Quyết định 201/QĐ-BTC Quy chế An toàn thông tin mạng

Ngày 12/02/2018, Bộ Tài chính đã ban hành Quyết định 201/QĐ-BTC về Quy chế An toàn thông tin mạng. Quyết định có hiệu lực kể từ ngày ban hành. Theo đó, quy định nguyên tắc bảo đảm an toàn thông tin mạng tại Bộ Tài chính như sau:

• Cán bộ, công chức, viên chức, nhân viên, các đơn vị thuộc Bộ có trách nhiệm bảo đảm an toàn thông tin và hệ thống thông tin trong phạm vi xử lý công việc của mình theo quy định của Nhà nước, Bộ Tài chính và hướng dẫn của cơ quan, đơn vị có thẩm quyền trong lĩnh vực bảo đảm an toàn thông tin mạng.
• Bảo đảm an toàn thông tin mạng phải được thực hiện tại tất cả các công đoạn liên quan đến thông tin và hệ thống
• Thông tin mật, thông tin thuộc Danh mục bí mật nhà nước ngành Tài chính phải được bảo vệ theo quy định của Nhà nước, quy định của Bộ Tài chính về công tác bảo vệ bí mật nhà nước và các nội dung tương ứng trong Quy chế này.

QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ AN TOÀN THÔNG TIN MẠNG BỘ TÀI CHÍNH

BỘ TRƯỞNG BỘ TÀI CHÍNH

Căn cứ Luật An toàn thông tin mạng năm 2015;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Nghị định số 142/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;

Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

Căn cứ Quyết định số 632/QĐ-TTg ngày 10/5/2017 của Thủ tướng Chính phủ ban hành Danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và hệ thống thông tin quan trọng quốc gia;

Căn cứ Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng Chính phủ về việc phê duyệt Đề án đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho cán bộ, bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến 2020, định hướng đến 2025;

Căn cứ Nghị định số 87/2017/NĐ-CP ngày 26/7/2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính;

Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;

Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;

Căn cứ Quyết định số 2582/QĐ-BKHCN ngày 25/9/2017 của Bộ trưởng Bộ Khoa học và Công nghệ về việc công bố Tiêu chuẩn quốc gia TCVN 11930:2017 yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ;

Xét đề nghị của Cục trưởng Cục Tin học và Thống kê tài chính,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế An toàn thông tin mạng Bộ Tài chính.

Điều 2. Quyết định này có hiệu lực từ ngày ký, thay thế Quyết định số 3317/QĐ-BTC ngày 24/12/2014 của Bộ trưởng Bộ Tài chính ban hành Quy định về việc đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính; Quyết định số 627/QĐ-BTC ngày 05/4/2017 về việc sửa đổi, bổ sung một số điều của Quy định về việc đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính ban hành kèm theo Quyết định số 3317/QĐ-BTC ngày 24/12/2014.

Điều 3. Cục trưởng Cục Tin học và Thống kê tài chính, Thủ trưởng các cơ quan hành chính, đơn vị sự nghiệp, doanh nghiệp thuộc Bộ Tài chính, công chức, viên chức Bộ Tài chính, tổ chức và cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

QUY CHẾ

AN TOÀN THÔNG TIN MẠNG BỘ TÀI CHÍNH
(Kèm theo Quyết định số 201/QĐ-BTC ngày 12 tháng 02 năm 2018 của Bộ trưởng Bộ Tài chính)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Phạm vi điều chỉnh: Quy chế này triển khai áp dụng Luật An toàn thông tin mạng, văn bản quy định, tiêu chuẩn liên quan và các biện pháp nhằm bảo đảm an toàn thông tin và các hệ thống thông tin của Bộ Tài chính.

2. Đối tượng áp dụng:

a) Cơ quan hành chính, đơn vị sự nghiệp, doanh nghiệp thuộc Bộ Tài chính (gọi chung là các đơn vị thuộc Bộ); Cán bộ thuộc các đơn vị thuộc Bộ (gọi tắt là người dùng).

b) Cơ quan, tổ chức, cá nhân có kết nối vào mạng máy tính của ngành Tài chính.

c) Cơ quan, tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin và an toàn thông tin mạng cho các đơn vị thuộc Bộ Tài chính.

