Thứ trưởng Nguyễn Thành Hưng phát biểu tại buổi làm việc
Tại buổi làm việc, đại diện Cục ATTT – đơn vị chủ trì xây dựng dự thảo cho biết, dự thảo Tiêu chuẩn về “Yêu cầu cơ bản về an toàn HTTT theo cấp độ” được giao cho Bộ TT&TT xây dựng và ban hành căn cứ vào Điều 19 của Nghị định 85, theo đó việc bảo đảm an toàn HTTT phải đảm bảo các yêu cầu an toàn cơ bản theo tiêu chuẩn, quy chuẩn kỹ thuật về ATTT. Đối tượng, phạm vi áp dụng tiêu chuẩn là các HTTT phục vụ ứng dụng CNTT trong hoạt động của cơ quan nhà nước và cung cấp dịch vụ trực tuyến phục vụ người dân, doanh nghiệp.
Trên tinh thần ấy, Dự thảo được xây dựng trên cơ sở tham chiếu Tiêu chuẩn SP800-53 của Mỹ để xây dựng các yêu cầu về kỹ thuật và Tiêu chuẩn ISO/IEC 27001:2013 để xây dựng các yêu cầu về quản lý. Các nội dung được lựa chọn để xây dựng tiêu chuẩn nhằm “bảo vệ HTTT trên môi trường mạng”. Các yêu cầu phải đảm bảo “cơ bản, có tính khả thi và phù hợp với đối tượng áp dụng”. Còn các nội dung khác như: an toàn vật lý, bảo vệ thông tin cá nhân, … nằm trong các tiêu chuẩn tham chiếu sẽ được nghiên cứu xây dựng thành các tiêu chuẩn độc lập.
Cấu trúc Dự thảo Tiêu chuẩn bao gồm các yêu cầu kỹ thuật và yêu cầu quản lý. Theo đó, yêu cầu kỹ thuật được chia thành 4 nhóm (gồm 139 tiêu chí), cụ thể: Nhóm An toàn hạ tầng mạng, nhóm an toàn máy chủ, nhóm an toàn ứng dụng, nhóm an toàn dữ liệu. Yêu cầu quản lý được chia thành 5 nhóm với 139 tiêu chí, bao gồm: Nhóm Chính sách quản lý, Tổ chức đảm bảo ATTT, Đảm bảo nguồn nhân lực, Quản lý xây dựng HTTT, Quản lý vận hành hệ thống.
Đánh giá về nội dung Dự thảo, chuyên gia đến từ MISOFT Vũ Bảo Thạch đồng tình với Tổ xây dựng Dự thảo trong việc tham chiếu Tiêu chuẩn SP800-53 và ISO 27001:2013. Theo Nghị định 85, các HTTT được phân loại theo 5 cấp độ và cấp độ 5 là cấp độ cao nhất. Do đó, ông Thạch cho rằng HTTT cấp độ 5 cần được bảo đảm ATTT mạnh nhất với những giải pháp tốt nhất. Đặc biệt cần có sự phân biệt rõ ràng giữa các cấp độ. Để đánh giá một HTTT thuộc cấp độ nào, cần phải tiến hành “đánh giá rủi ro” trước, từ đó kết hợp với việc áp dụng các biện pháp kỹ thuật. “Khi xác định HTTT thuộc cấp độ 1 thì cần đặt câu hỏi biện pháp bảo đảm có thừa không, còn đối với cấp độ 5 thì câu hỏi sẽ là biện pháp bảo đảm ATTT có thiếu không”. Đặc biệt, đối với HTTT cấp độ 4, 5, cần phải tiến hành đánh giá ATTT trước khi tiến hành mua sắm trang thiết bị.
