Hệ thống pháp luật

BỘ TÀI CHÍNH
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 3317/QĐ-BTC

Hà Nội, ngày 24 tháng 12 năm 2014

 

QUYẾT ĐỊNH

BAN HÀNH QUY ĐỊNH VỀ VIỆC ĐẢM BẢO AN TOÀN THÔNG TIN TRÊN MÔI TRƯỜNG MÁY TÍNH VÀ MẠNG MÁY TÍNH

BỘ TRƯỞNG BỘ TÀI CHÍNH

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về việc ứng dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước;

Căn cứ Nghị định số 33/2002/NĐ-CP ngày 28/3/2002 của Chính phủ về việc quy định chi tiết thi hành Pháp lệnh bảo vệ bí mật Nhà nước;

Căn cứ Nghị định số 215/2013/NĐ-CP ngày 23/12/2013 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính;

Căn cứ Thông tư số 161/2014/TT-BTC ngày 31/10/2014 của Bộ Tài chính quy định công tác bảo vệ bí mật nhà nước của ngành Tài chính;

Xét đề nghị của Cục trưởng Cục Tin học và Thống kê tài chính,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy định về việc đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính.

Điều 2. Quyết định này có hiệu lực từ ngày ký, thay thế Quyết định số 2615/QĐ-BTC ngày 19/10/2012 của Bộ trưởng Bộ Tài chính ban hành Quy định về việc đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính.

Điều 3. Cục trưởng Cục Tin học và Thống kê tài chính, Thủ trưởng các đơn vị thuộc Bộ, công chức, viên chức Bộ Tài chính, các tổ chức và cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này.

 


Nơi nhận:
- Lãnh đạo Bộ;
- Các đơn vị thuộc Bộ Tài chính;
- Sở Tài chính các tỉnh, thành phố;
- Lưu: VT, THTK.

KT. BỘ TRƯỞNG
THỨ TRƯỞNG




Trần Xuân Hà

 

QUY ĐỊNH

VỀ VIỆC ĐẢM BẢO AN TOÀN THÔNG TIN TRÊN MÔI TRƯỜNG MÁY TÍNH VÀ MẠNG MÁY TÍNH
(Kèm theo Quyết định số 3317/QĐ-BTC ngày 24 tháng 12 năm 2014 của Bộ trưởng Bộ Tài chính)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi và đối tượng áp dụng

1. Phạm vi áp dụng:

Quy định này bao gồm các điều kiện tối thiểu phải tuân thủ nhằm đảm bảo an toàn thông tin trên môi trường máy tính, mạng máy tính và các hệ thống có khả năng tiếp cận thông tin số của ngành Tài chính. Thông tin được đảm bảo an toàn bao gồm tất cả các loại thông tin của Bộ Tài chính và các đơn vị thuộc Bộ, thông tin tại các cơ quan tài chính địa phương thuộc lĩnh vực do Bộ Tài chính quản lý, thông tin do các cơ quan, tổ chức khác gửi đến Bộ Tài chính và các đơn vị thuộc Bộ.

2. Đối tượng áp dụng:

a) Các đơn vị thuộc Bộ Tài chính và cán bộ, công chức, viên chức, nhân viên của đơn vị: áp dụng đầy đủ quy định này.

b) Sở Tài chính tỉnh, thành phố trực thuộc Trung ương; Phòng Tài chính - Kế hoạch quận, huyện, thị xã, thành phố thuộc tỉnh; cán bộ, công chức, viên chức, nhân viên của đơn vị: áp dụng quy định này đối với máy tính, mạng máy tính kết nối vào hạ tầng truyền thông thống nhất ngành Tài chính và các ứng dụng thuộc hệ thống quản lý của Bộ Tài chính.

c) Tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin cho các đơn vị thuộc Bộ Tài chính (tư vấn, xây dựng, triển khai, hỗ trợ, quản trị, vận hành, thử nghiệm hệ thống thông tin): áp dụng quy định này trong quá trình cung cấp dịch vụ và trong hoạt động trao đổi thông tin với các đơn vị thuộc Bộ Tài chính.

d) Tổ chức, cá nhân có kết nối vào mạng của ngành Tài chính: áp dụng quy định này trong hoạt động trao đổi thông tin và sử dụng các ứng dụng của ngành Tài chính.

Điều 2. Giải thích từ ngữ

Trong quy định này, các từ ngữ dưới đây được hiểu như sau:

1. “An toàn thông tin”: Thông tin và hệ thống thông tin không bị truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi, phá hoại trái phép.

2. “Hệ thống thông tin”: Tập hợp thiết bị phần cứng, phần mềm và cơ sở dữ liệu của các đơn vị thuộc ngành Tài chính phục vụ tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin.

3. “Hệ thống quan trọng”: Hệ thống thông tin có ảnh hưởng lớn tới hoạt động của các đơn vị thuộc ngành Tài chính và lợi ích công cộng.

4. “Mạng nội bộ”: Mạng máy tính trong phạm vi trụ sở của một đơn vị thuộc Bộ Tài chính; vùng mạng máy tính của Sở Tài chính, Phòng Tài chính - Kế hoạch kết nối vào hạ tầng truyền thông thống nhất ngành Tài chính.

5. “Hạ tầng truyền thông thống nhất ngành Tài chính”: Mạng diện rộng kết nối các mạng nội bộ của các đơn vị thuộc ngành Tài chính.

