Ngành Tài chính:
Nâng cao tính chủ động, tự giác đảm bảo an toàn an ninh mạng
Bộ Tài chính vừa ra Quyết định số 1013/QĐ-BTC ban hành quy chế an toàn thông tin mạng và an ninh mạng Bộ Tài chính. Quyết định nêu rõ, mỗi cán bộ, công chức, viên chức, người lao động tại các đơn vị thuộc Bộ Tài chính nêu cao tinh thần chủ động, tự giác trong việc áp dụng các biện pháp an toàn an ninh mạng.
Phân công cụ thể từng đơn vị thực hiện các vai trò về bảo đảm an toàn thông tin mạng, an ninh
Quy chế an toàn thông tin mạng và an ninh mạng Bộ Tài chính áp dụng đối với các tổ chức hành chính, sự nghiệp thuộc cơ cấu tổ chức của Bộ theo Nghị định số 14/2023/NĐ-CP của Chính phủ quy định về chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính.
Về nguyên tắc an toàn an ninh mạng, Bộ Tài chính yêu cầu các đơn vị thuộc Bộ phải tuân thủ quy định của pháp luật về an toàn thông tin mạng, an ninh mạng; bảo vệ bí mật nhà nước, bí mật công tác, dữ liệu cá nhân; giao dịch điện tử và các quy định khác có liên quan.
Trường hợp có văn bản quy định cập nhật, thay thế hoặc quy định khác tại văn bản quy phạm pháp luật, quyết định của cấp có thẩm quyền cao hơn thì áp dụng quy định tại văn bản đó. Phân cấp, ủy quyền trách nhiệm bảo đảm an toàn an ninh mạng phù hợp với tổ chức bộ máy và phương thức làm việc của Bộ Tài chính.
Bộ Tài chính yêu cầu an toàn an ninh mạng phải gắn liền và hỗ trợ các hoạt động ứng dụng công nghệ thông tin, giao dịch điện tử, chuyển đổi số của Bộ Tài chính; hỗ trợ việc sử dụng thiết bị xử lý thông tin để xử lý công việc của cán bộ, công chức, viên chức, người lao động thuộc Bộ Tài chính; Ứng cứu sự cố an toàn an ninh mạng là hoạt động quan trọng nhằm phát hiện, ngăn chặn, xử lý và khắc phục kịp thời sự cố an toàn an ninh mạng.
Đặc biệt, mỗi cán bộ, công chức, viên chức, người lao động tại các đơn vị thuộc Bộ Tài chính nêu cao tinh thần chủ động, tự giác trong việc áp dụng các biện pháp an toàn an ninh mạng.
Theo Quyết định số 1013/QĐ-BTC, Bộ Tài chính đã phân công thực hiện các vai trò về bảo đảm an toàn thông tin mạng, an ninh mạng theo quy định của pháp luật. Cụ thể, Bộ Tài chính là chủ quản của hệ thống thông tin được xây dựng, thiết lập, nâng cấp, mở rộng từ dự án hoặc kế hoạch thuê dịch vụ thuộc thẩm quyền phê duyệt của Bộ trưởng Bộ Tài chính; chủ quản của hệ thống thông tin được xây dựng, thiết lập, nâng cấp, mở rộng từ dự án, kế hoạch thuê dịch vụ, đề cương và dự toán chi tiết thuộc thẩm quyền phê duyệt của đơn vị thuộc Cơ quan Bộ, đơn vị sự nghiệp trực thuộc Bộ.
Bộ Tài chính ủy quyền cho Tổng cục thực hiện trách nhiệm của chủ quản hệ thống thông tin đối với hệ thống thông tin do Tổng cục làm chủ đầu tư dự án, chủ trì thực hiện kế hoạch thuê dịch vụ. Đơn vị được ủy quyền chủ quản hệ thống thông tin thực hiện đầy đủ trách nhiệm của chủ quản hệ thống thông tin theo quy định của pháp luật về an toàn an ninh mạng và quy định tại Quy chế này.
Việc ủy quyền được kết thúc tại thời điểm hệ thống thông tin được Bộ Tài chính phê duyệt kết thúc sử dụng hoặc được Bộ Tài chính chuyển giao trách nhiệm chủ quản cho đơn vị khác theo quy định hiện hành. Phạm vi của hệ thống thông tin được ủy quyền quy định tại quyết định phê duyệt đầu tư dự án; kế hoạch thuê dịch vụ công nghệ thông tin; đề cương và dự toán chi tiết.