Ông Vũ Bảo Thạch cũng khuyến nghị nên tham chiếu Tiêu chuẩn ST800-82 về đảm bảo ATTT cho tự động hóa điều khiển. Đây là mức độ bảo đảm ATTT cao hơn hẳn so với Tiêu chuẩn SP800-53, được Mỹ áp dụng cho các nhà máy điện hạt nhân và các nhà máy lọc dầu…
Đại diện của BKAV và Trung tâm chứng nhận phù hợp (QUACERT) cũng thể hiện sự nhất trí cao với ý kiến cần đánh giá rủi ro trước khi phân loại HTTT vì từ đó giúp xác định các bước tiếp theo cần phải triển khai.
Khác với ý kiến của chuyên gia đến từ MISOFT, ông Triệu Trần Đức đến từ CMC khẳng định, để đảm bảo ATTT nhận thức đóng vai trò quan trọng bậc nhất. Nếu làm tốt về nhận thức, có những trường hợp chỉ cần sử dụng những giải pháp có chi phí chỉ bằng 1/50 mà hiệu quả vẫn cao. Đặc biệt, ông Đức lưu ý nhận thức về đảm bảo ATTT của những đơn vị, tổ chức sở hữu, quản lý HTTT cấp độ 4, 5 cần phải cao hơn hẳn so với cấp độ 1, 2, 3.
Ông Nguyễn Khắc Lịch, Phó Giám đốc VNCERT cũng cho rằng, không hẳn cứ đầu tư nhiều tiền thì ATTT được đảm bảo tốt hơn. ATTT về bản chất có 3 trục lớn là: tổ chức, con người và trang thiết bị. Nếu biết kết hợp 3 trục này một cách tối ưu thì sẽ không cần tiêu tốn quá nhiều tiền cho ATTT.
Ông Nguyễn Chí Thành, Chánh Văn phòng Hiệp hội ATTT Việt Nam VNISA nêu ra 2 khó khăn cơ bản trong đảm bảo ATTT tại Việt Nam là: tài chính không nhiều và nguồn nhân lực yếu. Doanh nghiệp thì đầu tư cho ATTT theo kiểu “tiền đến đâu làm đến đó”. Nhiều bộ, ban, ngành thậm chí chưa có cán bộ chuyên trách về CNTT, ATTT. Ông Thành kiến nghị nên quy định mức tối thiểu, tối đa về việc bảo đảm ATTT để tạo điều kiện cho các cơ quan, doanh nghiệp áp dụng vào điều kiện thực tế của đơn vị mình. Tuy nhiên, ông Nguyễn Huy Dũng, Phó Cục trưởng Cục ATTT lại cho rằng, quy định tối thiểu thì dễ, quy định tối đa thì khó quá vì làm gì có ATTT tuyệt đối.
Phát biểu kết luận buổi làm việc, Thứ trưởng Nguyễn Thành Hưng đánh giá cao các ý kiến đóng góp của các đại biểu tham dự. Thứ trưởng nhấn mạnh, việc xây dựng các tiêu chuẩn về “Yêu cầu cơ bản về an toàn HTTT theo cấp độ” cần phải được thực hiện một cách cẩn thận, kỹ lưỡng vì tác động đến nhiều bên liên quan và toàn thể xã hội. Nói cụ thể hơn, các tiêu chuẩn cần được xây dựng trên tinh thần “phải đưa ra được các khuyến nghị tối thiểu, chủ quản của các HTTT phải tự chịu trách nhiệm đảm bảo ATTT. Rủi ro về ATTT vẫn luôn tồn tại cho dù đầu tư hay nỗ lực rất lớn, phải liên tục cập nhật các tiêu chuẩn về ATTT”. Thứ trưởng đề nghị trong buổi làm việc tiếp theo sẽ có buổi đối thoại giữa các tổ chức, đơn vị có trách nhiệm về ATTT với các cơ quan chủ quản HTTT để có cái nhìn hai chiều và thấu đáo hơn trong công tác xây dựng tiêu chuẩn về đảm bảo an toàn cho các HTTT. Đặc biệt, cần có sự tham gia của toàn xã hội trong công tác đảm bảo ATTT, Thứ trưởng nhấn mạnh.
