TRƯỜNG ĐÀO TẠO, BỒI DƯỠNG CÁN BỘ QUẢN LÝTHÔNG TIN VÀ TRUYỀN THÔNG LỚP BỒI DƯỠNG NGẠCH CHUYÊN VIÊN CHÍNH MÃ SỐ: K13-CVC04.ĐT TIỂU LUẬN CUỐI KHÓA TÌNH HUỐNG: TĂNG CƯỜNG BẢO ĐẢM AN TOÀN THÔ
Trang 1TRƯỜNG ĐÀO TẠO, BỒI DƯỠNG CÁN BỘ QUẢN LÝ
THÔNG TIN VÀ TRUYỀN THÔNG
LỚP BỒI DƯỠNG NGẠCH CHUYÊN VIÊN CHÍNH
MÃ SỐ: K13-CVC04.ĐT
TIỂU LUẬN CUỐI KHÓA
TÌNH HUỐNG: TĂNG CƯỜNG BẢO ĐẢM AN TOÀN THÔNG TIN CÁ NHÂN TRÊN TRANG THÔNG TIN ĐIỆN TỬ CỦA CƠ QUAN NHÀ NƯỚC
Họ tên học viên: Nguyễn Văn Trưởng Chức vụ: Chuyên viên
Đơn vị công tác: Cục An toàn thông tin
Hà Nội, năm 2021
Trang 2Trong bối cảnh công nghệ thông tin (CNTT) đang phát triển hết sứcmạnh mẽ, thâm nhập vào mọi mặt của đời sống xã hội, việc ứng dụngCNTT vào cải cách điều hành, quản lý trong hành chính nhà nước được đặt
ra như một ưu tiên quan trọng trong chiến lược phát triển kinh tế, xã hộibền vững và vì con người Việt Nam đã nhận thức rất rõ ràng vai trò củaCNTT phục vụ sự nghiệp công nghiệp hóa, hiện đại hóa và xây dựng xãhội Một trong những trọng tâm triển khai ứng dụng CNTT hiện nay vẫn làcung cấp một cách hiệu quả, kịp thời thông tin của chính phủ và hệ thốngđầy đủ các dịch vụ công trực tuyến trên trang thông tin điện tử Trang thôngtin điện tử hay cổng thông tin điện tử đã được nhìn nhận như là một công
cụ hữu hiệu cung cấp thông tin, dịch vụ công trên diện rộng, tạo điều kiện
để người dân, doanh nghiệp và các tổ chức xã hội giao dịch với các cơ quannhà nước thông qua môi trường điện tử một cách thuận lợi và minh bạch Thực tế cho thấy xu thế phát triển của trang thông tin điện tử của các
cơ quan nhà nước ngày càng có tính tương tác cao Sự gia tăng nhanhchóng số lượng các trang thông tin điện tử có tính tương tác cao đã xuấthiện nhiều rủi ro tiềm ẩn liên quan đến thất thoát hoặc sử dụng sai mục đíchthông tin xử lý, lưu trữ và truyền tải trên trang thông tin điện tử Theo thôngtin từ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) vàTrung tâm an ninh mạng Bách Khoa (BKIS) cho thấy ngày càng có nhiều tổchức, cá nhân vô tình hay cố ý khai thác sử dụng sai mục đích những thôngtin, chức năng của các trang thông tin điện tử hoặc tấn công phá hoại vàocác trang thông tin điện tử của cơ quan nhà nước bằng nhiều hình thức khácnhau Điều này cũng đặt ra tình huống về sự can thiệp, giải quyết của cơquan quản lý nhà nước có thẩm quyền đảm bảo an toàn, an ninh thông tin
cá nhân trong việc khai thác, sử dụng trang thông tin điện tử của cơ quannhà nước
Trang 3dưỡng kiến thức quản lý nhà nước chương trình chuyên viên chính năm
2021, tôi đã vận dụng vào tình huống cụ thể này, từ tiếp cận, phân tích chođến giải quyết tình huống Đây là một cơ hội để vận dụng những lý thuyết
đã được tại khóa Bồi dưỡng kiến thức quản lý nhà nước chương trìnhchuyên viên chính vào một công việc thực tế cụ thể trong quá trình công táccủa tôi Hy vọng kết quả này sẽ là bước khởi đầu thuận lợi cho quá trìnhhọc tập, rèn luyện kỹ năng của cá nhân tôi trong việc giải quyết tình huốngđặt ra trong quản lý hành chính nhà nước đối với lĩnh vực công nghệ thôngtin mà tôi đang công tác
Xin trân trọng cảm ơn các giảng viên đã truyền đạt kiến thức và kinhnghiệm quản lý hành chính nhà nước thông qua việc tham gia giảng dạykhóa học này, cảm ơn Lãnh đạo Bộ Thông tin và Truyền thông đã tạo điềukiện cho tôi được tham dự khóa học, cảm ơn Trường đào tạo, bồi dưỡng cán
bộ quản lý Thông tin và Truyền thông đã tổ chức lớp học này
Xin chân thành cảm ơn!