6. “Mạng của ngành Tài chính”: Từ chỉ chung “mạng nội bộ”, “hạ tầng truyền thông thống nhất ngành Tài chính”.

7. “Mã độc”: Phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

8. “Điểm yếu”: Điểm có thể bị khai thác gây mất an toàn thông tin; còn được gọi là “lỗ hổng bảo mật”.

9. “Rủi ro an toàn thông tin”: Khả năng mất an toàn thông tin.

10. “Sự cố an toàn thông tin”: Sự kiện mất an toàn thông tin.

11. “Mật khẩu phức tạp”: Mật khẩu đáp ứng các yêu cầu sau:

a) Có tối thiểu 8 ký tự.

b) Gồm tối thiểu 3 trong 4 loại ký tự sau: chữ cái viết hoa (A - Z); chữ cái viết thường (a - z); chữ số (0 - 9); các ký tự khác trên bàn phím máy tính (` ~ ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | : ; " ’< > , . ? /) và dấu cách.

12. “Thuật toán mã hóa an toàn”: Thuật toán mã hóa theo tiêu chuẩn Việt Nam hoặc thế giới mà tại thời điểm áp dụng chưa có công bố thuật toán đó đã bị giải hoặc nếu có khả năng giải thì thời gian giải thuật toán này dài hơn thời gian dữ liệu cần được bảo vệ dưới dạng mã hóa.

13. “Bí mật nhà nước”: Tin về vụ, việc, tài liệu, vật, địa điểm, thời gian, lời nói có nội dung quan trọng thuộc lĩnh vực chính trị, quốc phòng, an ninh, đối ngoại, kinh tế, khoa học, công nghệ, các lĩnh vực khác mà Nhà nước không công bố hoặc chưa công bố và nếu bị tiết lộ thì gây nguy hại cho Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.

Bí mật nhà nước được quy định cụ thể tại Pháp lệnh Bảo vệ bí mật nhà nước và các văn bản quy định, hướng dẫn triển khai thực hiện Pháp lệnh.

14. “Người dùng”: Cán bộ, công chức, viên chức, nhân viên của các đơn vị thuộc ngành Tài chính sử dụng máy tính để xử lý công việc.

Điều 3. Nguyên tắc chung về đảm bảo an toàn thông tin

1. Đảm bảo an toàn thông tin là yêu cầu bắt buộc trong quá trình tạo lập, xử lý, sử dụng thông tin và thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống thông tin.

2. Đơn vị, người dùng thực hiện các công đoạn liên quan đến thông tin nêu tại khoản 1 điều này có trách nhiệm đảm bảo an toàn thông tin theo quy định của Nhà nước, của Bộ Tài chính và hướng dẫn của cơ quan, đơn vị có thẩm quyền trong lĩnh vực đảm bảo an toàn thông tin.

3. Người dùng phải được tập huấn kiến thức chung về an toàn thông tin trên môi trường máy tính, mạng máy tính và kiến thức nâng cao về an toàn thông tin phù hợp với công việc được phân công.

4. Bí mật nhà nước phải được bảo vệ theo quy định của Nhà nước và của ngành Tài chính về công tác bảo vệ bí mật nhà nước và các nội dung tương ứng trong quy định này.

Điều 4. Những hành vi bị nghiêm cấm

1. Vi phạm các quy định về quản lý, vận hành và sử dụng mạng của ngành Tài chính gây rối loạn hoạt động của hệ thống, trong đó bao gồm các hành vi: tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập không dây của cá nhân vào mạng nội bộ; trên cùng một thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và truy cập Internet bằng thiết bị kết nối Internet của cá nhân (modem quay số, USB 3G, điện thoại di động, máy tính bảng).

2. Can thiệp trái phép, gây nguy hại, xóa, thay đổi, sửa chữa, làm sai lệch thông tin trên mạng.

3. Phát tán thư rác, mã độc, thiết lập hệ thống thông tin giả mạo, lừa đảo trong mạng của ngành Tài chính; lợi dụng điểm yếu của hệ thống thông tin để tấn công, chiếm quyền điều khiển trái phép đối với hệ thống.

4. Làm mất tác dụng của biện pháp an toàn thông tin do đơn vị thiết lập, trong đó bao gồm các hành vi: tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc.

5. Lợi dụng mạng để truyền bá thông tin, quan điểm, thực hiện các hành vi gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội; phá hoại khối đại đoàn kết toàn dân; tuyên truyền chiến tranh xâm lược, khủng bố; gây thù hận, mâu thuẫn giữa các dân tộc, sắc tộc, tôn giáo.

6. Lợi dụng mạng để truyền bá trái phép tài liệu, hình ảnh, âm thanh hoặc dạng thông tin khác nhằm kích động bạo lực, dâm ô, đồi trụy, tội ác, tệ nạn xã hội, mê tín dị đoan, phá hoại thuần phong, mỹ tục của dân tộc; bôi nhọ, gây thù hận, xâm hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân.

7. Vi phạm quy định công tác bảo vệ bí mật nhà nước của ngành Tài chính trong quá trình sử dụng hệ thống thông tin, trong đó bao gồm hành vi đánh cắp mật khẩu tài khoản truy cập hệ thống thông tin ngành Tài chính của người khác hoặc tiết lộ mật khẩu của bản thân cho đối tượng không được phép sử dụng.

