Ngay sau khi Luật An toàn thông tin mạng (ATTTM) được thông qua, Chính phủ đã lên kế hoạch xây dựng và ban hành các văn bản hướng dẫn dưới Luật trong năm 2016. Cho đến nay, 03 Nghị định đã được Chính phủ ban hành.
Ban Cơ yếu Chính phủ đã giúp Bộ trưởng Bộ Quốc phòng xây dựng và trình Chính phủ ban hành Nghị định quy định về quản lý mật mã dân sự. Bộ TT&TT chủ trì, xây dựng trình Chính phủ ban hành Nghị định quy định về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ; Nghị định quy định chi tiết về điều kiện cấp giấy phép kinh doanh sản phẩm, dịch vụ ATTTM.
Các nghị định này ra đời đã kịp thời cụ thể hóa các nội dung cơ bản trong Luật ATTTM, tạo điều kiện để cơ quan quản lý nhà nước thực thi công tác quản lý và các tổ chức thấy rõ trách nhiệm trong công tác đảm bảo an toàn các hệ thống thông tin của mình. Bên cạnh đó, các tổ chức, cá nhân hoạt động trong lĩnh vực ATTT có hành lang pháp lý cụ thể cho các hoạt động sản xuất, kinh doanh. Các nghị định này đều có hiệu lực thi hành từ ngày 1/7/2016.
Dưới đây Tạp chí ATTT giới thiệu khái quát về các Nghị định nêu trên.
Nghị định 58/2016/NĐ-CP ngày 01/7/2016 quy định chi tiết về kinh doanh sản phẩm, dịch vụ mật mã dân sự và xuất khẩu, nhập khẩu sản phẩm mật mã dân sự.
Nghị định này quy định cụ thể một số nội dung trong Chương IV. Mật mã dân sự của Luật ATTTM, về điều kiện doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự. Trong đó, doanh nghiệp được cấp Giấy phép khi đáp ứng đủ các điều kiện: Có đội ngũ quản lý, điều hành, kỹ thuật đáp ứng yêu cầu chuyên môn về bảo mật và an toàn thông tin (BM&ATTT); có hệ thống trang thiết bị, cơ sở vật chất phù hợp với quy mô cung cấp sản phẩm, dịch vụ mật mã dân sự; có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật; có phương án bảo mật và ATTTM trong quá trình quản lý và cung cấp sản phẩm, dịch vụ mật mã dân sự; có phương án kinh doanh phù hợp.
Về điều kiện đội ngũ quản lý, điều hành, kỹ thuật đáp ứng yêu cầu chuyên môn về BM&ATTT, Nghị định nêu rõ, doanh nghiệp phải có ít nhất 2 cán bộ kỹ thuật có trình độ đại học trở lên thuộc một trong các ngành điện tử - viễn thông, công nghệ thông tin, toán học, ATTT; cán bộ quản lý, điều hành tốt nghiệp một trong các ngành điện tử - viễn thông, công nghệ thông tin, toán học, ATTT hoặc tốt nghiệp một ngành khác và có chứng chỉ đào tạo về ATTT.
Về điều kiện có phương án kinh doanh phù hợp, Nghị định quy định: Doanh nghiệp phải có hệ thống phục vụ khách hàng và đảm bảo kỹ thuật phù hợp với phạm vi, đối tượng cung cấp, quy mô số lượng sản phẩm.
Việc cấp mới, sửa đổi, bổ sung, cấp lại, gia hạn Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự được thực hiện theo quy định tại Điều 32, Điều 33 của Luật ATTTM. Doanh nghiệp thực hiện các thủ tục cấp mới, sửa đổi, bổ sung, cấp lại, gia hạn Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự nộp hồ sơ trực tiếp, hoặc qua hệ thống bưu chính, hoặc dịch vụ công trực tuyến đến Ban Cơ yếu Chính phủ thông qua Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã.
Để quản lý hoạt động kinh doanh, xuất nhập khẩu sản phẩm mật mã dân sự, tại Nghị định 58, Chính phủ đã ban hành Danh mục sản phẩm, dịch vụ mật mã dân sự và Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theo Giấy phép.
Nghị định 108/2016/NĐ-CP, ngày 01/7/2016 quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.
Nghị định này quy định cụ thể một số nội dung trong Chương VI. Kinh doanh an toàn thông tin của Luật ATTTM, về điều kiện doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM.
Theo đó, Bộ Thông tin và Truyền thông cấp Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM. Loại giấy phép này có thời hạn là 10 năm.
Nghị định quy định dịch vụ ATTTM bao gồm: Dịch vụ giám sát ATTTM; dịch vụ phòng ngừa, chống tấn công mạng; dịch vụ tư vấn ATTTM; dịch vụ ứng cứu sự cố ATTTM; dịch vụ khôi phục dữ liệu; dịch vụ kiểm tra, đánh giá ATTTM; dịch vụ bảo mật thông tin không sử dụng mật mã dân sự.
Đối với các sản phẩm dịch vụ ATTTM, Nghị định quy định về sản phẩm kiểm tra, đánh giá ATTTM, trong đó gồm các thiết bị phần cứng, phần mềm có các chức năng rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, điểm yếu; đưa ra đánh giá rủi ro ATTT.
Sản phẩm giám sát ATTTM là các thiết bị phần cứng, phần mềm có các chức năng giám sát, phân tích dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất ATTT và các sản phẩm chống tấn công, xâm nhập vào hệ thống thông tin.
Bên cạnh đó, Nghị định cũng quy định các điều kiện cấp Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM. Nghị định nêu rõ, doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM khi đáp ứng đủ các điều kiện quy định tại Điều 42 của Luật ATTTM và các điều kiện tại Nghị định này.
