Quy định về hoạt động giám sát an toàn hệ thống thông tin bắt đầu có hiệu lực

Đăng vào 02/02/2018

Ngày 15/11/2017, Bộ thông tin truyền thông đã ban hành  thông tư số 31/2017/TT-BTTTT Quy định hoạt động giám sát an toàn hệ thống thông tin. Thông tư quy định cụ thể, đối tượng giám sát an toàn mạng bao gồm các hệ thống thông tin của các Bộ, ngành, tỉnh, thành phố trực thuộc Trung ương, nằm trong khung kiến trúc Chính phủ điện tử Việt Nam.

Đối tượng giám sát an toàn mạng gồm có: Các hệ thống thông tin của các Bộ, ngành, tỉnh/thành phố trực thuộc Trung ương, nằm trong khung kiến trúc Chính phủ điện tử Việt Nam (tối thiểu bao gồm các hệ thống Cổng thông tin điện tử, hệ thống Thư điện tử, hệ thống Quản lý văn bản điều hành, hệ thống Một cửa điện tử cung cấp dịch vụ công); hệ thống, dịch vụ mạng (/Luồng dữ liệu) của (lưu chuyển thông qua) nhà cung cấp dịch vụ Internet (tối thiểu gồm dịch vụ thư điện tử (giao thức POP3, IMAP, SMTP), dịch vụ Web (giao thức http, https), hệ thống mạng của các Trung tâm dữ liệu).

Nguyên tắc giám sát:  phải đảm an toàn nguyên tắc thường xuyên, liên tục; chủ động theo dõi, phân tích, phòng ngừa để kịp thời phát hiện, ngăn chặn rủi ro, sự cố an toàn thông tin mạng. Bên cạnh đó, còn phải đảm bảo hoạt động ổn định, bí mật cho thông tin được cung cấp, trao đổi trong quá trình giám sát. Có sự điều phối, kết hợp chặt chẽ, hiệu quả giữa hoạt động giám sát của Bộ Thông tin và Truyền thông và hoạt động giám sát của chủ quản hệ thống thông tin; từng bước xây dựng khả năng liên thông giữa hệ thống giám sát của Bộ Thông tin và Truyền thông và hệ thống giám sát của chủ quản hệ thống thông tin trên phạm vi toàn quốc.

Nội dung các hoạt động giám sát bao gồm: phân tích, thu thập các thông tin an toàn thông tin mạng, tổng hợp, đồng bộ, xác minh và xử lý các thông tin an toàn thông tin mạng phát hiện ra các tấn công, rủi ro, sự cố an toàn thông tin mạng hoặc loại bỏ các thông tin không chính xác. Thu thập, phân tích, xác minh các thông tin về tấn công, rủi ro, sự cố an toàn thông tin mạng liên quan đến đối tượng giám sát từ các nguồn thông tin có liên quan. Kiểm tra, rà soát từ xa hoặc trực tiếp các đối tượng được giám sát để đánh giá tình trạng, phát hiện tấn công, rủi ro, sự cố an toàn thông tin mạng có khả năng bị khai thác, tấn công, gây hại.

Phương thức giám sát: Giám sát trực tiếp hoặc phương thức giám sát gián tiếp, chủ quản hệ thống thông tin có thể trực tiếp triển khai hoặc thuê dịch vụ giám sát. Trong trường hợp cần thiết, căn cứ vào năng lực, tình hình và nguồn lực thực tế chủ quản hệ thống thông tin đề nghị các đơn vị chức năng liên quan của Bộ Thông tin và Truyền thông hỗ trợ giám sát phù hợp với nguồn lực thực tế.

Đối với hoạt động giám sát của doanh nghiệp: Các Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin, doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng có trách nhiệm: Phối hợp với chủ quản hệ thống thông tin trong việc giám sát theo yêu cầu của Bộ Thông tin và Truyền thông. Cung cấp các thông tin về hạ tầng, kỹ thuật, hệ thống mạng và thực hiện các hỗ trợ kỹ thuật theo yêu cầu của Bộ Thông tin và Truyền thông phục vụ cho hoạt động giám sát của Bộ Thông tin và Truyền thông. Thực hiện các nhiệm vụ giám sát theo quy định tại Điều 7 Quyết định số 05/2017/QĐ-TTg của Thủ tướng Chính phủ, điện thoại (cố định và di động), địa chỉ thư điện tử, chữ ký số (nếu đã có).

Trách nhiệm của tổ chức giám sát: các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, UBND các tỉnh thành phố trực thuộc Trung ương, các nhà cung cấp dịch vụ Internet (ISP), các doanh nghiệp viễn thông di động chủ động xây dựng, tổ chức hệ thống quan trắc cơ sở và kết nối với hệ thống giám sát trung tâm để thực hiện giám sát đối tượng giám sát. Bộ TT&TT có trách nhiệm thiết lập, vận hành hệ thống giám sát trung tâm để thực hiện giám sát các hệ thống, dịch vụ CNTT của Chính phủ điện tử.