Bộ Công an vừa ban hành Dự thảo nghị định quy định chi tiết một số điều của Luật An ninh mạng.
Mạng xã hội, thư điện tử, thương mại điện tử… phải lưu dữ liệu tại Việt Nam
Theo điều 24 của dự thảo, các dữ liệu phải lưu trữ ở Việt Namgồm thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam: họ tên, ngày tháng năm sinh, nơi sinh, quốc tịch, nghề nghiệp, chức danh, nơi cư trú, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, mã số định danh cá nhân, số căn cước công dân, số hộ chiếu, số thẻ bảo hiểm xã hội, số thẻ tín dụng, tình trạng sức khỏe, hồ sơ y tế, sinh trắc học.
Tiếp theolà dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra, gồm: thông tin tải lên, đồng bộ hoặc nhập từ thiết bị; Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam, gồm: bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác.
Nghị định này cũng quy định các doanh nghiệp trong và ngoài nước phải lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
Cụ thể là doanh nghiệp cung cấp dịch vụ viễn thông; lưu trữ, chia sẻ dữ liệu trên không gian mạng; Cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam; Thương mại điện tử; Thanh toán trực tuyến; Trung gian thanh toán; Dịch vụ kết nối vận chuyển qua không gian mạng; Mạng xã hội và truyền thông xã hội; Trò chơi điện tử trên mạng; Thư điện tử; Doanh nghiệp có hoạt động thu thập, khai thác, phân tích, xử lý các loại dữ liệu quy định tại Điều 24 Nghị định này.
Thời gian lưu trữ dữ liệu trong thời hạn tối thiểu 12 - 36 tháng tùy từng loại dữ liệu được quy định tại điều 24.
Thông tin an ninh quốc gia phải được mã hóa
Cũng theo nghị định này, môi trường vận hành của hệ thống thông tin quan trọng về an ninh quốc gia phải tách biệt với các môi trường phát triển, kiểm tra và thử nghiệm; áp dụng các giải pháp bảo đảm an toàn thông tin; không cài đặt các công cụ, phương tiện phát triển ứng dụng; loại bỏ hoặc tắt các tính năng, phần mềm tiện ích không sử dụng trên hệ thống thông tin.
Dữ liệu của hệ thống thông tin quan trọng về an ninh quốc gia phải có phương án tự động sao lưu dự phòng phù hợp, ra phương tiện lưu trữ ngoài với tần suất thay đổi của dữ liệu và bảo đảm nguyên tắc dữ liệu phát sinh phải được sao lưu trong vòng 24 giờ. Dữ liệu sao lưu dự phòng phải được kiểm tra, bảo đảm khả năng khôi phục định kỳ 6 tháng một lần.
Hệ thống mạng phải có phân vùng mạng riêng cho máy chủ của hệ thống thông tin; có phân vùng mạng trung gian (DMZ) để cung cấp dịch vụ trên mạng Internet; có phân vùng mạng riêng để cung cấp dịch vụ mạng không dây; có giải pháp kiểm soát, phát hiện và ngăn chặn kịp thời các kết nối, truy cập trái phép vào hệ thống thông tin quan trọng về an ninh quốc gia.
Có biện pháp, giải pháp để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng về mặt kỹ thuật của hệ thống mạng và những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng…
Nghị định này cũng kiểm soát truy cập đối với người sử dụng, nhóm người sử dụng thiết bị công cụ sử dụng.
Cụ thể là đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập của thiết bị, người sử dụng. Mỗi tài khoản truy cập hệ thống phải được gán cho một người sử dụng duy nhất; trường hợp chia sẻ tài khoản dùng chung để truy cập hệ thống thông tin quan trọng về an ninh quốc gia thì phải được phê duyệt bởi cấp có thẩm quyền và xác định được trách nhiệm cá nhân tại mỗi thời điểm sử dụng…
Cùng với đó, dữ liệu, thông tin ở dạng số được xử lý, lưu trữ thông qua hệ thống thông tin thuộc bí mật nhà nước phải được mã hóa hoặc có biện pháp bảo vệ theo quy định của pháp luật trong quá trình tạo lập, trao đổi, lưu trữ.
Thiết bị di động khi kết nối vào hệ thống mạng nội bộ của hệ thống thông tin quan trọng về an ninh quốc gia phải được kiểm tra, kiểm soát bảo đảm an toàn và chỉ được phép sử dụng tại hệ thống thông tin quan trọng về an ninh quốc gia.
Nhân sự vận hành phải được thẩm định lý lịch
Người đứng đầu cơ quan nhà nước, tổ chức chính trị ở trung ương và địa phương có trách nhiệm ban hành phương án bảo đảm an ninh mạng đối với hệ thống thông tin do mình quản lý, bảo đảm đồng bộ, thống nhất, tập trung, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư trùng lặp.
Nghị định yêu cầu quy định rõ các điều cấm và các nguyên tắc quản lý, sử dụng và bảo đảm an ninh mạng, trong đó mạng máy tính nội bộ có lưu trữ, truyền đưa bí mật nhà nước phải được tách biệt vật lý hoàn toàn với mạng máy tính, các thiết bị, phương tiện điện tử có kết nối mạng Internet.
Ngoài ra, nhân sự phụ trách về vận hành, quản trị hệ thống và bảo vệ an ninh mạng phải được đánh giá về phẩm chất đạo đức thông qua lý lịch, lý lịch tư pháp; có trình độ chuyên môn về an ninh mạng;cam kết bảo mật thông tin liên quan đến hệ thống thông tin quan trọng về an ninh quốc gia trong quá trình làm việc và sau khi nghỉ việc.
Theo đó, lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an chủ trì, phối hợp với cơ quan quản lý nhà nước về an toàn thông tin của Bộ Thông tin và Truyền thông và các cơ quan, tổ chức có liên quan kiểm tra an ninh mạng, an toàn thông tin mạng đối với hệ thống thông tin đồng thời thuộc Danh mục hệ thống thông tin quan trọng quốc gia và Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, trừ lĩnh vực thuộc trách nhiệm của Bộ Quốc phòng.
Thông tin nào quan trọng về an ninh quốc gia?
Hệ thống thông tin quan trọng về an ninh quốc gia thuộc các lĩnh vực được quy định tại khoản 2 Điều 10 của Luật An ninh mạng và khi bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại sẽ gây ra một trong các hậu quả sau đây:
1. Trực tiếp tác động đến sự tồn tại của chế độ và Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
2. Gây tổn hại nghiêm trọng đến quốc phòng, an ninh quốc gia; làm suy yếu khả năng phòng thủ bảo vệ Tổ quốc.
3. Trở thành phương tiện thông tin, tuyên truyền chống lại chính quyền nhà nước, lật đổ chế độ.
4. Gây hậu quả đặc biệt nghiêm trọng đến nền kinh tế quốc dân.
5. Gây thảm họa đối với đời sống con người, môi trường sinh thái.
6. Ảnh hưởng nghiêm trọng đến cơ sở hạ tầng không gian mạng quốc gia.
7. Ảnh hưởng nghiêm trọng đến hoạt động của công trình xây dựng cấp I và cấp đặc biệt theo phân cấp của pháp luật về xây dựng.
8. Ảnh hưởng nghiêm trọng đến hoạt động nghiên cứu, hoạch định chủ trương, chính sách thuộc phạm vi bí mật nhà nước.
9. Ảnh hưởng nghiêm trọng đến sự chỉ đạo điều hành trực tiếp của các cơ quan Đảng, Nhà nước ở Trung ương.