Chương II

QUY ĐỊNH CỤ THỂ

Điều 5. Đảm bảo an toàn mức vật lý

1. Các khu vực sau phải được kiểm soát truy cập vật lý để phòng tránh truy cập trái phép hoặc sai mục đích: Trung tâm dữ liệu; khu vực chứa máy chủ và thiết bị lưu trữ; tủ mạng và đấu nối; thiết bị nguồn điện và dự phòng điện khẩn cấp; phòng vận hành, kiểm soát, quản trị hệ thống. Phải có nội quy hoặc hướng dẫn làm việc trong các khu vực này.

2. Thiết bị thuộc hệ thống quan trọng phải được bảo dưỡng định kỳ và duy trì chế độ bảo hành liên tục hoặc có cơ chế sửa chữa, thay thế đáp ứng yêu cầu về mức độ sẵn sàng của hệ thống trong suốt thời gian sử dụng.

3. Người dùng sử dụng các thiết bị lưu trữ dữ liệu di động (máy tính xách tay, thiết bị số cầm tay, thẻ nhớ USB, ổ cứng ngoài, băng từ) để lưu thông tin thuộc phạm vi bảo vệ quy định tại Điều 1 có trách nhiệm bảo vệ các thiết bị này và thông tin lưu trên thiết bị, tránh làm mất, lộ thông tin. Không mang ra nước ngoài thông tin của cơ quan, Nhà nước không liên quan tới nội dung công việc thực hiện ở nước ngoài.

4. Thiết bị xử lý thông tin của đơn vị khi mang đi bảo hành, bảo dưỡng, sửa chữa, phải tháo ổ cứng khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp mang thiết bị đi khôi phục dữ liệu). Thiết bị lưu trữ không sử dụng tiếp cho công việc của đơn vị (thanh lý, cho, tặng) phải được xóa nội dung bằng phần mềm hoặc bằng thiết bị hủy dữ liệu chuyên dụng hay phá hủy vật lý.

Điều 6. Đảm bảo an toàn máy tính phục vụ công việc

1. Máy tính phục vụ công việc (bao gồm máy chủ, máy quản trị và máy tính phục vụ công việc của người dùng tại đơn vị):

a) Máy tính phục vụ công việc chỉ được cài đặt phần mềm theo danh mục phần mềm do đơn vị quy định và do bộ phận công nghệ thông tin của đơn vị quản lý hoặc được cung cấp theo các chương trình ứng dụng công nghệ thông tin của Bộ Tài chính và các cơ quan Nhà nước khác có thẩm quyền, được cập nhật bản vá lỗi hệ điều hành về an ninh, cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu mã độc gần nhất.

b) Bộ phận công nghệ thông tin của đơn vị chịu trách nhiệm cài đặt phần mềm cho máy tính phục vụ công việc. Người dùng không được can thiệp vào các phần mềm đã cài đặt trên máy tính (thay đổi, gỡ bỏ,...) khi chưa được sự đồng ý của bộ phận công nghệ thông tin của đơn vị.

c) Người dùng phải thực hiện thao tác khóa máy tính (sử dụng tính năng có sẵn trên máy) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.

2. Máy tính do cá nhân tự trang bị phải đáp ứng đầy đủ các điều kiện dưới đây khi kết nối vào hệ thống mạng của ngành Tài chính:

a) Cài đặt đầy đủ các bản vá lỗi hệ điều hành về an ninh.

b) Cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu mã độc gần nhất.

c) Không cài đặt phần mềm, công cụ có tính năng gây mất an toàn thông tin hoặc tạo rủi ro cho hệ thống mạng (cấp phát địa chỉ mạng, dò quét mật khẩu, dò quét cống mạng, giả lập tấn công,..).

Điều 7. Đảm bảo an toàn hệ thống mạng máy tính

1. Kết nối mạng diện rộng phải được thiết lập và vận hành theo Quy chế quản lý, vận hành và sử dụng hạ tầng truyền thông thống nhất ngành Tài chính ban hành tại Quyết định số 109/QĐ-BTC ngày 15/01/2009 của Bộ trưởng Bộ Tài chính và các văn bản sửa đổi, cập nhật quy chế này nếu có.

2. Hệ thống mạng nội bộ phải đáp ứng các yêu cầu sau:

a) Phân chia hệ thống mạng nội bộ thành các vùng mạng theo phạm vi truy cập và kiểm soát truy cập giữa các vùng mạng bằng tường lửa.

Mạng nội bộ cơ quan Bộ Tài chính và các Tổng cục thuộc Bộ tại cấp Trung ương phải phân chia tối thiểu thành các vùng mạng sau:

- Vùng mạng cho phép truy cập từ Internet (áp dụng đối với đơn vị có cổng thông tin điện tử, dịch vụ công hoặc ứng dụng cung cấp ra Internet đặt tại đơn vị);

- Vùng mạng truy cập Internet (trung chuyển các yêu cầu truy cập Internet từ người dùng hoặc máy chủ);

- Vùng mạng máy chủ nội bộ;

- Vùng mạng quản trị hệ thống (các hoạt động quản trị hệ thống phải được thực hiện thông qua vùng mạng này);

- Vùng mạng người dùng, trong đó tách riêng vùng mạng cho kết nối có dây và không dây;

- Vùng mạng riêng cho khách (áp dụng đối với đơn vị cho phép khách đến làm việc được truy cập hệ thống mạng của đơn vị để sử dụng Internet);

- Vùng mạng phát triển, kiểm thử, nghiên cứu (áp dụng đối với đơn vị thực hiện công tác phát triển, kiểm thử, nghiên cứu ngay tại đơn vị).

b) Vô hiệu hóa tất cả các dịch vụ không sử dụng tại từng vùng mạng.

c) Che giấu và tránh truy cập trực tiếp các địa chỉ mạng bên trong từ bên ngoài (Internet, hạ tầng truyền thông thống nhất ngành Tài chính).

d) Cài đặt các bản cập nhật, vá lỗi cho tường lửa để khắc phục kịp thời các điểm yếu nghiêm trọng.

