Tỉnh thiết lập một Trung tâm điều hành an toàn, an ninh mạng và thực hiện kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia phục vụ hoạt động hỗ trợ giám sát, phòng chống tấn công mạng và điều phối ứng cứu sự cố an toàn thông tin.
1. Thành phần bảo đảm an toàn thông tin
Việc bảo đảm an toàn thông tin phục vụ phát triển CPĐT phải thống nhất, đồng bộ các hệ thống thành phần trong mô hình. Các hệ thống thành phần cần bảo đảm an toàn thông tin phục vụ CPĐT cấp bộ, tỉnh và ĐTTM cấp tỉnh bao gồm nhưng không giới hạn các thành phần sau:
(1) Cổng Thông tin điện tử;
(2) Cổng Dịch vụ công/Hệ thống thông tin một cửa điện tử;
(3) Hệ thống Quản lý văn bản và điều hành;
(4) Hệ thống thông tin báo cáo;
(5) Nền tảng chia sẻ, tích hợp dùng chung (LGSP);
(6) Các hệ thống cơ sở dữ liệu phục vụ phát triển CPĐT, CQĐT và ĐTTM;
(7) Các hệ thống thông tin khác phục vụ phát triển CPĐT, CQĐT và ĐTTM;
(8) Trung tâm điều hành an toàn, an ninh mạng (SOC).
2. Mô hình tổ chức “04 lớp” bảo đảm an toàn thông tin
Công tác bảo đảm an toàn thông tin nói chung và công tác bảo đảm an toàn thông tin trong CPĐT, CQĐT và ĐTTM phải được thực hiện một cách tổng thể, đồng bộ theo chỉ đạo của Thủ tướng Chính phủ tại Chỉ thị số 14/CT-TTg ngày 06/7/2019. Theo đó, cơ quan, tổ chức triển khai bảo đảm an toàn thông tin cho hệ thống thông tin thuộc phạm vi quản lý theo mô “4 lớp”: (1) Lực lượng tại chỗ, (2) Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp, (3) Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ, (4) Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.
a) Lực lượng tại chỗ
Thực hiện kiện toàn lực lượng tại chỗ để thực hiện giám sát, bảo vệ: (1) Người đứng đầu các bộ, ngành, địa phương trực tiếp quan tâm, chỉ đạo công tác an toàn, an ninh mạng theo đúng chỉ đạo của Thủ tướng Chính phủ, hoặc có thể phân công một Lãnh đạo cấp phó giúp theo dõi, điều hành; (2) Chỉ định, kiện toàn đầu mối đơn vị chuyên trách về an toàn thông tin mạng để làm tốt công tác tham mưu, tổ chức thực thi và kiểm tra, đôn đốc thực hiện các quy định của pháp luật về bảo đảm an toàn, an ninh mạng; (3) Thành lập Bộ phận chuyên trách về an toàn thông tin/Đội Ứng cứu sự cố an toàn thông tin mạng để thực thi nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng với sự tham gia của đại diện các cơ quan, tổ chức trực thuộc do đơn vị chuyên trách làm thường trực; (4) Đăng ký tham gia Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia do Trung tâm VNCERT/CC, Cục An toàn thông tin làm điều phối.
b) Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp
Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp: Bên cạnh lực lượng tại chỗ, mỗi hệ thống thông tin từ cấp độ 3 trở lên cần có sự giám sát, bảo vệ của lực lượng chuyên nghiệp. Lực lượng chuyên nghiệp có thể là doanh nghiệp được Bộ Thông tin và Truyền thông cấp phép hoặc đơn vị chuyên trách của Bộ Quốc phòng (Bộ Tư lệnh 86, Ban Cơ yếu Chính phủ), Bộ Công an (Cục An ninh mạng và phòng chống tội phạm công nghệ cao), Bộ Thông tin và Truyền thông (Cục An toàn thông tin).
c) Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ
Tổ chức hoặc thuê doanh nghiệp độc lập kiểm tra, đánh giá định kỳ: Định kỳ tối thiểu 1 năm một lần có tổ chức hoặc doanh nghiệp độc lập với tổ chức hoặc doanh nghiệp giám sát, bảo vệ để thực hiện kiểm tra, đánh giá, rà quét, phát hiện lỗ hổng, điểm yếu, kiểm thử xâm nhập hệ thống để từ đó có biện pháp phòng ngừa, khắc phục phù hợp.
d) Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia
Thực hiện kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia của Cục An toàn thông tin, Bộ Thông tin và Truyền thông. Đăng ký đầy đủ với Trung tâm Giám sát an toàn không gian mạng quốc gia, Cục An toàn thông tin các dải địa chỉ IP public của các hệ thống thông tin trong cơ quan, tổ chức nhà nước phục vụ việc theo dõi, cảnh báo các kết nối bất thường, độc hại.
3. Mô hình tham chiếu về biện pháp quản lý an toàn thông tin
Mô hình dưới đây mô tả các yêu cầu về quản lý an toàn thông tin theo tiêu chuẩn quốc gia TCVN 11930:2017.
Hình 2: Mô hình các yêu cầu về quản lý an toàn thông tin
Các yêu cầu cụ thể được xác định dựa vào cấp độ của hệ thống thông tin tương ứng cần bảo vệ và được chia ra làm 05 nhóm: (1) Chính sách an toàn thông tin, (2) Tổ chức bảo đảm an toàn thông tin, (3) Bảo đảm nguồn nhân lực, (4) Quản lý thiết kế, xây dựng hệ thống, (5) Quản lý vận hành an toàn hệ thống thông tin, chi tiết tham khảo tại Phụ lục hướng dẫn này.
2.4. Mô hình tham chiếu biện pháp kỹ thuật bảo đảm an toàn thông tin
Mô hình dưới đây mô tả các yêu cầu về kỹ thuật bảo đảm an toàn thông tin theo tiêu chuẩn quốc gia TCVN 11930:2017.
Hình 3: Mô hình yêu cầu về kỹ thuật đảm bảo an toàn thông tin
Các yêu cầu cụ thể được xác định dựa vào cấp độ của hệ thống thông tin tương ứng cần bảo vệ và được chia làm 04 nhóm: (1) An toàn hạ tầng mạng, (2) An toàn máy chủ, (3) An toàn ứng dụng, (4) An toàn dữ liệu, chi tiết thảm khảo tại Phụ lục hướng dẫn này.