Cục Tin học và Thống kê tài chính là đơn vị vận hành hệ thống mạng nội bộ và hệ thống an toàn an ninh mạng của Cơ quan Bộ; hệ thống mạng trục của Hạ tầng truyền thông thống nhất ngành Tài chính và các hệ thống thông tin khác theo quyết định của Bộ trưởng Bộ Tài chính.
Đối với hệ thống thông tin do Tổng cục làm chủ quản, Tổng cục chỉ định đơn vị vận hành hệ thống thông tin.Trường hợp hệ thống thông tin đang trong thời gian thuê dịch vụ công nghệ thông tin, đơn vị cung cấp dịch vụ thực hiện vai trò đơn vị vận hành hệ thống thông tin.
Bộ Tài chính phân công, lực lượng bảo vệ an ninh mạng Bộ Tài chính bao gồm bộ phận chuyên trách an toàn an ninh mạng thuộc Cục Tin học và Thống kê tài chính; bộ phận chuyên trách an toàn an ninh mạng thuộc đơn vị chuyên trách công nghệ thông tin trực thuộc Tổng cục; các Đội ứng cứu sự cố thuộc Bộ Tài chính.
Hàng năm tổ chức diễn tập thực chiến an toàn an ninh mạng
Đối với vấn đề quản lý rủi ro, lỗ hổng, điểm yếu an toàn an ninh mạng, Bộ Tài chính yêu cầu đơn vị chuyên trách an toàn an ninh mạng phối hợp với đơn vị vận hành hệ thống thông tin tổ chức quản lý lỗ hổng, điểm yếu an toàn an ninh mạng theo các nội dung: Lập danh sách toàn bộ thiết bị, phần mềm công nghệ thông tin đang sử dụng trong phạm vi quản lý của chủ quản hệ thống thông tin: nhãn hiệu phần cứng, tên phần mềm và phiên bản; Thiết lập, duy trì kênh tiếp nhận thông tin về lỗ hổng, điểm yếu an toàn an ninh mạng từ các cơ quan, tổ chức có chức năng cảnh báo về an toàn an ninh mạng; Quản lý, giám sát việc cài đặt bản vá lỗ hổng, điểm yếu an toàn an ninh mạng...
Đồng thời, sử dụng và cập nhật liên tục các công cụ dò quét lỗ hổng, điểm yếu an toàn an ninh mạng để các công cụ này có thể phát hiện được các lỗ hổng bảo mật mới nhất; hoặc sử dụng kết quả kiểm tra, đánh giá an toàn an ninh mạng để xác định các lỗ hổng, điểm yếu của hệ thống thông tin; Triển khai cài đặt bản vá lỗ hổng, điểm yếu an toàn an ninh mạng sau khi bản vá được phát hành; Áp dụng các biện pháp bảo vệ tạm thời trong trường hợp bản vá bảo mật chưa được phát hành hoặc chưa đủ điều kiện để triển khai...
Quyết định số 1013/QĐ-BTC quy định rõ, đơn vị chuyên trách an toàn an ninh mạng có trách nhiệm theo dõi, nắm bắt thông tin trên phương tiện thông tin đại chúng và mạng Internet về các sự kiện mất an toàn an ninh mạng có thể tác động tới đơn vị; chủ động kiểm tra, rà soát trong nội bộ đơn vị theo các văn bản cảnh báo, hướng dẫn của các cơ quan chức năng và các tổ chức về an toàn thông tin (gửi trực tiếp cho đơn vị hoặc do Văn phòng Bộ, Cục Tin học và Thống kê tài chính sao gửi chủ quản hệ thống thông tin); Thiết lập kênh trao đổi thông tin với các đối tác cung cấp thiết bị, phần mềm, giải pháp an toàn thông tin của đơn vị để nắm bắt kịp thời vấn đề, sự cố có khả năng tác động tới hệ thống thông tin của đơn vị...
Đơn vị chuyên trách an toàn an ninh mạng cử 01 lãnh đạo chịu trách nhiệm triển khai công tác an toàn an ninh mạng và 01 cán bộ làm đầu mối tiếp nhận cảnh báo an toàn thông tin từ Cục Tin học và Thống kê tài chính, các cơ quan, tổ chức có chức năng cảnh báo an toàn thông tin mạng, an ninh mạng (thông qua thư điện tử hoặc các kênh trao đổi thông tin khác).