Điều 2. Giải thích từ ngữ sử dụng trong Quy chế

1. “An toàn thông tin mạng”: Sự bảo vệ thông tin số và hệ thống thông tin khỏi bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

2. “Kết nối Internet”: Kết nối mạng tới hệ thống mạng Internet nhằm cung cấp khả năng truy cập Internet hoặc cung cấp thông tin, dịch vụ ra Internet.

3. “Mạng nội bộ”: Mạng máy tính trong phạm vi trụ sở của một đơn vị thuộc Bộ.

4. “Mạng của ngành Tài chính”: Từ chỉ chung “mạng nội bộ”, “hạ tầng truyền thông thống nhất ngành Tài chính”.

5. “Phát hiện, ngăn chặn tấn công có chủ đích”: Phát hiện, ngăn chặn loại hình tấn công được thiết kế nhằm đột nhập vào một hệ thống thông tin cụ thể.

6. “Phòng chống tấn công từ chối dịch vụ”: Ngăn chặn tác dụng của các cuộc tấn công trên mạng nhằm làm suy giảm hoặc gián đoạn hoạt động của một trang tin, ứng dụng, dịch vụ hoặc hệ thống mạng, dẫn đến người dùng không thể sử dụng trang tin, ứng dụng, dịch vụ hoặc hệ thống mạng này.

7. “Phòng chống xâm nhập”: phát hiện, ngăn chặn các hoạt động vào, ra trên hệ thống thông tin được bảo vệ có dấu hiệu gây hại hoặc vi phạm chính sách an toàn mạng.

8. “Proxy”: Hệ thống làm nhiệm vụ chuyển tiếp yêu cầu truy cập Internet từ bên trong mạng nội bộ ra Internet, nhằm che giấu thông tin về thiết bị, máy tính đưa ra yêu cầu truy cập Internet.

9. “Thiết bị HSM”: Thiết bị lưu khóa bí mật và ký số chuyên dụng dùng cho cơ quan, tổ chức.

10. “Tổng cục thuộc Bộ”: Kho bạc Nhà nước, Tổng cục Thuế, Tổng cục Hải quan, Tổng cục Dự trữ Nhà nước, Ủy ban Chứng khoán Nhà nước.

11. “Truy cập Internet”: Việc tiếp cận, khai thác, sử dụng thông tin, tài liệu, ứng dụng, dịch vụ trên Internet.

12. “Tường lửa”: Hệ thống cho phép hoặc không cho phép thiết lập kết nối mạng giữa thiết bị thuộc vùng mạng này và thiết bị thuộc vùng mạng khác theo chính sách an toàn mạng của đơn vị.

13. “Tường lửa ứng dụng web”: Hệ thống ngăn chặn các tấn công nhằm vào các điểm yếu của lớp ứng dụng web.

14. “Remote Desktop”: Giải pháp đảm bảo an toàn truy cập Internet của người dùng thông qua việc thiết lập kết nối Internet từ máy chủ cài đặt phần mềm Remote Desktop Services thay cho từ máy tính làm việc của người dùng.

15. “Sở Giao dịch Chứng khoán”: Sở Giao dịch Chứng khoán Hà Nội, Sở Giao dịch Chứng khoán Thành phố Hồ Chí Minh.

16. “VDI”: Viết tắt của cụm từ Virtual Desktop Infrastructure, là giải pháp cung cấp môi trường làm việc trên hệ thống ảo hóa, được vận dụng để đảm bảo an toàn truy cập Internet của người dùng thông qua việc thiết lập kết nối Internet từ hệ thống ảo hóa thay cho từ máy tính làm việc của người dùng.

17. “Xác thực đa yếu tố”: Việc kiểm tra đối tượng truy nhập hệ thống thông tin sử dụng thêm ít nhất 1 yếu tố ngoài tên truy nhập và mật khẩu.

Điều 3. Nguyên tắc bảo đảm an toàn thông tin mạng tại Bộ Tài chính

1. Cán bộ, công chức, viên chức, nhân viên, các đơn vị thuộc Bộ có trách nhiệm bảo đảm an toàn thông tin và hệ thống thông tin trong phạm vi xử lý công việc của mình theo quy định của Nhà nước, Bộ Tài chính và hướng dẫn của cơ quan, đơn vị có thẩm quyền trong lĩnh vực bảo đảm an toàn thông tin mạng.

