Số lượt xem: 163
Với mục đích bảo đảm an toàn, an ninh thông tin mạng của Ban Quản lý dự án các công trình điện Miền Trung (CPMB), trong đó tập trung bảo đảm an toàn, an ninh thông tin cho các hệ thống thông tin quan trọng, có khả năng thích ứng một cách chủ động, linh hoạt và giảm thiểu các nguy cơ, đe dọa mất an toàn, an ninh thông tin trên mạng; đề ra các giải pháp ứng phó khi gặp sự cố mất an toàn, an ninh thông tin mạng. Nâng cao năng lực giám sát an toàn thông tin mạng nhằm tăng cường khả năng phát hiện sớm, cảnh báo kịp thời, chính xác về các sự kiện, rủi ro, dấu hiệu, hành vi, mức độ xâm hại, nguy cơ, điểm yếu, lỗ hổng gây mất an toàn thông tin mạng đối với hệ thống thông tin tại CPMB. Đồng thời, tạo chuyển biến mạnh mẽ trong nhận thức về an toàn, an ninh thông tin đối với CBCNV và đảm bảo các nguồn lực và các điều kiện cần thiết để sẵn sàng triển khai kịp thời, hiệu quả các phương án ứng cứu sự cố bảo đảm an toàn, an ninh thông tin mạng. CPMB đã triển khai nhiều giải pháp an toàn thông tin tại đơn vị với mục đích góp phần đảm bảo ATTT toàn hệ thống trong EVNNPT.
Tham gia “Diễn tập kỹ năng săn lùng mối nguy hại, các kỹ năng bảo vệ hệ thống thông tin, kỹ năng điều tra số theo hình thức thi đoạt cờ” tại Công ty Truyền tải điện 3 tháng 10/2023.
Tăng cường công tác thông tin tuyên truyền, phổ biến
Thực hiện ý kiến chỉ đạo của EVNNPT về triển khai công tác ATTT. CPMB đã rà soát, phổ biến quy chế quy định liên quan đến công tác đảm bảo ATTT của EVN/EVNNPT ban hành; Luật ATTT mạng, các văn bản về ATTT năm 2022 tại Văn bản số 155/EVN-VTCNTT Ngày 11/1/2023 của Tập đoàn điện lực Việt Nam. Trong đó có các chỉ đạo, hướng dẫn của Chính phủ và Bộ Thông tin và Truyền thông (TTTT) ban hành năm 2022 có liên quan trực tiếp đến hoạt động đảm bảo ATTT và yêu cầu các đơn vị nghiên cứu, tổ chức tuyên truyền, rà soát và cập nhật các hạng mục công việc liên quan đến phạm vi chỉ đạo, hướng dẫn của Chính phủ và Bộ Thông tin và Truyền thông; Thông tư 12/2022/TT-BTTTT, Nghị định 53/2022/NĐ-CP cho toàn bộ CBCNV EVNNPT.
Bên cạnh đó, CPMB đã đã ban hành nhiều văn bản hướng dẫn, đôn đốc phòng chức năng triển khai thực hiện nhiều giải pháp nhằm hạn chế nguy cơ mất ATTT trên môi trường mạng. Tổ chức thông tin tuyên truyền để cán bộ, đảng viên và nhân dân nhận thức đầy đủ vị trí, vai trò và tầm quan trọng của công tác đảm bảo an toàn thông tin mạng, bảo đảm an toàn thông tin nội bộ trước tình hình an ninh và an toàn thông tin mạng có nhiều diễn biến phức tạp như hiện nay. Đồng thời trang bị một số kỹ năng cơ bản sử dụng thiết bị và dịch vụ CNTT an toàn thông qua các khóa đào tạo E – learning hoặc đào tạo nội bộ, hướng dẫn trực tiếp.
Xác định trách nhiệm của các đối tượng khi tham gia hệ thống
Bộ phận CNTT của CPMB: (i) Thực hiện các biện pháp quản lý vận hành và triển khai các giải pháp kỹ thuật đảm bảo an toàn thông tin cho các hệ thống thông tin của đơn vị; (ii) Hướng dẫn cán bộ, công nhân viên chức và người lao động trong đơn vị tuân thủ các biện pháp đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin.