3. Mạng nội bộ của cơ quan Bộ Tài chính và các Tổng cục thuộc Bộ tại cấp Trung ương phải được giám sát bởi hệ thống phát hiện và phòng chống tấn công.

4. Hệ thống mạng không dây (nếu có) phải đáp ứng các điều kiện tối thiểu sau:

a) Thiết bị phần cứng phải có chứng nhận Wi-Fi (chứng nhận của Liên minh Wi-Fi (www.wi-fi.org) cho sản phẩm đạt tiêu chuẩn 802.11).

b) Áp dụng mã hóa dữ liệu truyền nhận sử dụng thuật toán mã hóa an toàn.

c) Người dùng mạng không dây phải được cung cấp định danh duy nhất và xác thực qua kênh mã hóa.

d) Các điểm truy cập không dây (thiết bị phát sóng làm cầu nối giữa mạng có dây và không dây) của đơn vị được bảo vệ tránh bị tiếp cận trái phép.

5. Đối với truy cập từ xa vào hệ thống mạng nội bộ:

a) Máy tính dùng để kết nối tới mạng của đơn vị phải được đảm bảo an toàn theo quy định tại Điều 6.

b) Kết nối truy cập từ xa phải sử dụng mã hóa kênh truyền theo tiêu chuẩn mã hóa do Bộ Thông tin và Truyền thông quy định.

c) Truy cập từ xa cho mục đích quản trị hệ thống phải áp dụng xác thực tối thiểu 2 yếu tố.

d) Hạn chế truy cập từ xa vào mạng nội bộ từ những điểm truy cập Internet công cộng.

6. Các thành phần tham gia vào hệ thống mạng của đơn vị phải được đồng bộ với một nguồn thời gian thống nhất trong đơn vị và theo quy chuẩn quốc tế GMT +7.

Điều 8. Đảm bảo an toàn kết nối Internet

1. Đơn vị áp dụng các biện pháp cần thiết để đảm bảo an toàn thông tin trong hoạt động kết nối Internet, tối thiểu đáp ứng yêu cầu sau:

a) Có tường lửa kiểm soát truy cập Internet.

b) Lọc bỏ, không cho phép truy cập các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp (phản động hoặc trái thuần phong mỹ tục).

c) Không mở trang tin hoặc ứng dụng Internet ngay trên máy tính chứa dữ liệu quan trọng hoặc có khả năng tiếp cận các dữ liệu, ứng dụng quan trọng của ngành Tài chính. Trường hợp cần thiết chỉ được truy cập vào các trang tin trên Internet phục vụ công việc của đơn vị.

Cục Tin học và Thống kê Tài chính căn cứ các quy định của pháp luật và ý kiến của các đơn vị tại trụ sở Bộ Tài chính xác định và trình Bộ phê duyệt danh sách các loại dữ liệu và ứng dụng quan trọng trên hệ thống mạng nội bộ cơ quan Bộ Tài chính cần được bảo vệ trong kết nối Internet.

Đối với các Tổng cục thuộc Bộ và các Sở Tài chính, lãnh đạo đơn vị quyết định các loại dữ liệu và ứng dụng quan trọng của đơn vị cần bảo vệ trong kết nối Internet của người dùng.

d) Kết nối Internet cho máy tính phục vụ công việc của người dùng tại đơn vị bị thu hẹp phạm vi hoặc bị ngắt trong các trường hợp sau:

- Có công văn từ Bộ Tài chính yêu cầu thu hẹp phạm vi kết nối Internet hoặc ngắt kết nối Internet (áp dụng trong các trường hợp khẩn cấp).

- Lãnh đạo đơn vị quyết định hạn chế phạm vi kết nối hoặc ngắt hoàn toàn kết nối Internet máy tính phục vụ công việc của người dùng để đảm bảo an toàn cho hệ thống mạng của đơn vị và hạn chế các ảnh hưởng khác của Internet tới hoạt động của đơn vị.

2. Đối với máy chủ và thiết bị công nghệ thông tin khác, chỉ thiết lập kết nối Internet cho các hệ thống cần phải có giao tiếp với Internet (các máy chủ, thiết bị cung cấp giao diện ra Internet của trang tin điện tử, dịch vụ công, thư điện tử; thiết bị cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công).

Điều 9. Đảm bảo an toàn mức ứng dụng

1. Yêu cầu về đảm bảo an toàn thông tin phải được đưa vào tất cả các công đoạn liên quan đến ứng dụng (thiết kế, xây dựng, triển khai và vận hành, sử dụng).

