1. GAO xác định thuật ngữ thông tin nhạy cảm đề cập trong báo cáo bao gồm: Thông tin an ninh quốc gia, thông tin về quốc nội; “Số an sinh xã hội; Các bản ghi y tế; Dữ liệu hành pháp; Các thông tin riêng khác có thể bị tiết lộ không hợp lý, bị xem lướt, hoặc bị sao chép không đúng qui định hoặc phục vụ cho mục đích phạm tội”.
2. Báo cáo của GAO về An ninh thông tin được công bố vào tháng 06/2008. Đây là kết quả khảo sát ở 24 cơ quan lớn của Chính phủ Mỹ. Trong đó, có 10 cơ quan xử lý các thông tin y tế nhạy cảm; 16 cơ quan có những thông tin luật pháp nhạy cảm; 19 cơ quan có thông tin nhân thân; và 20 cơ quan có thông tin về các chương trình đặc thù.
3. Hạ tầng kỹ thuật trọng yếu được GAO diễn tả gồm: Hạ tầng mạng; Hạ tầng vật lý; các cơ sở Hạ tầng công cộng và chuyên dùng khác khác cần thiết để bảo đảm an ninh quốc gia, an ninh kinh tế quốc gia hoặc cho sự an toàn và sức khỏe của cộng đồng.
4. Mã hóa là biện pháp hỗ trợ bảo vệ các thông tin nhạy cảm: Các công nghệ mã hóa để bảo mật thông tin lưu trữ gồm: Mã hóa toàn bộ đĩa; Mã hóa bằng phần cứng; Mã hóa tệp, thư mục, ổ đĩa ảo. Trên đường truyền tin, thông tin nhạy cảm được bảo vệ bằng các công nghệ: Mạng riêng ảo (VPN); Chữ ký số và Chứng chỉ số; Các công nghệ mã hóa áp dụng cho các thiết bị điện toán cầm tay.
5. Luật pháp và hướng dẫn thực hiện luật pháp bao gồm:
- Các luật Liên bang không bắt buộc các tổ chức phải mã hóa thông tin nhạy cảm, luật trao trách nhiệm bảo vệ an ninh thông tin cho các cơ quan Chính phủ.
- Đặc biệt, Luật An ninh thông tin Liên bang 2002 (Federal Information Security Management Act – FISMA 2002) được gói trong Luật Chính phủ điện tử 2002 (E-Government Act 2002) cung cấp khung pháp lý để đảm bảo kiểm soát hiệu quả thông tin và hệ thống thông tin của các cơ quan Chính phủ.
- Cơ quan Hành chính, quản trị Chính phủ (Office of Management and Budget - OMB) là cơ quan chịu trách nhiệm thiết lập chính sách và hướng dẫn các cơ quan chính phủ thi hành Luật FISMA, Luật Bí mật cá nhân (Privacy Act), và các luật an ninh thông tin, luật bí mật cá nhân khác.
- NIST chịu trách nhiệm cung cấp cho các cơ quan Chính phủ những hướng dẫn lập kế hoạch; hướng dẫn triển khai; các chuẩn bắt buộc để xác định, phân loại thông tin, và lựa chọn biện pháp bảo vệ cần thiết.
6. Thực tế, mức độ quan tâm đến mã hóa dữ liệu nhạy cảm rất khác nhau. Các cơ quan thường ít quan tâm đến dữ liệu lưu trữ mà quan tâm nhiều hơn đến mã hóa dữ liệu trên đường truyền.
- Rất ít cơ quan thực hiện mã hóa các thông tin lưu trữ trên thiết bị lưu động (Đây là yêu cầu bắt buộc của OMB). Với 24 cơ quan đã khảo sát, tỷ lệ không mã dữ liệu trên các thiết bị lưu động là 70%.
- Việc thực hiện mã hóa không có kế hoạch đầy đủ, chưa tuân thủ hướng dẫn của NIST về việc lập hồ sơ kế hoạch thực hiện. Văn bản số 800-53 (NIST Special Publication 800-53) của NIST hướng dẫn và yêu cầu các cơ quan tiến hành kiểm kê thông tin và lựa chọn biện pháp bảo vệ. 75% các cơ quan được khảo sát không tiến hành kiểm kê thông tin nhạy cảm đang nắm giữ.
