Thông tư 03 quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ (Nghị định 85) mới được Bộ TT&TT ban hành, sẽ có hiệu lực thi hành kể từ ngày 1/7 tới.

Luật An toàn thông tin mạng có hiệu lực từ ngày 1/7/2016 quy định, để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ, trước hết cần phân loại, xác định cấp độ an toàn thông tin của hệ thống thông tin, với 5 cấp độ tăng dần từ 1 đến 5. Để hướng dẫn thi hành Luật An toàn thông tin mạng, ngày 1/7/2016, Chính phủ đã ban hành Nghị định 85 quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ. Tại Nghị định 85, Chính phủ đã giao Bộ TT&TT hướng dẫn chi tiết việc xác định hệ thống thông tin theo cấp độ; ban hành quy định văn bản hướng dẫn về bảo đảm an toàn thông tin theo cấp độ…

Theo Cục An toàn thông tin - đơn vị được Bộ TT&TT giao nhiệm vụ xây dựng dự thảo Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85 về bảo đảm an toàn hệ thống thông tin theo cấp độ, dự thảo Thông tư này đã được lấy ý kiến đóng góp rộng rãi của các cơ quan, tổ chức, doanh nghiệp và đông đảo người dân trong và ngoài nước.

Cục An toàn thông tin cũng cho biết, sự ra đời của Thông tư 03 quy định chi tiết và hướng dẫn một số điều của Nghị định 85 về bảo đảm an toàn hệ thống thông tin theo cấp độ góp phần hoàn thiện dần hành lang pháp lý về lĩnh vực an toàn thông tin tại Việt Nam, bước đầu giải quyết các vấn đề cụ thể như hướng dẫn xác định hệ thống thông tin và cấp độ an toàn hệ thống thông tin; hướng dẫn các yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ; hướng dẫn kiểm tra, đánh giá an toàn thông tin và một số công tác liên quan đến việc bảo đảm an toàn thông tin.

Cụ thể, bên cạnh việc hướng dẫn các chủ quản hệ thống thông tin cách xác định hệ thống thông tin và cấp độ an toàn hệ thống thông tin, Thông tin 03 của Bộ TT&TT cũng quy định rõ về các yêu cầu đảm bảo an toàn thông tin theo cấp độ.

Theo đó, việc đảm bảo an toàn thông tin theo cấp độ thực hiện theo yêu cầu cơ bản quy định tại Thông tư này; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin và tiêu chuẩn, quy chuẩn kỹ  thuật chuyên ngành có liên quan khác.

Thông tư 03 nêu rõ, yêu cầu cơ bản đối với từng cấp độ quy định tại Thông tư này là yêu cầu tối thiểu để bảo đảm an toàn hệ thống thông tin và không bao gồm các yêu cầu bảo đảm an toàn vật lý khác.

Yêu cầu cơ bản gồm có yêu cầu kỹ thuật (an toàn hạ tầng mạng; an toàn máy chủ; an toàn ứng dụng và an toàn dữ liệu); yêu cầu quản lý (chính sách chung; tổ chức, nhân sự; quản lý thiết kế, xây dựng; quản lý vận hành; kiểm tra, đánh giá và quản lý rủi ro).

Cũng theo quy định tại Thông tư 03, việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định 85 của Chính phủ. Trong đó, đối với hệ thống thông tin cấp độ 1, 2, 3, phương án bảo đảm an toàn thông tin phải xem xét khả năng dùng chung giữa các hệ thống thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí. Trong trường hợp đầu tư mới, phải có thuyết minh về việc giải pháp đã có không đáp ứng được yêu cầu cơ bản.

Còn với hệ thống thông tin cấp độ 4, 5, phương án bảo đảm an toàn thông tin cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan đến hệ thống bị mất an toàn thông tin.

Ngoài ra, Thông tư 03 của Bộ TT&TT cũng quy định về việc kiểm tra, đánh giá an toàn thông tin; tiếp nhận và thẩm định hồ sơ đề xuất cấp độ; báo cáo, chia sẻ thông tin.

5 cấp độ an toàn của hệ thống thông tin

Theo quy định tại Luật An toàn thông tin mạng, hệ thống thông tin được phân loại theo 5 cấp độ tăng dần từ 1 đến 5, trong đó:

- Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia.

- Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia.

- Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia.

- Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia.

- Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.