Tổ An ninh thông tin của Đơn vị (Tổ ISMS): (i) Thực hiện các quy trình kiểm soát an toàn, an ninh thông tin; (ii) Vận hành, áp dụng hệ thống quản lý an toàn thông tin;
Bộ phận Người dùng (CBCNV) tuân thủ các quy định sau
Tuân thủ và hỗ trợ giám sát tuân thủ: (i) Nắm bắt, cập nhật chính sách thủ tục an toàn, an ninh thông tin và thực hiện đúng hướng dẫn về an toàn, an ninh thông tin của EVNNPT. (ii) Đặt mật khẩu cho máy tính. Sử dụng máy tính, thiết bị di động và thiết bị lưu trữ di động đảm bảo an toàn, đúng cách và phù hợp quy định. (iii) Tham gia đầy đủ các khóa đào tạo nhận thức an toàn thông tin do Tổng công ty/Đơn vị tổ chức. (iv) Tuân thủ các hướng dẫn của Bộ phận CNTT trong việc đảm bảo an toàn, an ninh thông tin. (v) Báo cáo ngay với cấp trên, bộ phận CNTT, Tổ ISMS của đơn vị khi phát hiện nguy cơ hoặc sự cố mất an toàn, an ninh thông tin hoặc các hiện tượng vi phạm tuân thủ để kịp thời khắc phục. (vi) Hợp tác với Bộ phận CNTT, Đội ƯCSC trong xử lý sự cố về bảo mật thông tin. (vii) Hợp tác với Tổ ISMS trong quá trình kiểm tra, đánh giá tuân thủ.
Lưu trữ và bảo mật thông tin: (i) Không lưu trữ thông tin cần được bảo mật của đơn vị trên Internet công cộng hoặc phương tiện lưu trữ cá nhân (bao gồm cả các dịch vụ lưu trữ, email, blog, website, máy tính cá nhân, ổ cứng cá nhân…). (ii) Không mang các tài sản CNTT ra khỏi khu vực làm việc; trong trường hợp cần thiết phải mang tài sản ra ngoài (công tác từ xa, khắc phục sự cố …) thì cần phải được phê duyệt của người có thẩm quyền và chỉ mang các thông tin cần thiết đã được phê duyệt. (iii) Ký kết và tuân thủ Cam kết bảo mật thông tin.
Làm việc từ xa: (i) Phải được sự phê duyệt của Lãnh đạo Phòng/Ban; (ii) Đăng ký “Danh sách CBCNV được phép làm việc từ xa” và được Tổ ISMS kiểm tra, phê duyệt. (iii) Tuân thủ các yêu cầu về cài đặt cấu hình đối với thiết bị phục vụ làm việc từ xa và sử dụng các kết nối mã hóa theo hướng dẫn của Bộ phận CNTT. (iv) Tài sản cá nhân phục vụ làm việc từ xa phải được Lãnh đạo Phòng/Ban đồng ý; được đăng ký với Tổ ISMS; được đơn vị CNTT của đơn vị kiểm tra, cấu hình và cài đặt trước khi sử dụng. (v) Ký kết và tuân thủ Cam kết sử dụng thiết bị di động và làm việc từ xa.
Quản lý tài khoản, mật khẩu, email, máy tính: (i) Đặt mật khẩu mạnh có chiều dài tối thiểu là 8 ký tự và phải có chữ hoa, chữ thường (khuyến khích mật khẩu nên có số và ký tự đặc biệt). (ii) Không cung cấp tài khoản của mình cho bất kỳ ai khác; (iii) Không truy cập vào hệ thống thông tin của EVNNPT bằng tài khoản của người khác. (iv) Bảo mật tài khoản và mật khẩu của mình hoặc các tài khoản và mật khẩu của các hệ thống thông tin được giao sử dụng. Không để mật khẩu ở nơi dễ bị lộ (ghi ở sổ, dán ở màn hình, dán ở bàn làm việc…). (v) Không dùng hòm thư của EVNNPT vào mục đích cá nhân. (vi) Không sử dụng hòm thư cá nhân (gmail, yahoo, live, icloud…) vào mục đích trao đổi thông tin công việc của EVNNPT. (vii) Khóa màn hình máy tính hoặc đăng xuất máy tính hoặc khu vực làm việc. (viii) Không đặt chế độ lưu giữ mật khẩu hoặc tự động đăng nhập trong các ứng dụng, trình duyệt khi làm việc với các HTTT trọng yếu và HTTT cấp độ ATTT từ 3 trở lên. (ix) Chỉ sử dụng các phần mềm, dịch vụ đã được Bộ phận CNTT cài sẵn trên máy tính. Không tự ý cài đặt thêm hoặc gỡ bỏ phần mềm, dịch vụ. Trong trường hợp cần sử dụng các phần mềm hoặc dịch vụ đặc thù thì cần được Bộ phận CNTT kiểm tra và cấu hình trước khi kết nối vào hệ thống mạng chung của EVNNPT. (x) Các máy tính khi sử dụng trong mạng EVNNPT phải được cài đặt các phần mềm phòng chống virus; các phần mềm này phải được cập nhật thường xuyên và hoạt động liên tục. (xi) Kiểm tra, diệt virus, mã độc đối với các phương tiện mang tin (USB, Ổ cứng di động…) nhận từ bên ngoài trước khi sử dụng. (xii) Không mở các thư điện tử lạ, các tệp tin đính kèm hoặc các liên kết trong các thư lạ để tránh virus, mã độc. (xiii) Không vào các trang web không có nguồn gốc xuất xứ rõ ràng, đáng ngờ. (xiv) Báo ngay cho Bộ phận CNTT xử lý trong trường hợp phát hiện nhưng không diệt được virus, mã độc.