- Thực tế ứng dụng mã hóa ở tất cả các cơ quan còn yếu: Không có cơ quan nào cài đặt các sản phẩm tương thích với các qui định của FIPS (Yêu cầu bắt buộc của OMB). Hiện nay, các cơ quan chính phủ Mỹ có thể được cung cấp các sản phẩm mã hóa tuân theo Tiêu chuẩn môđun mật mã an toàn FIPS 140-2 từ Chương trình “SmartBUY” của Văn phòng Chính phủ Mỹ. Nhiều cơ quan cài đặt, cấu hình hệ thống chưa hoàn chỉnh theo đúng yêu cầu của NIST. Hầu hết các cơ quan chưa xây dựng hoặc chưa lập hồ sơ các qui định, qui trình mã hóa. Một số cơ quan chưa đào tạo đầy đủ đội ngũ nhân viên ATTT.
* GAO còn đưa ra 20 khuyến nghị cần thực hiện ngay đối với OMB và một số cơ quan Chính phủ quan trọng:
- Đối với OMB: Làm rõ chính sách bắt buộc các cơ quan Chính phủ phải mã hóa thông tin nhạy cảm; giám sát các hoạt động ứng dụng mã hóa, kiểm kê thông tin nhạy cảm đang lưu giữ của các cơ quan Chính phủ.
- Đối với các cơ quan Chính phủ khác, yêu cầu phải sử dụng các sản phẩm mật mã đáp ứng tiêu chuẩn của FIPS 140-2 để mã hóa thông tin; xây dựng chính sách, quy trình thiết lập và quản lý khóa; xây dựng quy trình đảm bảo sử dụng mật mã theo quy định của FIPS.
08:00 | 01/03/2021
17:00 | 02/07/2021
16:00 | 30/01/2024
Trung Quốc phê duyệt lô mô hình ngôn ngữ lớn (LLM) đầu tiên trong năm nay, giữa bối cảnh ngày càng nhiều công ty công nghệ nước này thúc đẩy áp dụng trí tuệ nhân tạo (AI) trong các ngành nghề cụ thể.
08:00 | 26/09/2023
Ngày 13/9, Chủ tịch Ủy ban châu Âu (EC) đã kêu gọi thành lập một hội đồng toàn cầu gồm các chuyên gia và đại diện công ty công nghệ để giải quyết những thách thức do công nghệ trí tuệ nhân tạo (AI) đặt ra.
14:00 | 01/08/2023
Bộ Nội vụ đề xuất thời gian trình Chính phủ xem xét, thông qua Nghị định quy định về chế độ hỗ trợ cán bộ, công chức, viên chức chuyên trách chuyển đổi số, an toàn, an ninh mạng từ tháng 10/2023.
07:00 | 03/07/2023
TikTok đang là một trong những ứng dụng được nhiều người dùng yêu thích không chỉ tại Việt Nam mà còn trên khắp thế giới. Tuy nhiên, việc TikTok phát triển mạnh không đi đôi với trách nhiệm giữ gìn, quản lý nền tảng lành mạnh, an toàn với người dùng. Ứng dụng này đã xuất hiện nhiều nội dung chứa thông tin chống phá Nhà nước, vi phạm pháp luật, các nội dung độc hại, lừa đảo, phản cảm, vi phạm về các chính sách bảo mật và an toàn thông tin, tạo thành trào lưu gây ảnh hưởng xấu trong xã hội. Các quốc gia trên thế giới đang ngày càng siết chặt hơn các quy định nhằm kiểm soát tốt hơn sự nguy hiểm tiềm ẩn từ ứng dụng này. Tại Việt Nam, Chính phủ và các bộ, ban, ngành cũng đã vào cuộc để đưa ra các biện pháp ngăn chặn những ảnh hưởng xấu độc mà TikTok có thể mang lại.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
