chính và các tổng cục thuộc bộ tại trung ương phải phân chia tối thiểu thành các vùng mạng sau: Vùng mạng cho phép truy cập từ internet (áp dụng đối với đơn vị có cổng thông tin điện tử, dịch vụ công hoặc ứng dụng cung cấp ra internet đặt tại đơn vị); Vùng mạng truy cập internet (trung chuyển các yêu cầu truy cập internet từ người dùng hoặc máy chủ); Vùng mạng máy chủ nội bộ; Vùng mạng quản trị hệ thống (các hoạt động quản trị hệ thống phải được thực hiện thông qua vùng mạng này); Vùng mạng người dùng, trong đó tách riêng vùng mạng cho kết nối có dây và không dây; Vùng mạng riêng cho khách (áp dụng đối với đơn vị cho phép khách đến làm việc được truy cập hệ thống mạng của đơn vị để sử dụng internet); Vùng mạng phát triển, kiểm thử, nghiên cứu (áp dụng đối với đơn vị thực hiện công tác phát triển, kiểm thử, nghiên cứu ngay tại đơn vị). Mạng nội bộ của cơ quan Bộ Tài chính và các tổng cục thuộc bộ tại cấp trung ương phải được giám sát bởi hệ thống phát hiện và phòng chống tấn công.

Để đảm bảo an toàn kết nối internet, các đơn vị cần phải có tường lửa kiểm soát truy cập internet, từ đó giúp lọc bỏ, không cho phép truy cập các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp (phản động hoặc trái thuần phong mỹ tục). Không mở trang tin hoặc ứng dụng internet ngay trên máy tính chứa dữ liệu quan trọng hoặc có khả năng tiếp cận các dữ liệu, ứng dụng quan trọng của ngành Tài chính. Đối với máy chủ và thiết bị CNTT khác, chỉ thiết lập kết nối internet cho các hệ thống cần phải có giao tiếp với internet (các máy chủ, thiết bị cung cấp giao diện ra internet của trang tin điện tử, dịch vụ công, thư điện tử; thiết bị cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công).

Không chỉ có vậy, ứng dụng do đơn vị phát triển hoặc thuê phát triển phải được mã hoá thông tin bí mật hoặc nhạy cảm, đồng thời kiểm tra tính hợp lệ của dữ liệu đầu vào và đầu ra để đảm bảo dữ liệu chính xác và phù hợp. Cùng với đó phải thực hiện quy trình kiểm soát việc cài đặt phần mềm trên các máy chủ, máy tính của người dùng, thiết bị mạng đang hoạt động thuộc hệ thống mạng nội bộ, đảm bảo các phần mềm khi cài đặt trong hệ thống có nguồn gốc an toàn, không bị nhiễm mã độc.

Đặc biệt, trước khi đưa vào sử dụng, ứng dụng đó cần được kiểm tra phát hiện và khắc phục điểm yếu và trong quá trình sử dụng khi có thông tin xuất hiện  điểm yếu mới trên môi trường hoạt động của ứng dụng, tối thiểu mỗi năm một lần phải được kiểm tra. Đối với ứng dụng mua ở dạng đóng gói, cần được theo dõi, nắm bắt thông tin về các điểm yếu được phát hiện và cập nhật thường xuyên bản vá lỗi về an ninh cho ứng dụng. Trường hợp điểm yếu đã được phát hiện mà chưa có bản vá lỗi của đơn vị sản xuất phần mềm, phải thực hiện đánh giá rủi ro và có biện pháp phòng tránh phù hợp.

Nội dung mật, quan trọng hoặc nhạy cảm khi lưu trữ trên thiết bị di động hoặc truyền nhận trên hệ thống mạng phải được mã hoá, trong đó, bí mật nhà nước của ngành Tài chính phải được mã hoá bằng giải pháp do Ban Cơ yếu Chính phủ cung cấp hoặc được cấp có thẩm quyền chấp nhận sử dụng trong ngành Tài chính.

Ngoài ra phải áp dụng mã hoá kênh kết nối cho các hoạt động quản trị hệ thống; đăng nhập mạng, ứng dụng; gửi nhận dữ liệu tự động giữa các máy chủ; nhập và biên tập dữ liệu; tra cứu dữ liệu mật, nhạy cảm... theo tiêu chuẩn mã hóa do Bộ Thông tin và Truyền thông quy định. Để tăng cường khả năng bảo mật, quy định ATTT khuyến khích áp dụng công nghệ chữ ký số để xác thực và bảo mật dữ liệu, đặc biệt trong trường hợp cần đảm bảo chống từ chối nguồn gốc dữ liệu. Chỉ sử dụng hệ thống thư điện tử và các công cụ trao đổi thông tin do đơn vị quản lý trực tiếp, hoặc các cơ quan Nhà nước, các tổ chức có thẩm quyền cung cấp để trao đổi thông tin, tài liệu làm việc. Không sử dụng các phương tiện trao đổi thông tin công cộng trên internet cho mục đích này.
Cụ thể hóa mục tiêu tăng cường công tác đảm bảo ATTT và các hệ thống thông tin (máy tính, mạng máy tính, ứng dụng và các hệ thống xử lý phụ trợ) của ngành Tài chính trước các nguy cơ gây hại, lãnh đạo Bộ Tài chính yêu cầu Cục Tin học và Thống kê tài chính xây dựng và tổ chức triển khai các quy định, quy trình, tiêu chuẩn về ATTT của ngành Tài chính trên cơ sở các quy định, tiêu chuẩn an toàn thông tin của quốc tế và Việt Nam (bộ tiêu chuẩn ISO/IEC 27000 và các tiêu chuẩn liên quan). Duy trì hệ thống đã trang bị và nâng cấp thường xuyên, đảm bảo tính tuân thủ của các hệ thống này đối với các chính sách, quy định về ATTT của ngành Tài chính và khả năng bảo vệ hiệu quả thông tin và các hệ thống thông tin của ngành Tài chính.

Về yếu tố con người, lãnh đạo Bộ yêu cầu liên tục đào tạo, nâng cao nhận thức thường xuyên cho toàn thể cán bộ, công chức, viên chức ngành Tài chính, thúc đẩy hình thành văn hóa có nhận thức cao về ATTT trong ngành Tài chính. Việc chuẩn hóa yêu cầu về kiến thức ATTT đối với cán bộ của ngành Tài chính sẽ được cập nhật thông qua các khóa đào tạo chuyên sâu về ATTT, trong đó có các khóa về kiểm toán CNTT và ATTT.
 
(Thu Hương)