Sửa chữa, chuyển đổi và thanh lý máy tính: (i) Máy tính khi bị hỏng phải liên hệ bộ phận CNTT để kiểm tra, sửa chữa, khắc phục hoặc thay thế để đảm bảo không để lọt lộ thông tin hay lây nhiễm mã độc đối với máy tính mang ra ngoài sửa chữa, bảo hành. (ii) Đối với các HTTT trọng yếu và HTTT cấp độ ATTT từ 3 trở lên thì các máy tính mới được đưa vào sử dụng, máy tính trước và sau khi đưa đi sửa chữa, bảo hành phải được bộ phận CNTT kiểm tra, cấu hình, cài đặt, đánh giá ATTT theo quy định. (iii) Khi thực hiện chuyển đổi sang máy tính mới, thu hồi máy tính, thanh lý máy tính thì phải yêu cầu bộ phận CNTT hủy dữ liệu trong máy tính cũ bằng phương pháp không thể khôi phục.
Đồng thời lưu ý các hành vi bị nghiêm cấm: (i) Khởi tạo, cài đặt, phát tán virus máy tính, phần mềm độc hại, thư rác, tin nhắn rác trái pháp luật; thiết lập hệ thống thông tin lừa đảo, giả mạo. (ii) Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của cơ quan, cá nhân khác. (iii) Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin. Ngăn chặn việc truy cập thông tin của cơ quan, cá nhân khác trên môi trường mạng. (iv) Bẻ khóa, trộm cắp, sử dụng trái phép tài khoản, mật khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng. (v) Tấn công, chiếm quyền điều khiển, làm mất tác dụng của các biện pháp bảo vệ thông tin và hệ thống thông tin; thu thập thông tin trái phép đối với hệ thống thông tin. (vi) Lợi dụng mạng để truyền bá tin tức, tài liệu, hình ảnh, âm thanh hoặc các dạng thông tin khác nhằm mục đích gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội. (vii) Hành vi khác làm mất an toàn, an ninh thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng. (viii) Ngoài các yêu cầu trên thì cần phải tuân thủ yêu cầu của Điều 8 - Luật An ninh mạng số 24/2018/QH14 và Điều 7 - Luật An toàn thông tin mạng số 86/2014/QH13.
Triển khai các giải pháp kỹ thuật đảm bảo an toàn, an ninh thông tin tại CPMB
CPMB thường xuyên bám sát kế hoạch đảm bảo ATTT hằng năm của EVNNPT để triển khai tại CPMB..
Phối hợp với Viettel Cyber Security trong công tác giám sát, ứng cứu ATTT. Thường xuyên phối hợp với Đội ứng cứu sự cố ATTT mạng EVNNPT thực hiện săn lùng mối nguy hại và rà quét lỗ hổng trên các hệ thống thông tin trong phạm vi quản lý, và chủ động khắc phục điểm yếu, lỗ hổng. Đồng thời, hỗ trợ CBCNV trong Ban khắc phục các sự cố về an toàn thông tin. Tần suất: 01 tuần 1 lần khi có thông báo của Ban VTCNTT.
Quán triệt toàn thể CBCNV nghiêm chỉnh chấp hành các chủ trương, chỉ đạo của EVNNPT về công tác an toàn thông tin, công tác viễn thông, công nghệ thông tin. Cụ thể: Trên trang thông tin điện tử của CPMB; qua các bài giảng e –learning; phổ biến sổ tay ATTT được phát hành toàn EVNNPT do CPMB được giao nhiệm vụ biên soạn…Thực hiện cấu hình đảm bảo ATTT một cách phù hợp với từng thiết bị, hệ thống CNTT tại Ban theo Bộ Quy tắc cấu hình ATTT ban hành theo Quyết định số 1290/QĐ-EVN ngày 05/9/2022 của Tập đoàn Điện lực Việt Nam.
Tổ chức đánh giá nội bộ để đảm bảo liên tục tuân thủ các quy định trong công tác quản lý ATTT của CPMB/EVNNPT cũng như kịp thời phát hiện các bất cập trong việc áp dụng các quy định chính sách để có phương án cải tiến.