Trang 4MỤC LỤC
LỜI MỞ ĐẦU 3
I MÔ TẢ TÌNH HUỐNG 5
II XÁC ĐỊNH MỤC TIÊU XỬ LÝ TÌNH HUỐNG 6
III PHÂN TÍCH NGUYÊN NHÂN VÀ HẬU QUẢ 6
IV XÂY DỰNG VÀ LỰA CHỌN PHƯƠNG ÁN XỬ LÝ TÌNH HUỐNG 9
1 Phân tích tình huống 9
a) Đánh giá chung 9
b) Các tình tiết nổi bật 10
c) Vấn đề đặt ra 12
2 Cơ sở pháp lý và tâm lý để giải quyết tình huống 12
3 Các phương án giải quyết tình huống 13
V LẬP KẾ HOẠCH TỔ CHỨC THỰC HIỆN PHƯƠNG ÁN ĐÃ CHỌN .15
VI KẾT LUẬN 21
Trang 5II XÁC ĐỊNH MỤC TIÊU XỬ LÝ TÌNH HUỐNG
- Góp phần giải quyết vấn đề thiếu hụt những quy định cụ thể đối với
tổ chức, cá nhân trong việc khai thác, sử dụng trang thông tin điện tử của
cơ quan nhà nước nhằm đảm bảo an toàn, an ninh thông tin:
Đề cao vai trò và trách nhiệm của các cơ quan nhà nước về đảmbảo an toàn, tránh thất thoát thông tin trong quản lý, duy trì trang thông tinđiện tử, tổ chức cung cấp thông tin và dịch vụ hành chính công cho ngườidân và doanh nghiệp;
Bảo vệ quyền riêng tư và tính pháp lý của người dân và doanhnghiệp khi khai thác trang thông tin điện tử và trong quá trình cơ quan nhànước thu thập, xử lý và trao đổi thông tin cá nhân;
Tạo các điều kiện thuận lợi để tổ chức, cá nhân dễ dàng truy nhậpthông tin và dịch vụ hành chính công trên môi trường mạng;
Nâng cao nhận thức, thúc đẩy và tăng cường vai trò của người dântrong việc sử dụng và tham gia giám sát, đánh giá hiệu quả chất lượngtrang thông tin điện tử của cơ quan nhà nước
- Đề xuất một số những quy định cụ thể về trách nhiệm của cơ quanchủ quản trang thông tin điện tử trong việc đảm bảo tính riêng tư về thôngtin của tổ chức, cá nhân
- Giúp cơ quan quản lý nhà nước hoàn thiện kỹ năng giải quyết một
Trang 6vấn đề cụ thể mà xã hội đặt ra.