2. Ứng dụng do đơn vị phát triển hoặc thuê phát triển phải đáp ứng yêu cầu sau:

a) Mã hóa thông tin bí mật hoặc nhạy cảm theo quy định tại Điều 10.

b) Kiểm tra tính hợp lệ của dữ liệu đầu vào và đầu ra để đảm bảo dữ liệu chính xác và phù hợp.

c) Giới hạn số lần đăng nhập sai liên tiếp vào ứng dụng.

d) Thực hiện quy trình kiểm soát việc cài đặt phần mềm trên các máy chủ, máy tính của người dùng, thiết bị mạng đang hoạt động thuộc hệ thống mạng nội bộ, đảm bảo các phần mềm khi cài đặt trong hệ thống có nguồn gốc an toàn, không bị nhiễm mã độc.

đ) Hạn chế truy cập tới mã nguồn chương trình và phải đặt mã nguồn trong môi trường an toàn do bộ phận chuyên trách quản lý.

e) Kiểm tra phát hiện và khắc phục điểm yếu của ứng dụng trước khi đưa vào sử dụng và trong quá trình sử dụng (khi có thông tin xuất hiện điểm yếu mới trên môi trường hoạt động của ứng dụng; tối thiểu mỗi năm một lần).

3. Đối với ứng dụng mua ở dạng đóng gói:

a) Theo dõi, nắm bắt thông tin về các điểm yếu được phát hiện và cập nhật thường xuyên bản vá lỗi về an ninh cho ứng dụng.

b) Trường hợp điểm yếu đã được phát hiện mà chưa có bản vá lỗi của đơn vị sản xuất phần mềm, phải thực hiện đánh giá rủi ro và có biện pháp phòng tránh phù hợp.

Điều 10. Đảm bảo an toàn mức dữ liệu

1. Nội dung mật, quan trọng hoặc nhạy cảm khi lưu trữ trên thiết bị di động hoặc truyền nhận trên hệ thống mạng phải được mã hóa, trong đó:

a) Bí mật nhà nước của ngành Tài chính phải được mã hóa bằng giải pháp do Ban Cơ yếu Chính phủ cung cấp hoặc được cấp có thẩm quyền chấp nhận sử dụng trong ngành Tài chính.

b) Áp dụng mã hóa kênh kết nối cho các hoạt động sau theo tiêu chuẩn mã hóa do Bộ Thông tin và Truyền thông quy định: quản trị hệ thống; đăng nhập mạng, ứng dụng; gửi nhận dữ liệu tự động giữa các máy chủ; nhập và biên tập dữ liệu; tra cứu dữ liệu mật, nhạy cảm.

c) Khuyến khích áp dụng công nghệ chữ ký số để xác thực và bảo mật dữ liệu, đặc biệt trong trường hợp cần đảm bảo chống từ chối nguồn gốc dữ liệu.

d) Văn bản điện tử có nội dung cần hạn chế tiếp cận nhưng không thuộc danh mục bí mật Nhà nước được sử dụng tính năng mã hóa (đặt mật khẩu) của các ứng dụng văn phòng (phần mềm soạn thảo, đọc văn bản, nén tệp), nhưng phải sử dụng thuật toán mã hóa an toàn.

2. Cá nhân thực hiện soạn thảo, gửi, nhận dữ liệu có trách nhiệm xác định mức độ mật, nhạy cảm của dữ liệu để thực hiện phương thức bảo vệ dữ liệu phù hợp hoặc yêu cầu bộ phận công nghệ thông tin hướng dẫn, hỗ trợ phương thức bảo vệ trong trường hợp cần thiết.

3. Chỉ sử dụng hệ thống thư điện tử và các công cụ trao đổi thông tin do đơn vị quản lý trực tiếp, hoặc các cơ quan Nhà nước, các tổ chức có thẩm quyền cung cấp để trao đổi thông tin, tài liệu làm việc. Không sử dụng các phương tiện trao đổi thông tin công cộng trên Internet cho mục đích này.

Điều 11. Đảm bảo an toàn trong hoạt động trao đổi thông tin với các tổ chức, cá nhân ngoài ngành Tài chính

1. Tổ chức, cá nhân thuộc phạm vi quy định tại điểm c và điểm d khoản 2 Điều 1 phải cam kết bảo mật thông tin của ngành Tài chính mà tổ chức, cá nhân đó sẽ tiếp xúc trước khi bắt đầu thực hiện công việc theo hợp đồng, thỏa thuận giữa hai bên.

2. Khi trao đổi các thông tin cần bảo mật của ngành Tài chính qua hệ thống mạng phải mã hóa theo quy định tại Điều 10 của quy định này. Khi trao đổi bí mật nhà nước phải thực hiện theo quy định về công tác bảo vệ bí mật nhà nước của ngành Tài chính.

3. Đối với tổ chức, cá nhân bên ngoài có thiết lập kết nối vào mạng của ngành Tài chính:

a) Phải phân tích rủi ro về an toàn thông tin trước khi kết nối mạng và có biện pháp kiểm soát các rủi ro này.

b) Thỏa thuận bằng văn bản giữa các bên về các điều kiện cụ thể mà tổ chức, cá nhân bên ngoài phải đáp ứng khi kết nối vào mạng của ngành Tài chính; kiểm tra định kỳ việc thực hiện thỏa thuận này.

