Xây dựng chính sách bảo mật thông tin mới cho ngành Tài chính

Bộ Tài chính đang có nhu cầu xây dựng hệ thống kỹ thuật an toàn bảo mật thông tin (ATBM) ngành Tài chính, do đó, công tác đánh giá hiện trạng việc quản trị công nghệ thông tin (CNTT), quản lý và hoạt động đảm bảo ATBM thông tin của cơ quan Bộ và các đơn vị hành chính trực thuộc theo tiêu chuẩn quốc tế, đồng thời, đánh giá mức độ an ninh của hệ thống TABMIS là thực sự cần thiết.

Ông Võ Anh Trung, Phó Cục trưởng Cục Tin học và Thống kê tài chính phát biểu tại Hội thảo. Ảnh: Chí Thanh.Ông Võ Anh Trung, Phó Cục trưởng Cục Tin học và Thống kê tài chính phát biểu tại Hội thảo. Ảnh: Chí Thanh.

Tại Hội thảo Chính sách và một số hệ thống chủ chốt về ATBM áp dụng cho ngành Tài chính diễn ra hôm nay, ngày 20/12, ông Võ Anh Trung, Phó Cục trưởng Cục Tin học và Thống kê tài chính, Giám đốc Ban QLDA An toàn bảo mật thông tin ngành Tài chính cho biết: ATBM là vấn đề được lãnh đạo Bộ Tài chính quan tâm từ rất sớm, nhất là an ninh mạng nổi lên do sự tham gia ngày càng sâu của các tổ chức, quốc gia vào mạng máy tính.

Được sự tài trợ từ Quỹ tín thác đa biên giai đoạn 2, gọi tắt là MDTF2, Bộ Tài chính đã tiến hành song song 2 hợp đồng tư vấn về ATBM thông tin. Theo đó, nhà thầu tư vấn TNHH PricewaterhouseCoopers Việt Nam (PwC) được giao nhiệm vụ đánh giá hiện trạng, đề xuất lộ trình ATBM cho ngành Tài chính đến năm 2015 - tầm nhìn 2020 và nội dung chính sách ATBM thông tin ngành Tài chính. Còn nhà thầu tư vấn Misoft được giao nhiệm vụ xây dựng Báo cáo nghiên cứu khả thi dự án đầu tư hệ thống kỹ thuật ATBM thông tin ngành Tài chính.

Tại Hội thảo, 2 nhà thầu tư vẫn đã trình bày các kết quả thực hiện để các đơn vị nắm thông tin và cho ý kiến, hỗ trợ cho quá trình hoàn thiện kết quả tư vấn, làm căn cứ để Cục Tin học và Thống kê tài chính phối hợp với các đơn vị liên quan xem xét, trình Bộ phê quyệt trong quý I và quý II năm 2014.

Xây dựng chính sách bảo mật thông tin mới cho ngành Tài chính ảnh 1
Quang cảnh buổi Hội thảo. Ảnh: Chí Thanh.

Theo bà Đinh Thị Quỳnh Vân, Tổng giám đốc PwC, với sự phát triển của ngành CNTT thế giới và việc sử dụng hệ thống mạng, việc bảo mật thông tin mạng máy tính càng trở nên quan trọng hơn hết. Nhiều thông tin các trang mạng, Bộ, ngành đã bị tấn công... Với vai trò tư vấn giúp Bộ Tài chính đánh giá quản trị ATBM, PwC đã thực hiện dự án từ tháng 7. Mục tiêu của PwC là hỗ trợ Bộ Tài chính đánh giá hiện trạng việc quản trị CNTT, quản lý và hoạt động đảm bảo ATBM thông tin của Bộ Tài chính và các đơn vị hành chính trực thuộc theo các tiêu chuẩn quốc tế (COBIT5 hay ISO 27001), đánh giá mức độ an ninh của hệ thống TABMIS bằng phương pháp rà soát xét bảo mật kỹ thuật, thử nghiệm thâm nhập nội bộ. Từ đó hỗ trợ Bộ Tài chính hoạch định lộ trình tổng thể, xây dựng Dự án ATBM thông tin ngành Tài chính năm 2015, tầm nhìn đến năm 2020; đề xuất các nội dung của chính sách ATBM thông tin ngành Tài chính.

Cụ thể, PwC đã tiến hành thử nghiệm thâm nhập an ninh hệ thống và soát xét cấu hình bảo mật kỹ thuật của các máy chủ trong hệ thống TABMIS nhằm phát hiện ra các lỗ hổng liên quan đến vấn đề an ninh của hệ thống TABMIS và đưa ra những khuyến nghị về biện pháp khắc phục các vấn đề đó (nếu có). Ngoài ra, PwC cũng tiến hành phân tích hiện trạng quản trị an ninh thông tin theo khung COBIT và tiêu chuẩn ISO/IEC 27001, đồng thời đánh giá thực tế quản lý tại Bộ Tài chính và các Tổng cục để đưa ra các khuyến nghị và lộ trình đề xuất về việc thành lập Dự án ATBM thông tin ngành Tài chính triển khai tới năm 2015, tầm nhìn 2020.

Theo định hướng chiến lược sẽ xây dựng cấu trúc ATBM, chức năng kiểm toán CNTT, hoàn thiện hệ thống quy định pháp luật và chuẩn an ninh thông tin theo tiêu chuẩn ISO 27001. Bên cạnh đó, đơn vị tư vấn đề xuất cần có chính sách an ninh thông tin về con người theo hai nhóm vận hành đảm bảo an ninh thông tin được thông suốt và nhóm kiểm toán.

Đánh giá mức độ ứng cứu khẩn cấp, đại diện cho bên tư vấn cho rằng, nguy cơ bị tấn công mạng ngày càng cao nên việc đưa ra cơ chế ứng cứu để đối phó với vi phạm về an ninh thông tin... cần thiết hơn lúc nào hết. Do đó, ngành Tài chính cần thành lập đội ứng cứu khẩn cấp và Trung tâm kiến thức an ninh thông tin cho toàn ngành và đưa ra thủ tục ứng phó khi gặp sự cố an ninh thông tin...

(T.Hương)