Khi xảy ra sự cố an toàn thông tin mạng thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông tin thực hiện báo cáo theo quy định tại Điều 11 Quyết định số 05/2017/QĐ-TTg và Điều 9 Thông tư số 20/2017/TT-BTTTT, đồng thời gửi báo cáo cho Cục Tin học và Thống kê tài chính để tổng hợp, báo cáo Lãnh đạo Bộ Tài chính. Chủ quản hệ thống thông tin phải thông báo rộng rãi về đầu mối tiếp nhận thông tin để các cá nhân, tổ chức thuộc đơn vị liên lạc trong trường hợp: nghi ngờ, phát hiện dấu hiệu tấn công, sự cố an toàn thông tin mạng; dấu hiệu, hành vi khủng bố mạng; tình huống nguy hiểm về an ninh mạng; hành vi vi phạm pháp luật về an ninh mạng liên quan đến các hệ thống thông tin do đơn vị quản lý.
Định kỳ hàng năm, Cục Tin học và Thống kê tài chính chủ trì tổ chức diễn tập thực chiến an toàn an ninh mạng cho các đơn vị thuộc Bộ Tài chính, theo kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng và phương án ứng phó, khắc phục sự cố an ninh mạng được phê duyệt, trong phạm vi các hệ thống thông tin do Bộ Tài chính làm chủ quản. Các Tổng cục tổ chức huấn luyện, diễn tập ứng cứu sự cố theo kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng và phương án ứng phó, khắc phục sự cố an ninh mạng được phê duyệt, trong phạm vi các hệ thống thông tin do đơn vị làm chủ quản. Đơn vị là thành viên mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia tham gia đầy đủ các cuộc diễn tập quốc gia, quốc tế do Cơ quan điều phối quốc gia và các cơ quan chức năng thuộc Bộ Thông tin và Truyền thông, Bộ Công an, Bộ Quốc phòng tổ chức.
Tại Quyết định này, Bộ Tài chính quy định, phần mềm ứng dụng triển khai trên hệ thống mạng nội bộ của Bộ phải đáp ứng các yêu cầu, như: Áp dụng Khung phát triển phần mềm an toàn theo hướng dẫn của Bộ Thông tin và Truyền thông; Sử dụng hệ điều hành, cơ sở dữ liệu, công cụ phát triển phần mềm có bản quyền hoặc được các cơ quan chức năng đánh giá, xác nhận an toàn; được cung cấp bản vá lỗ hổng, điểm yếu bảo mật trong thời hoạt động trên hệ thống mạng; Có khả năng tích hợp với hệ thống quản lý người dùng tập trung để xác thực người dùng tại cơ quan Bộ. Có tính năng cho phép người dùng đổi mật khẩu. Cho phép cấu hình đảm bảo an toàn mật khẩu người sử dụng đối với tài khoản xác thực tại ứng dụng; Có tính năng kiểm tra tính hợp lệ của dữ liệu đầu vào, đầu ra; lọc bỏ, ngăn chặn dữ liệu không hợp lệ; Có phương án sao lưu dự phòng sự cố sử dụng hệ thống sao lưu dữ liệu do Cục Tin học và Thống kê tài chính quản lý...
Giao nhiệm vụ cụ thể cho các đơn vị, Bộ Tài chính yêu cầu, Cục Tin học và Thống kê tài chính có trách nhiệm tham mưu cho Bộ về việc triển khai công tác an toàn an ninh mạng; Hướng dẫn các quy định của pháp luật, văn bản chỉ đạo và hướng dẫn của các cơ quan có thẩm quyền về an toàn an ninh mạng trong phạm vi các cơ quan, đơn vị, tổ chức thuộc Bộ Tài chính; Tổ chức triển khai Quy chế này và các quy định của pháp luật về an toàn an ninh mạng tại Cơ quan Bộ; Tổng hợp kế hoạch, báo cáo định kỳ, đột xuất về an toàn an ninh mạng, trình Lãnh đạo Bộ Tài chính gửi các cơ quan quản lý về an toàn an ninh mạng; Xử lý các việc đột xuất về an toàn an ninh mạng theo phân công của Lãnh đạo Bộ...
Ngoài ra, Tổng cục, đơn vị sự nghiệp trực thuộc Bộ tổ chức triển khai thực hiện Quy chế này và các quy định của pháp luật, văn bản chỉ đạo và hướng dẫn của các cơ quan có thẩm quyền về an toàn an ninh mạng trong phạm vi đơn vị; Ban hành quy định về an toàn an ninh mạng của đơn vị phù hợp với Quy chế này và các quy định của pháp luật về an toàn an ninh mạng; Xây dựng kế hoạch, báo cáo định kỳ, đột xuất về an toàn an ninh mạng và gửi Cục Tin học và Thống kê tài chính tổng hợp, báo cáo Bộ. Chỉ đạo đơn vị chuyên trách an toàn an ninh mạng trực thuộc đơn vị phối hợp chặt chẽ với Cục Tin học và Thống kê tài chính trong quá trình triển khai công tác an toàn an ninh mạng tại đơn vị...