Điều kiện tổ chức, cá nhân bên ngoài phải đáp ứng tối thiểu bao gồm: vùng mạng của tổ chức, cá nhân bên ngoài được sử dụng để kết nối vào mạng của ngành Tài chính phải được kiểm soát bằng tường lửa; các máy tính trong phân đoạn mạng này phải được cập nhật bản vá hệ điều hành, mẫu phòng diệt mã độc; các tài khoản truy cập hệ thống tối thiểu phải áp dụng mật khẩu phức tạp; chỉ được kết nối Internet trong trường hợp kết nối này phục vụ công việc của ngành Tài chính.

4. Đối tác phát triển ứng dụng cho các đơn vị thuộc Bộ Tài chính có trách nhiệm đảm bảo an toàn cho công tác phát triển ứng dụng, bao gồm cả giai đoạn bảo trì, bảo hành ứng dụng: sử dụng máy tính được cập nhật bản vá hệ điều hành, phần mềm phòng diệt mã độc; thực hiện các biện pháp tránh lộ lọt mã nguồn, phần mềm ứng dụng của ngành Tài chính và các tài liệu liên quan.

Điều 12. Sao lưu, dự phòng sự cố

1. Đơn vị phải có thiết bị, quy trình, nhân sự phục vụ công tác sao lưu dữ liệu phòng ngừa sự cố; định kỳ kiểm tra dữ liệu sao lưu và phục hồi thử hệ thống từ dữ liệu sao lưu; quản lý, bảo quản phương tiện sao lưu phòng tránh hỏng, mất dữ liệu sao lưu.

2. Đối với hệ thống quan trọng, đơn vị phải có biện pháp dự phòng về thiết bị, phần mềm để đảm bảo sự hoạt động liên tục của hệ thống.

Điều 13. Tài khoản công nghệ thông tin

1. Tài khoản người dùng:

a) Mỗi người dùng khi sử dụng hệ thống thông tin phải được cấp và sử dụng tài khoản truy cập với định danh duy nhất gắn với người dùng đó. Trường hợp sử dụng tài khoản dùng chung cho một nhóm người hay một đơn vị phải có cơ chế xác định các cá nhân có trách nhiệm quản lý tài khoản.

b) Tài khoản của người dùng không được có quyền quản trị trên máy tính nối mạng. Tài khoản quản trị máy tính chỉ được sử dụng trong trường hợp cài đặt phần mềm trên máy tính. Tài khoản quản trị máy tính để bàn phải do bộ phận công nghệ thông tin của đơn vị nắm giữ. Đối với máy tính xách tay, người dùng phải được hướng dẫn sử dụng đúng cách tài khoản quản trị máy tính và có trách nhiệm thực hiện theo đúng hướng dẫn.

c) Trường hợp người dùng thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu phải thông báo kịp thời cho bộ phận quản lý tài khoản công nghệ thông tin để thực hiện điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng của người dùng đối với hệ thống mạng, ứng dụng. Quy định cụ thể như sau:

- Văn bản quyết định về việc bổ nhiệm chức vụ lãnh đạo, thay đổi vị trí công tác, chuyến công tác, thôi việc, nghỉ hưu phải ghi tên bộ phận chịu trách nhiệm quản lý tài khoản công nghệ thông tin tại phần ghi nơi nhận của văn bản. Trường hợp thay đổi vị trí công tác không sử dụng hình thức văn bản quyết định, đơn vị quản lý người dùng phải thông báo cho bộ phận quản lý tài khoản công nghệ thông tin bằng công văn hoặc theo cách thức quy định trong quy trình quản lý tài khoản công nghệ thông tin áp dụng tại đơn vị.

- Tài khoản công nghệ thông tin phải được điều chỉnh, thu hồi, hủy bỏ trong thời gian không quá 03 ngày làm việc tính từ ngày người dùng chính thức chuyển công tác ra khỏi ngành Tài chính, thôi việc, nghỉ hưu; không quá 05 ngày làm việc trong trường hợp thay đổi vị trí công tác trong nội bộ đơn vị hoặc chuyển công tác tới đơn vị khác thuộc ngành Tài chính.

- Phải có văn bản đề nghị của đơn vị quản lý người dùng trong trường hợp cần duy trì tài khoản của người dùng sau thời điểm người dùng chính thức thay đổi vị trí công tác, chuyến công tác, thôi việc, nghỉ hưu; trong đó nêu rõ lý do, các quyền sử dụng cần duy trì và thời gian duy trì.

2. Tài khoản quản trị hệ thống (thiết bị, mạng, hệ điều hành, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy cập mạng, ứng dụng với tư cách người dùng thông thường. Tài khoản quản trị hệ thống phải được giao đích danh cá nhân làm công tác quản trị hệ thống. Hạn chế dùng chung tài khoản quản trị.

3. Phương tiện xác thực tài khoản:

a) Mật khẩu phức tạp phải được áp dụng cho tất cả các tài khoản truy cập, sử dụng, quản trị hệ thống.

b) Đổi mật khẩu ngay sau khi nhận bàn giao từ người khác hoặc có thông báo về sự cố an toàn thông tin, điểm yếu liên quan đến khả năng lộ mật khẩu; đổi mật khẩu tối thiểu 03 tháng một lần đối với tài khoản của người dùng và 02 tháng một lần đối với tài khoản quản trị hệ thống.

c) Người dùng, người làm công tác quản trị hệ thống có trách nhiệm bảo vệ thông tin tài khoản được cấp.

4. Rà soát tối thiểu mỗi năm một lần các tài khoản đang cấp trên hệ thống, đảm bảo các tài khoản và quyền truy cập hệ thống được cấp phát đúng.