III PHÂN TÍCH NGUYÊN NHÂN VÀ HẬU QUẢ
Triển khai thực hiện Luật Công nghệ thông tin ban hành ngày29/6/2006 và các văn bản quy phạm pháp luật liên quan khác như Nghịđịnh số 64/2007/NĐ-CP của Chính phủ về Ứng dụng công nghệ thông tintrong hoạt động của cơ quan nhà nước và Kế hoạch ứng dụng công nghệthông tin trong hoạt động của cơ quan nhà nước năm 2008 và giai đoạn2009-2010 (theo Quyết định số 43/2008/QĐ-TTg và số 48/2009/QĐ-TTgcủa Thủ tướng Chính phủ, đến nay gần 100% các Bộ, cơ quan ngang Bộ,
cơ quan thuộc Chính phủ, tỉnh, thành phố trực thuộc trung ương đã xâydựng và đưa vào sử dụng trang thông tin điện tử (Website) hoặc cổng thôngtin điện tử (Portal) nhằm cung cấp thông tin và dịch vụ công trực tuyếnphục vụ người dân và doanh nghiệp
Tuy nhiên, qua khảo sát, tìm hiểu, hiện nay còn thiếu: những quy định
cụ thể đối với tổ chức, cá nhân trong việc khai thác, sử dụng trang thông tinđiện tử của cơ quan nhà nước nhằm đảm bảo an toàn, an ninh thông tin;những quy định cụ thể về trách nhiệm của cơ quan chủ quản trang thông tinđiện tử trong việc đảm bảo tính riêng tư về thông tin của tổ chức, cá nhân.Triển khai thực hiện Đề án Đơn giản hóa Thủ tục hành chính trên các lĩnhvực quản lý nhà nước giai đoạn 2007 - 2010, đến nay các cơ quan nhànước ở Trung ương và địa phương đã công bố bộ thủ tục hành chính do cơquan giải quyết trên trang thông tin điện tử Về cơ bản, các dịch vụ côngtrực tuyến này đều đã đạt ở mức độ 2 (cung cấp và cho phép người sử dụngtải về các mẫu văn bản và khai báo để hoàn thiện hồ sơ theo yêu cầu) Một
số các cơ quan nhà nước khác đã triển khai cung cấp dịch vụ công trựctuyến mức độ 03 (cho phép gửi hồ sơ qua mạng) Bên cạnh đó, một số chứcnăng và hoạt động khác như diễn đàn trao đổi, hỏi/đáp, tổ chức giao lưutrực tuyến giữa cơ quan nhà nước với tổ chức, công dân cũng được thựchiện thông qua trang thông tin điện tử Từ năm 2008 đến nay, Bộ Thông tin
và Truyền thông đã ba lần tiến hành nghiên cứu, khảo sát và đánh giá tínhhiệu quả của các trang thông tin điện tử của các Bộ và UBND các tỉnh,thành phố trực thuộc Trung ương Báo cáo lần gần đây nhất cho thấy “sốlượng dịch vụ hành chính công trực tuyến mức độ 1 và mức độ 2 đượccung cấp đã ngày càng đầy đủ Số lượng dịch vụ công trực tuyến ở mức độ
3 đã có sự tăng nhiều cả về số lượng dịch vụ và số lượng đơn vị cung cấp,
Trang 7đặc biệt là tại các địa phương (năm 2008: có 6 tỉnh, thành phố cung cấp 30dịch vụ; năm 2009: có 18 tỉnh, thành phố cung cấp 254 dịch vụ) Việc cungcấp dịch vụ công trực tuyến cũng đã được các địa phương triển khai sâu,rộng ở các cấp”.
Điều đó cho thấy xu hướng ngày một nhiều về số lượng thông tin vàdịch vụ, cũng như nâng cao về mức độ tương tác trên trang thông tin điện
tử Ngày càng có nhiều tổ chức, cá nhân vô tình hay cố ý khai thác sử dụngsai mục đích những thông tin, chức năng của các trang thông tin điện tửhoặc tấn công phá hoại vào các trang thông tin điện tử của cơ quan nhànước bằng nhiều hình thức khác nhau Điều này cho thấy việc nâng caonhận thức và trách nhiệm của tổ chức, cá nhân khi khai thác, sử dụng cáctrang thông tin điện tử của cơ quan nhà nước là hết sức cần thiết Đồngthời, trách nhiệm của các cơ quan chủ quản trang thông tin điện tử trongviệc đảm bảo an toàn thông tin là rất quan trọng
Như vậy, nguyên nhân của việc cán bộ, công chức, viên chức nhà nước thường xuyên nhận được thư điện tử quảng cáo ngoài ý muốn là
do các thông tin cá nhân của người sử dụng trên các trang thông tin điện tử, trong đó có hệ thống thư điện tử đã bị tấn công mạng bằng một hình thức nào đó, dẫn đến thông tin cá nhân của người sử dụng bị lộ, lọt tới các đối tượng chuyên phát tán thư rác, thư quảng cáo trái phép Các đối tượng này đã sử dụng các thông tin này để quảng cáo trái phép.