Đối với hoạt động nhập khẩu sản phẩm ATTTM, doanh nghiệp cần đáp ứng điều kiện quy định tại Nghị định như: có đội ngũ quản lý, điều hành đáp ứng được yêu cầu chuyên môn về ATTT; có cán bộ kỹ thuật chịu trách nhiệm chính có bằng đại học chuyên ngành hoặc chứng chỉ ATTT, công nghệ thông tin hoặc điện tử viễn thông với số lượng nhân sự đáp ứng được quy mô, yêu cầu của phương án kinh doanh; có phương án kinh doanh phù hợp....
Ngoài ra, Nghị định còn quy định rõ việc lập hồ sơ, trình tự, thủ tục cấp Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM; thủ tục tiếp nhận hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM; quy trình kiểm tra tính hợp lệ hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM....
Nghị định được áp dụng đối với tổ chức, doanh nghiệp trực tiếp tham gia hoặc có liên quan đến hoạt động sản xuất, nhập khẩu sản phẩm ATTTM và cung cấp dịch vụ ATTTM tại Việt Nam.
Nghị định 85/2016/NĐ-CP, ngày 01/7/2016 quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Nghị định này quy định cụ thể một số nội dung trong Chương III. Bảo đảm an toàn thông tin mạng của Luật ATTTM về bảo vệ Hệ thống thông tin.
Theo đó, người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin có trách nhiệm trực tiếp chỉ đạo và phụ trách công tác bảo đảm ATTT trong hoạt động của cơ quan, tổ chức mình. Trong trường hợp chưa có đơn vị chuyên trách về ATTT độc lập, người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin có trách nhiệm chỉ định đơn vị chuyên trách về công nghệ thông tin làm nhiệm vụ chuyên trách về ATTT; thành lập hoặc chỉ định bộ phận chuyên trách về ATTT trực thuộc đơn vị chuyên trách về công nghệ thông tin.
Chủ quản hệ thống thông tin có trách nhiệm chỉ đạo, tổ chức thực hiện phương án bảo đảm an toàn hệ thống thông tin theo cấp độ đối với hệ thống thông tin thuộc phạm vi mình quản lý.
Đơn vị chuyên trách về ATTT của chủ quản hệ thống thông tin có trách nhiệm tham mưu, tổ chức thực thi, đôn đốc, kiểm tra, giám sát công tác bảo đảm ATTT. Nghị định áp dụng đối với cơ quan, tổ chức, cá nhân tham gia, hoặc có liên quan đến hoạt động xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin tại Việt Nam phục vụ ứng dụng công nghệ thông tin trong hoạt động của cơ quan, tổ chức nhà nước, ứng dụng công nghệ thông tin trong việc cung cấp dịch vụ trực tuyến phục vụ người dân và doanh nghiệp.
Nguyên tắc bảo đảm hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức là phải được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy bỏ, tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật; thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hóa hiệu năng, tránh đầu tư thừa, trùng lặp; phân bố nguồn lực thực phải hiện theo thứ tự ưu tiên từ cấp độ cao xuống cấp độ thấp.
Nghị định cũng quy định chi tiết về các tiêu chí xác định cấp độ, trách nhiệm bảo đảm an toàn hệ thống thông tin đối với các bên tham gia, liên quan vào hệ thống thông tin; thẩm quyền thẩm định và phê duyệt cấp độ; trình tự, thủ tục xác định cấp độ đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin; trình tự thủ tục xác định cấp độ đối với hệ thống thông tin đang vận hành; hồ sơ đề xuất cấp độ....
Theo đó, nghị định quy định cụ thể tiêu chí xác định 5 cấp độ hệ thống thông tin, ngoài ra còn quy định người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin có trách nhiệm trực tiếp chỉ đạo và phụ trách công tác bảo đảm ATTT trong hoạt động của cơ quan, tổ chức mình.
Năm cấp độ hệ thống thông tin được quy định cụ thể như sau:
- Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng.
- Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:
+ Hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và có xử lý thông tin riêng, thông tin cá nhân của người sử dụng nhưng không xử lý thông tin bí mật nhà nước;
+ Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau: Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 2 trở xuống theo quy định của pháp luật; cung cấp dịch vụ trực tuyến không thuộc danh mục dịch vụ kinh doanh có điều kiện; cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của dưới 1.000 người sử dụng;
+ Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một cơ quan, tổ chức....
- Hệ thống thông tin cấp độ 3 là hệ thống tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh khi bị phá hoại sẽ làm tổn hại tới quốc phòng, an ninh quốc gia; hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các hình thức: Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 3 trở lên theo quy định của pháp luật; cung cấp dịch vụ trực tuyến thuộc danh mục dịch vụ kinh doanh có điều kiện; cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trở lên....
- Hệ thống thông tin cấp độ 4 là hệ thống thông tin quốc gia phục vụ phát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc; hệ thống thông tin điều khiển công nghiệp trực tiếp phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng cấp I theo phân cấp của pháp luật về xây dung.
- Đối với hệ thống thông tin cấp độ 5 là hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia; hoặc là hệ thống thông tin phục vụ lưu trữ dữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọng của quốc gia; hoặc là hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế....
Tuy nhiên, để các nghị định này thực sự đi vào thực tế, cần có thêm các văn bản hướng dẫn cụ thể của các Bộ, ngành liên quan, các danh mục phân loại sản phẩm, các tiêu chí, tiêu chuẩn, quy chuẩn kỹ thuật quốc gia tương ứng. Các cơ quan quản lý nhà nước cũng cần tổ chức các diễn đàn trao đổi, đàm luận với đối tượng chịu tác động của các văn bản này là các tổ chức, cá nhân hoạt động trong lĩnh vực CNTT, ATTT tại Việt Nam.