Điều 14. Đảm bảo an toàn trong công tác vận hành hệ thống

1. Quản trị hệ thống:

a) Máy tính dùng để quản trị hệ thống chỉ được cài đặt phần mềm cần thiết cho hoạt động quản trị hệ thống, đặt trong vùng mạng phục vụ công tác quản trị hệ thống và chỉ được cấp quyền truy cập cho các cá nhân được giao trách nhiệm quản trị hệ thống.

b) Đổi tên tài khoản mặc định (nếu có thể) và mật khẩu mặc định của quản trị hệ thống khi hệ thống được thiết lập.

c) Sử dụng kênh trao đổi thông tin an toàn (có mã hóa) cho truy cập quản trị hệ thống.

2. Thực hiện quản lý cấu hình hệ thống quan trọng: Quản lý thông tin về thông số kỹ thuật, mục đích sử dụng, vị trí lắp đặt, nguồn cung cấp, thời gian sử dụng, bảo hành, bảo dưỡng; đảm bảo thông tin sẵn dụng khi có yêu cầu (phục vụ công tác đánh giá năng lực, tính sẵn sàng, an toàn của hệ thống, công tác mua sắm, bảo dưỡng, bảo hành).

3. Thực hiện quản lý thay đổi đối với hệ thống quan trọng: Xác định mức độ cần thiết của thay đổi, ảnh hưởng tiềm ẩn (các sự cố có thể xảy ra, phạm vi tác động) và biện pháp phòng tránh (bao gồm thủ tục hủy bỏ thay đổi và khôi phục hệ thống khi thay đổi không thành công), xác định thời gian thực hiện phù hợp; phê duyệt kế hoạch thay đổi; thông báo cho các bên liên quan về kế hoạch và kết quả của thay đổi.

4. Thực hiện quản lý năng lực hệ thống quan trọng: Giám sát hiệu năng và thực hiện các biện pháp cần thiết (dọn dẹp hệ thống, điều chỉnh thông số kỹ thuật, bổ sung mua sắm) để đảm bảo khả năng xử lý và tính sẵn sàng của hệ thống theo yêu cầu.

5. Kiểm tra, đảm bảo nhật ký hệ thống của các thành phần thuộc hệ thống quan trọng được lưu liên tục tối thiểu trong 03 tháng gần nhất và sẵn sàng sử dụng cho công tác phân tích sự cố an toàn thông tin.

Điều 15. Quản lý an toàn thông tin

1. Đơn vị phải phân công nhân sự quản lý an toàn thông tin trên môi trường máy tính và mạng máy tính (bao gồm công tác giám sát, kiểm tra việc thực hiện quy định này tại đơn vị).

2. Các hệ thống an ninh mạng (cập nhật bản vá hệ điều hành, phòng diệt mã độc, tường lửa, phát hiện và phòng chống tấn công,...) phải được giám sát thường xuyên để đảm bảo tác dụng của hệ thống, đồng thời phát hiện và xử lý sớm các vấn đề về an toàn thông tin. Thực hiện kết xuất định kỳ hàng tháng hoặc hàng quý các báo cáo từ hệ thống an ninh mạng để theo dõi, đánh giá các vấn đề của hệ thống.

3. Thực hiện quản lý rủi ro an toàn thông tin: Xác định các rủi ro an toàn thông tin đối với thông tin, dữ liệu và các hệ thống quan trọng của đơn vị; phân tích, đánh giá các rủi ro này và nghiên cứu, triển khai các biện pháp khắc phục phù hợp. Thực hiện công tác này mỗi khi đơn vị có thay đổi về nhu cầu bảo vệ thông tin, thay đổi trong hệ thống công nghệ thông tin của đơn vị hoặc khi xuất hiện các nguy cơ mất an toàn thông tin mới hoặc tối thiểu mỗi năm một lần.

4. Thực hiện quản lý sự cố an toàn thông tin: Thiết lập quy trình báo cáo sự cố an toàn thông tin cho các cấp quản lý thuộc đơn vị; phân tích, xác định nguyên nhân của sự cố, biện pháp khắc phục và ngăn ngừa tái diễn; tổng hợp thông tin về các sự cố trong báo cáo an toàn thông tin định kỳ của đơn vị.

5. Người dùng phải được bộ phận công nghệ thông tin của đơn vị hướng dẫn, hỗ trợ, cung cấp các công cụ cần thiết để thực hiện trách nhiệm đảm bảo an toàn thông tin theo quy định.

Chương III

TỔ CHỨC THỰC HIỆN

Điều 16. Trách nhiệm của các đơn vị

1. Cục Tin học và Thống kê tài chính:

a) Tổ chức phổ biến và triển khai thực hiện quy định này tại cơ quan Bộ Tài chính và các đơn vị có kết nối vào mạng nội bộ cơ quan Bộ Tài chính.

b) Trình Bộ phê duyệt và tổ chức triển khai kế hoạch ứng phó trong tình huống khẩn cấp (phát hiện có tấn công đánh cắp bí mật nhà nước của ngành Tài chính qua đường mạng, các hệ thống quan trọng của ngành Tài chính bị chiếm quyền điều khiển).

c) Hướng dẫn, kiểm tra việc thực hiện quy định này của các Tổng cục thuộc Bộ, Sở Tài chính, các đơn vị có kết nối trao đổi thông tin với mạng nội bộ cơ quan Bộ Tài chính.

d) Hướng dẫn, kiểm tra các đơn vị thuộc Bộ Tài chính về việc thực hiện các yêu cầu của các cơ quan Nhà nước có thẩm quyền về đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính.