Tại một số nước phát triển trên thế giới, nhận thức được vai trò và tầmquan trọng của việc đảm bảo an toàn, anh ninh cho trang thông tin điện tử
và bảo vệ quyền riêng tư về thông tin của tổ chức, cá nhân, các nước đã banhành những văn bản mang tính pháp lý cao quy định về việc khai thác, sửdụng và đảm bảo an toàn, an ninh thông tin cho trang thông tin điện tử của
cơ quan nhà nước Luật Chính phủ điện tử năm 2002 của Mỹ có quy định
cụ thể trách nhiệm của cơ quan chủ quản trong việc xây dựng hướng dẫn vềcác thông báo bảo mật trên trang thông tin điện tử của cơ quan và nhữngnội dung quy định liên quan đến việc đảm bảo thông tin cá nhân bởi cơquan nhà nước Tại Nhật Bản, Luật Bảo vệ thông tin cá nhân đã được banhành năm 2003 (có hiệu lực từ 01/4/2005) Mục đích của đạo luật là để bảo
vệ quyền và lợi ích của cá nhân bằng cách làm rõ trách nhiệm của chínhquyền nhà nước ở Trung ương và địa phương, xây dựng và thiết lập mộtnguyên tắc, chính sách cơ bản cho việc bảo vệ thông tin cá nhân Tại Hàn
Trang 8Quốc, Luật Thúc đẩy sử dụng mạng thông tin truyền thông và bảo vệ thôngtin cũng được ban hành từ năm 2001 với mục đích khuyến khích việc sửdụng thông tin và mạng thông tin truyền thông, bảo vệ các thông tin cánhân và người sử dụng các dịch vụ trên mạng thông tin truyền thông Nhưvậy, có thể thấy được hầu hết các nước phát triển về chính phủ điện tử trênthế giới đều rất coi trọng việc đảm bảo an toàn, an ninh thông tin cho trangthông tin điện tử, đảm bảo an toàn thông tin cá nhân và đã xây dựng vănbản pháp lý quy định cụ thể về vấn đề trên.
Vì vậy, việc nghiên cứu và đề xuất quy định về việc đảm bảo an toàn
và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tinđiện tử của cơ quan nhà nước là phù hợp với yêu cầu cải cách, đổi mới vaitrò và trách nhiệm của các cơ quan nhà nước trong nâng cao chất lượng vàhiệu quả cung cấp dịch vụ hành chính công để thỏa mãn nhu cầu ngày càngtăng của xã hội
Trong trường hợp không xử lý để bảo đảm an toàn thông tin cá nhân trên các trang thông tin điện tử, trong tương lai, có thể không chỉ
là vấn nạn thư rác mà còn có thể là các thông tin bí mật, thông tin về nội dung thư điện tử của cơ quan, tổ chức, cán bộ, công chức, viên chức bị
lộ, lọt và dẫn đến nhiều hậu quả lớn hơn về kinh tế cũng như uy tín của
cơ quan, tổ chức, cá nhân.