2. Bảo đảm an toàn thông tin mạng phải được thực hiện tại tất cả các công đoạn liên quan đến thông tin và hệ thống thông tin.

3. Thông tin mật, thông tin thuộc Danh mục bí mật nhà nước ngành Tài chính phải được bảo vệ theo quy định của Nhà nước, quy định của Bộ Tài chính về công tác bảo vệ bí mật nhà nước và các nội dung tương ứng trong Quy chế này.

Điều 4. Các hành vi bị nghiêm cấm

1. Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng.

2. Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập không dây của cá nhân vào mạng nội bộ; trên cùng một thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và truy cập Internet bằng thiết bị kết nối Internet của cá nhân (modem quay số, USB 3G/4G, điện thoại di động, máy tính bảng, máy tính xách tay).

3. Tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc.

Chương II

BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN

Điều 5. Phân định vai trò theo quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ

1. Chủ quản hệ thống thông tin:

a) Bộ Tài chính là chủ quản hệ thống thông tin đối với các hệ thống do Bộ quyết định đầu tư hoặc Bộ được giao làm chủ đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.

Bộ Tài chính ủy quyền cho các đơn vị thuộc Bộ quản lý trực tiếp các hệ thống do Bộ làm chủ quản thông qua một trong các văn bản sau: Quyết định phê duyệt dự án, trong đó giao đơn vị làm chủ đầu tư dự án; Thông tư của Bộ Tài chính hoặc Quyết định của Bộ trưởng Bộ Tài chính có nội dung giao đơn vị làm nhiệm vụ quản lý hệ thống; Văn bản ủy quyền theo quy định tại khoản 3 Điều 5 Thông tư số 03/2017/TT-BTTTT.

b) Các đơn vị thuộc Bộ là chủ quản hệ thống thông tin do đơn vị quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin; là chủ quản hệ thống thông tin do đơn vị phê duyệt đề cương, dự toán chi tiết; quản lý trực tiếp các hệ thống do Bộ Tài chính ủy quyền theo quy định tại điểm a khoản này.

c) Chủ quản hệ thống thông tin (hoặc đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin) thực hiện trách nhiệm theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP.

2. Đơn vị vận hành hệ thống thông tin:

a) Cục Tin học và Thống kê tài chính là đơn vị vận hành hệ thống thông tin đối với hệ thống do Cục Tin học và Thống kê tài chính làm chủ quản hoặc được Bộ Tài chính ủy quyền quản lý trực tiếp, các hệ thống do các Cục, Vụ thuộc Bộ làm chủ quản.

b) Cục Công nghệ thông tin các Tổng cục thuộc Bộ là đơn vị vận hành hệ thống thông tin do đơn vị làm chủ quản, do Tổng cục làm chủ quản hoặc được Bộ Tài chính ủy quyền quản lý trực tiếp.

c) Bộ phận chuyên trách về công nghệ thông tin thuộc doanh nghiệp (phòng Công nghệ thông tin hoặc đơn vị, bộ phận có chức năng tương đương) là đơn vị vận hành hệ thống thông tin do doanh nghiệp làm chủ quản hoặc được Bộ Tài chính ủy quyền quản lý trực tiếp.

d) Đơn vị vận hành hệ thống thông tin thực hiện trách nhiệm theo quy định tại khoản 2, 3, 4, 5 Điều 22 Nghị định 85/2016/NĐ-CP.

3. Đơn vị chuyên trách về an toàn thông tin:

a) Đơn vị vận hành hệ thống thông tin quy định tại khoản 2 điều này đồng thời đóng vai trò đơn vị chuyên trách về an toàn thông tin trong phạm vi tương ứng.

b) Đơn vị chuyên trách về an toàn thông tin cấp Bộ và Tổng cục thành lập bộ phận chuyên trách về an toàn thông tin (Phòng hoặc Tổ). Đơn vị chuyên trách về an toàn thông tin các cấp còn lại chỉ định cá nhân phụ trách (chuyên trách hoặc kiêm nhiệm) công tác an toàn thông tin mạng.

c) Đơn vị chuyên trách về an toàn thông tin thực hiện trách nhiệm theo quy định tại khoản 1 Điều 21 Nghị định 85/2016/NĐ-CP.

Download file tài liệu để xem thêm nội dung chi tiết.