đ) Tổng hợp, báo cáo Bộ theo định kỳ hàng quý về công tác đảm bảo an toàn thông tin của toàn ngành Tài chính theo nội dung của quy định này và các vấn đề về an toàn thông tin phát sinh trong kỳ báo cáo.

e) Trình Bộ sửa đổi, bổ sung quy định này để phù hợp với tình hình và điều kiện thực tế.

2. Các Tổng cục thuộc Bộ Tài chính, Sở Tài chính:

a) Tổ chức triển khai thực hiện quy định này tại đơn vị.

b) Triển khai hoạt động ứng phó khẩn cấp theo kế hoạch được Bộ phê duyệt và hướng dẫn của Cục Tin học và Thống kê Tài chính.

c) Tổng cục thuộc Bộ Tài chính hướng dẫn, kiểm tra việc thực hiện quy định của các đơn vị trực thuộc. Sở Tài chính hướng dẫn, kiểm tra việc thực hiện quy định của các Phòng Tài chính - Kế hoạch trên cùng địa bàn tỉnh, thành phố.

d) Thực hiện các yêu cầu, hướng dẫn về an toàn thông tin trên môi trường máy tính và mạng máy tính của các cơ quan Nhà nước có thẩm quyền và của Cục Tin học và Thống kê Tài chính.

đ) Báo cáo Bộ (qua Cục Tin học và Thống kê Tài chính) theo định kỳ hàng quý tình hình công tác đảm bảo an toàn thông tin của đơn vị theo nội dung của quy định này và các vấn đề về an toàn thông tin phát sinh trong kỳ báo cáo.

e) Phản ánh các vướng mắc, đề xuất sửa đổi, bổ sung quy định này trong quá trình thực hiện tới Cục Tin học và Thống kê Tài chính.

3. Các đơn vị tham gia sử dụng hệ thống mạng nội bộ cơ quan Bộ Tài chính:

a) Phối hợp với Cục Tin học và Thống kê Tài chính trong việc triển khai, thực hiện quy định áp dụng cho đối tượng người dùng tại đơn vị.

b) Phối hợp với Cục Tin học và Thống kê Tài chính triển khai kế hoạch ứng phó tấn công khẩn cấp về các nội dung liên quan tới đơn vị.

c) Phản ánh nhu cầu, vướng mắc trong quá trình triển khai, thực hiện đảm bảo an ninh thông tin tại đơn vị tới Cục Tin học và Thống kê tài chính.

4. Cơ quan, tổ chức, cá nhân ngoài ngành Tài chính có liên quan:

a) Tuân thủ quy định này, quy định công tác bảo vệ bí mật nhà nước của ngành Tài chính, các cam kết, thỏa thuận với các đơn vị thuộc Bộ Tài chính về đảm bảo an toàn thông tin khi cung cấp dịch vụ công nghệ thông tin và thực hiện các hoạt động trao đổi thông tin với các đơn vị thuộc Bộ. Trường hợp tham gia sử dụng ứng dụng của ngành Tài chính, phải tuân thủ các yêu cầu, hướng dẫn, quy trình đảm bảo an toàn thông tin cụ thể của ứng dụng.

b) Phản ánh vướng mắc, nguy cơ, rủi ro ảnh hưởng đến an toàn thông tin của ngành Tài chính phát hiện được trong quá trình làm việc với các đơn vị thuộc Bộ Tài chính tới đơn vị hoặc tới Cục Tin học và Thống kê tài chính để cùng phối hợp xử lý, giải quyết.

Điều 17. Trách nhiệm của cá nhân

1. Thủ trưởng đơn vị thuộc đối tượng áp dụng của quy định này có trách nhiệm: phổ biến tới từng cán bộ, công chức, viên chức, nhân viên của đơn vị; thường xuyên kiểm tra việc thực hiện quy định này tại đơn vị; định kỳ hàng quý báo cáo Bộ (qua Cục Tin học và Thống kê Tài chính); chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Tài chính về các vi phạm, thất thoát thông tin, dữ liệu mật thuộc phạm vi quản lý của đơn vị do không tổ chức, chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện đúng quy định.

2. Cán bộ, công chức, viên chức, nhân viên của Bộ Tài chính, các đơn vị thuộc Bộ và các đơn vị khác thuộc đối tượng áp dụng của quy định có trách nhiệm: tuân thủ đúng quy định; thông báo các vấn đề bất thường liên quan tới an toàn thông tin cho bộ phận công nghệ thông tin của đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo đơn vị về các vi phạm, thất thoát dữ liệu mật của ngành Tài chính do không tuân thủ quy định.

3. Tập thể, cá nhân vi phạm quy định đảm bảo an toàn thông tin làm ảnh hưởng đến việc thực hiện nhiệm vụ chính trị của ngành Tài chính hoặc gây phương hại đến an ninh quốc gia thì tùy theo tính chất, mức độ của hành vi vi phạm sẽ bị xử lý hành chính, xử lý kỷ luật hoặc truy cứu trách nhiệm hình sự. Nếu gây thiệt hại về tài sản thì phải bồi thường theo quy định của pháp luật./.