IV XÂY DỰNG VÀ LỰA CHỌN PHƯƠNG ÁN XỬ LÝ TÌNH HUỐNG
1 Phân tích tình huống
a) Đánh giá chung
Đảm bảo an toàn thông tin trên trang thông tin điện tử là một vấn đềlớn, gồm nhiều nội dung thuộc nhiều lĩnh vực khác nhau kể cả về kỹ thuậtlần về cơ chế Có thể đơn cử một số vấn đề chính như: hiểm họa từ phíangười sử dụng, rủi ro trong thiết kế hệ thống thông tin của trang thông tinđiện tử, chính sách bảo mật an toàn thông tin chưa đủ mạnh, không thiếtlập công cụ quản lý và kiểm tra của các tổ chức quản lý điều khiển hệthống, cấu trúc phần cứng của các thiết bị tin học, tội phạm tin học Thôngtin trên trang thông tin điện tử có thể bao gồm các loại thông tin: thông tinvăn bản pháp luật, chỉ thị thông báo, thông tin thủ tục hành chính… (tức làcác thông tin từ phía cơ quan), thông tin định danh (tức là thông tin cơ quan
Trang 9cấp cho người dùng) và thông tin cá nhân (tức là thông tin từ người sửdụng) Ngay chỉ tính riêng khái niệm an toàn thông tin cũng đã bao gồmcác nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính
và an toàn mạng Tuy nhiên, căn cứ trên dung lượng của một tiểu luận quản
lý hành chính nhà nước, phạm vi giải quyết tình huống được giới hạn làthông tin cá nhân và các thể chế, chính sách, hướng dẫn đảm bảo an toàn anninh thông tin cá nhân trên trang thông tin điện tử nhằm bảo vệ người sửdụng khi tham gia khai thác thông tin và sử dụng dịch vụ công trực tuyếntrên trang thông tin điện tử
ii Các vấn đề thường gặp trong đảm bảo an toàn thông tin cá nhân:
- Tấn công hệ thống thông tin: thâm nhập bất hợp pháp, từ chối dịch
vụ, phát tán mã độc hại
- Kỹ thuật dựa trên thông tin xã hội
ii Các xu hướng trong vấn đề mất an toàn, an ninh thông tin:
- Sử dụng tự động các công cụ tấn công
- Sử dụng các công cụ tấn công khó phát hiện
- Tận dụng các kẽ hở bảo mật
- Tấn công bất đối xứng và tấn công trên diện rộng
- Tấn công tới hạ tầng công nghệ
- Thay đổi mục đích tấn công
iii Một số biện pháp chủ yếu để đảm bảo an toàn, an ninh thông tin cánhân khi tham gia khai thác thông tin và sử dụng dịch vụ công trực tuyếntrên trang thông tin điện tử có thể chia làm một số hình thức chính như sau:
Trang 10- Sử dụng các biện pháp hành chính
Biện pháp hành chính bảo đảm an toàn, an ninh thông tin bao gồm:chiến lược bảo vệ thông tin, chính sách và hướng dẫn Chiến lược bảo vệthông tin thiết lập phương hướng cho mọi hoạt động bảo đảm an toàn, anninh thông tin Chính sách bảo vệ thông tin là kế hoạch ở mức độ cao đượctài liệu hóa cụ thể, có phạm vi tuân thủ trong toàn bộ cơ quan, tổ chức.Chính sách bảo vệ thông tin cung cấp một phương pháp luận nhất quángiúp ra những quyết sách cụ thể (ví dụ như các kế hoạch cải tổ hành chínhhoặc mua sắm hệ thống phần cứng) Cần lưu ý rằng, hoạt động bảo đảm antoàn, an ninh thông tin cần có tầm nhìn rộng, vì vậy không nên để phụthuộc quá nhiều vào công nghệ hiện tại mà cần đón nhận nhu cầu của cácquy trình nghiệp vụ bên trong tổ chức Hướng dẫn biện pháp bảo vệ anninh thông tin nên được xây dựng phù hợp với chiến lược và chính sáchbảo vệ thông tin Hướng dẫn này bao gồm những điều khoản quy định đốivới những lĩnh vực liên quan đến vấn đề an toàn, an ninh thông tin Đối vớinhững hệ thống thông tin được triển khai trên diện rộng hoặc có số lượngngười sử dụng đa dạng (như trang thông tin điện tử), chính phủ nên chịutrách nhiệm phát triển và ban hành những hướng dẫn cơ bản Ngoài ra,cũng phải chọn lựa những tiêu chuẩn, quy chuẩn kỹ thuật cụ thể về an toàn,
an ninh thông tin có thể áp dụng vào mọi lĩnh vực cần bảo vệ thông tin.Các chuẩn này cũng cần xem xét sao cho đồng bộ với môi trường ứng dụngcông nghệ thông tin
Một khi chiến lược bảo vệ thông tin, chính sách và hướng dẫn đượcban hành, cần thiết lập quy trình đảm bảo an toàn thông tin cá nhân đối nội
bộ mỗi cơ quan Đây là hoạt động cần thiết, với đối tượng nhắm đến cán bộcủa cơ quan tổ chức, giúp họ nắm vững các quy định của pháp luật và nộiquy của cơ quan về bảo đảm an toàn và bảo vệ thông tin Các nội dungchính của quy trình bao gồm: các chương trình đào tạo nghiệp vụ, nâng caonhận thức và thường xuyên kiểm tra đánh giá hoạt động bảo vệ an ninhthông tin