Tiếp tục rà soát và thực hiện cấu hình bộ quy tắc bảo mật trên phạm vi máy tính người dùng, máy chủ, ứng dụng web để tăng cường bảo mật. Tổ chức thực thi các biện pháp bảo đảm ATTT theo phương án bảo đảm ATTT được phê duyệt.
Tham khảo Kế hoạch ứng phó sự cố của EVNNPT để hoàn thiện phương án phòng ngừa, xử lý và ứng cứu sự cố đối với các kịch bản cụ thể của HTTT tại Cơ quan Ban A (ưu tiên kịch bản mã độc ransomware, hư hỏng phần cứng là các tình huống đòi hỏi tính chủ động của lực lượng tại chỗ), cập nhật phương án ứng phó sự cố vào Hồ sơ cấp độ ATTT (Mục phương án đảm bảo ATTT về quản lý - Quản lý sự cố ATTT).
Kiện toàn chức năng nhiệm vụ và nguồn nhân lực thực hiện công tác an toàn, an ninh thông tin
CPMB đã củng cố mô hình tổ chức đội ngũ vận hành hệ thống CNTT bằng việc bổ sung thêm 01 chuyên viên phụ trách CNTT tại phòng Tổng hợp từ tháng 08 năm 2023, để tăng cường trong công tác quản lý điều hành, vận hành, đảm bảo an toàn hệ thống thông tin theo các quy định hiện hành. Tổ chức nhân sự với 01 Phó Giám đốc phụ trách; Phòng Tổng hợp triển khai CNTT và ATTT tại trụ sở và Phòng Kỹ thuật triển khai ATTT cho các dự án CPMB đầu tư.
Bên cạnh đó, CPMB cũng ban hành nhiều quyết định để vận hành công tác CNTT như: (i) Ban hành Quyết định số 1752/QĐ-CPMB ngày 12/11/2020 về việc thành lập Tổ An ninh thông tin triển khai Hệ thống An ninh thông tin theo tiêu chuẩn ISO/IEC 27001:2013 và phân công nhiệm vụ cụ thể cho các thành viên trong Tổ. (ii) Quyết định số 1892/QĐ-CPMB ngày 15/12/2020 về việc ban hành Tài liệu Hệ thống quản lý An ninh thông tin theo tiêu chuẩn ISO/IEC 27001:2013 tại Ban Quản lý dự án các công trình điện Miền Trung. (iii) Văn bản số 11652/CPMB-TH ngày 25/12/2020 về việc V/v áp dụng Hệ thống tài liệu ISO/IEC 27001:2013 tại CPMB.
Hàng năm, tham gia đầy đủ các lớp diễn tập đảm bảo ATTT mạng cho cán bộ chuyên trách CNTT; cử cán bộ chuyên trách về CNTT tham dự các lớp diễn tập đảm bảo an toàn thông tin mạng; lớp đào tạo, tập huấn chuyên sâu về an toàn thông tin mạng do EVNNPT tổ chức. Nâng cao trình đôh chuyên mô cán bộ làm CNTT cũng như ATTT tại đơn vị.
Đẩy mạnh phối hợp trong công tác bảo đảm an toàn, an ninh thông tin mạng
Đẩy mạnh phối hợp với các cơ quan chức năng về an toàn thông tin mạng như: Cục An toàn thông tin mạng, Bộ tư lệnh 86, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) và các tổ chức an ninh mạng khác để thực hiện các giải pháp đảm bảo an toàn an ninh thông tin cũng như xử lý, khắc phục sự cố về an toàn thông tin mạng.
Hội nghị hợp tác đảm bảo an toàn thông tin giữa EVN và Bộ tư lệnh 86 ngày 27/9 tại Tổng công ty điện lực Miền Trung
Trong thời gian tới, chuyển đổi số đang trở thành xu thế chung của thời đại với việc áp dụng công nghệ mới như dữ liệu lớn (Big Data), Internet cho vạn vật (IoT), điện toán đám mây (Cloud)… nhằm thay đổi phương thức điều hành, lãnh đạo, quy trình làm việc. Song song với sự phát triển và ứng dụng rộng rãi của công nghệ thông tin thì mức độ thiệt hại và tác động khi xảy ra sự cố mất an toàn thông tin theo đó cũng ngày càng nghiêm trọng, ảnh hưởng đến tất cả các lĩnh vực. Do đó, việc triển khai các biện pháp ATTT tại đơn vị là hết sức cần thiết để tránh mọi guy cơ có thể xảy ra tại đơn vị và ảnh hưởng đến ATTT của EVNEVNNPT.
07/11/2023