Bộ TT&TT vừa ban hành Quyết định 1385/QĐ-BTTTT phê duyệt phương án kiểm tra, rà soát, đánh giá an toàn thông tin cho một số cổng/trangCổng/Trang thông tin điện tử thuộc cơ quan nhà nước năm 2016.

Theo đó, Bộ TT&TT giao Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các đơn vị có liên quan trong năm 2016 thực hiện kiểm tra, đánh giá cho 83 cổng/trang TTĐT của các Bộ, ngành, tỉnh, thành phố trực thuộc Trung ương.

Trong đó, thực hiện kiểm tra, đánh giá ở mức chuyên sâu cho 30 cổng/trang TTĐT gồm 2 cổng/trang TTĐT của các cơ quan, đơn vị thuộc Chính phủ là Viện Hàn lâm Khoa học xã hội Việt Nam, Viện Hàn lâm Khoa học và Công nghệ Việt Nam; 10 cổng/trang TTĐT của các tỉnh, thành phố Hà Nội, Hải Phòng, Đà Nẵng, TP.HCM, Nghệ An, Thái Nguyên, Vĩnh Phúc, Quảng Ninh, Bình Thuận, Lâm Đồng; 18 cổng/trang TTĐT của các Bộ và cơ quan ngang Bộ (Thanh tra Chính phủ, Ngân hàng Nhà nước Việt Nam, Ủy ban Dân tộc và 15 Bộ: Tài chính, TN&MT, LĐTB&XH, Xây dựng, GD&ĐT, KH&ĐT, Y tế, VHTT&DL, Tư pháp, Công Thương, Giao thông Vận tải, TT&TT, NN&PTNT, Nội vụ, KH&CN).

53 cổng/trang TTĐT được thực hiện kiểm tra, đánh giá an toàn thông tin ở mức cơ bản trong năm 2016 là cổng/trang TTĐT của 53 tỉnh, thành phố còn lại.

Mục đích của đợt kiểm tra, rà soát, đánh giá an toàn thông tin này là nhằm phát hiện lỗ hổng, điểm yếu về kỹ thuật, quy trình đảm bảo an toàn thông tin của các cổng/trang TTĐT của một số cơ quan nhà nước;  từ đó gửi cảnh báo và khuyến nghị một số biện pháp khắc phục cho các cơ quan nhà nước.

Về nội dung kiểm tra, Quyết định nêu rõ, với các cổng/trang TTĐT được kiểm tra, đánh giá mức cơ bản, phương thức đánh giá là sử dụng các công cụ, thiết bị, phần mềm sẵn có tự động rà quét, phát hiện điểm yếu, lỗ hổng dựa trên các tiêu chí kỹ thuật (phương thức Black box) và thực hiện báo cáo, tổng hợp dựa trên kết quả thu nhận được. Các tiêu chí kỹ thuật áp dụng gồm có: các tiêu chí về an toàn của hệ thống và ứng dụng nền tảng như hệ điều hành, máy chủ web, máy chủ cơ sở dữ liệu... của cổng/trang TTĐT; các tiêu chí về an toàn ứng dụng cổng/trang TTĐT nhằm phát hiện các lỗ hổng, điểm yếu an toàn thông tin của phần mềm cổng/trang TTĐT gồm tải trái phép hoặc thực thi các đoạn mã chương trình, vượt qua các bước xác thực, tấn công kịch bản liên trang, lộ tệp tin, thư mục không phù hợp và lỗi chèn lệnh SQL.

Đối với kiểm tra, đánh giá mức chuyên sâu, phương thức đánh giá các cổng/trang TTĐT là thực hiện đầy đủ các biện pháp kiểm tra, đánh giá mức cơ bản, sử dụng chuyên gia trực tiếp đánh giá, phân tích thêm một số tiêu chí kỹ thuật và quy trình quản lý; kiểm chứng lại kết quả đánh giá cơ bản nhằm đảm bảo chất lượng, tăng độ chính xác của kết quả đánh giá.

Ngoài các tiêu chí áp dụng với mức cơ bản, bổ sung thêm các tiêu chí như: tiêu chí kỹ thuật kiểm tra, đánh giá gồm lỗi tràn bộ đệm, lỗi chiếm quyền và nâng quyền trái phép, lỗi tấn công giả mạo yêu cầu, lỗi File Include, lỗi Bash Code Injection, lỗi mật khẩu yếu; tiêu chí về quy trình quản lý như tổ chức, phân công nhiệm vụ an toàn thông tin, an toàn nguồn nhân lực, kiểm soát truy cập website, an toàn môi trường vật lý, các hoạt động an toàn, quản lý sự cố an toàn thông tin, chính sách bảo mật thông tin.

Trước đó, trong công văn  5891 ngày 5/7/2016 gửi Bộ TT&TT để truyền đạt ý kiến của Phó Thủ tướng Vũ Đức Đam, Văn phòng Chính phủ cho biết, trong thời gian từ ngày 4/7 đến ngày 12/7/2016, một số cơ quan báo chí như Báo điện tử Infonet, Đài Truyền hình Việt Nam, Báo Người lao động… phản ánh có không ít trang mạng của cơ quan nhà nước có tên miền .gov.vn đang bị gắn các đường dẫn ẩn (link ẩn) nhằm trục lợi. Văn phòng Chính phủ cho biết, về việc này, Phó Thủ tướng Vũ Đức Đam yêu cầu Bộ TT&TT khẩn trương kiểm tra, làm rõ vấn đề báo chí phản ánh, có biện pháp xử lý và báo cáo kết quả kiểm tra lên Thủ tướng Chính phủ.