Một số điểm quan trọng trong Sắc lệnh mới của Nga về tăng cường an toàn thông tin
Những tổ chức chịu sự điều chỉnh của Sắc lệnh này cần phải thực hiện một số biện pháp nhằm tăng mức độ an toàn của tài nguyên thông tin, bao gồm: cơ quan hành pháp liên bang; các cơ quan hành pháp cao nhất của quyền lực nhà nước của các chủ thể cấu thành của Liên bang Nga; quỹ nhà nước; các tập đoàn nhà nước và các công ty nhà nước do Liên bang Nga thành lập trên cơ sở luật liên bang (ví dụ, Rosatom, Gazprom, RusHydro, Russian Railways và các công ty khác); doanh nghiệp chiến lược và công ty cổ phần chiến lược; các pháp nhân là đối tượng của các cơ sở hạ tầng thông tin quan trọng; các tổ chức xương sống của nền kinh tế Nga.
Theo yêu cầu được nêu trong sắc lệnh số 250, các tổ chức trên cần thực hiện:
- Xây dựng một đơn vị riêng trực thuộc tổ chức của mình, có trách nhiệm đảm bảo an toàn thông tin: Giao một cán bộ cấp phó đứng đầu đơn vị đảm bảo an toàn thông tin; xác định rõ trách nhiệm của người đứng đầu tổ chức trong việc đảm bảo an toàn thông tin. Để chuẩn bị cho điều này, Chính phủ Liên bang Nga đã chỉ đạo xây dựng các quy định tiêu chuẩn về cấp phó phụ trách và cơ cấu tổ chức của đơn vị đảm bảo an toàn thông tin (dự kiến sẽ công bố vào đầu tháng 6/2022), trong đó cần lưu ý với những người làm trực tiếp công tác bảo đảm an toàn thông tin cần đáp ứng các yêu cầu bổ sung về trình độ theo điều 12, lệnh số 235 ngày 21/12/2017 của các trung tâm ứng cứu, khắc phục sự cố máy tính (FSTEC) Liên bang Nga.
- Tiến hành kiểm kê các hợp đồng với nhà thầu cung cấp dịch vụ bảo mật thông tin, chỉ có những nhà thầu được FSTEC Liên bang Nga cấp phép mới được tham gia các dịch vụ đảm bảo an toàn thông tin với các thông tin liên quan đến bí mật nhà nước Nga. Yêu cầu này cũng cần được tính đến khi đưa ra các quyết định tiếp theo về việc thu hút nhà thầu. Danh sách các tổ chức, doanh nghiệp được cơ quan FSTEC Liên bang Nga cấp phép, được đăng tải công khai trên trang web chính thức của cơ quan này.
- Chỉ những trung tâm được công nhận của hệ thống nhà nước về phát hiện, ngăn chặn và loại bỏ hậu quả của các cuộc tấn công máy tính (GosSOPKA) mới có thể tham gia vào các hoạt động phát hiện, ngăn chặn và loại bỏ hậu quả của các cuộc tấn công máy tính và ứng phó với các sự cố máy tính. Do đó, các tổ chức cần phải chủ động kết nối với một trung tâm GosSOPKA đã được công nhận, để phối hợp trong việc theo dõi, giám sát, khắc phục sự cố liên quan đến các cuộc tấn công hệ thống máy tính của tổ chức mình. Hiện tại, yêu cầu này chưa bắt buộc, tuy nhiên về lâu dài, các tổ chức cần tính toán xây dựng lộ trình phối hợp với các trung tâm nói trên tùy theo mức độ của hệ thống thông tin mình đang quản lý hoặc theo quy định của từng Bộ, ngành trong lĩnh vực hoạt động của mình.
Những tổ chức nằm trong danh sách các tổ chức quan trọng cần đánh giá mức độ an toàn của hệ thống thông tin của mình trước ngày 01/7/2022 và đệ trình kết quả lên Chính phủ Liên bang Nga. Danh sách nói trên sẽ được Chính phủ Liên bang Nga xác định trong vòng một tháng kể từ ngày ban hành Sắc lệnh này.
- Các tổ chức cần đảm bảo giám sát liên tục và thực hiện đầy đủ các khuyến cáo (cả về chính sách quản lý và giải pháp kỹ thuật) về bảo đảm an ninh, an toàn thông tin do cơ quan FSB Liên bang Nga và FSTEC của Nga gửi tới. Ngoài ra, các tổ chức cần chuẩn bị cung cấp quyền truy cập (bao gồm cả truy cập từ xa) cho cơ quan FSB Liên bang Nga vào các nguồn thông tin để giám sát an ninh. Dựa trên kết quả giám sát đó, các tổ chức phải tuân thủ các hướng dẫn của FSB Nga (nếu có).
Như vậy, theo sắc lệnh mới này của Tổng thống Liên bang Nga, tất cả các tổ chức thuộc danh mục tổ chức quan trọng phải có trách nhiệm tổ chức, thực hiện việc đảm bảo an toàn thông tin đối với hệ thống công nghệ thông tin của mình, đồng thời phân định trách nhiệm cụ thể của lãnh đạo các cấp trong tổ chức của mình liên quan đến việc đảm bảo an ninh, an toàn thông tin cho hệ thống.
Trong tương lai, Chính phủ Liên bang Nga sẽ đưa các yêu cầu về đảm bảo an toàn thông tin cho hệ thống công nghệ thông tin vào các văn bản hành chính liên quan đến thực thi công vụ của Liên bang. Bên cạnh đó, các tổ chức thuộc danh mục tổ chức quan trọng cần nhanh chóng tiến hành đánh giá an ninh, kiểm kê các trang thiết bị bảo mật thông tin và lập kế hoạch chuyển đổi sang sử dụng chủ yếu các thiết bị, giải pháp được phát triển trong nước.
Nam Trần