Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 1
I. AN TOÀN THÔNG TIN LÀ GÌ?
An toàn thông tin là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và
yếu tố con người.
1. Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm
phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và
những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ
máy trạm.
2. Yếu tố con người: Là những người sử dụng máy tính, những người làm
việc với thông tin và sử dụng máy tính trong công việc của mình.
Hai yếu tố trên được liên kết lại thông qua các chính sách về An toàn thông
tin.
Theo ISO 17799, An Toàn Thông Tin là khả năng bảo vệ đối với môi
trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và
phát triển vì lợi ích của mọi công dân, mọi tổ chức và của quốc gia. Thông
qua các chính sách về ATTT, lãnh đạo thể hiện ý chí và năng lực của mình
trong việc quản lý hệ thống thông tin. ATTT được xây dựng trên nền tảng
một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật
nhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu
cũng như các tài nguyên thông tin của các đối tác, các khách hàng trong
một môi trường thông tin toàn cầu. Như vậy, với vị trí quan trọng của mình,
có thể khẳng định vấn đề ATTT phải bắt đầu từ các chính sách trong đó con
toàn thông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra
các chính sách và phương pháp đề phòng cần thiết. Mục đích cuối cùng của
an toàn bảo mật là bảo vệ các thông tin và tài nguyên theo các yêu cầu sau:
• Tính tin cậy(Confidentiality): Thông tin không thể bị truy nhập trái phép
bởi những người không có thẩm quyền.
• Tính nguyên vẹn(Integrity): Thông tin không thể bị sửa đổi, bị làm giả bởi
những người không có thẩm quyền.
• Tính sẵn sàng(Availability): Thông tin luôn sẵn sàng để đáp ứng sử dụng
cho người có thẩm quyền.
• Tính không thể từ chối (Non-repudiation): Thông tin được cam kết về mặt
pháp luật của người cung cấp.
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 3
Viện tiêu chuẩn của Anh đã công bố một danh sách gồm 10 điều kiện cần
để kiểm tra việc triển khai các biện pháp an ninh cơ bản của một hệ thống
như sau:
1. Tài liệu về chính sách an ninh thông tin.
2. Việc phân bổ các trách nhiệm về an ninh hệ thống.
3. Các chương trình giáo dục và huấn luyện về sự an ninh thông tin.
4. Các báo cáo về các biến cố liên quan đến an ninh thông tin.
5. Các biện pháp kiểm soát Virus.
6. Tiến trình liên tục lập kế hoạch về kinh doanh.
tầm quan trọng của các website bị tấn công đang tăng lên từng ngày.
Virus và phần mềm độc hại tiếp tục tăng trưởng. Theo thống kê của hãng
Symantec, tổng số virus, sâu, trojan máy tính lan truyền trên Internet cho tới
thời điểm này đã đạt ngưỡng 1 triệu. Trong 6 tháng đầu năm 2008, hãng
Symantec đã phát hiện được 499.811 mã độc nguy hiểm, tăng 136% so với 6
tháng đầu năm ngoái, đưa tổng số mẫu virus có trong sản phẩm của hãng này
lên tới 1.122.311 mẫu. Giới tin tặc đang có xu hướng dùng trojan như là “chìa
khoá” để truy cập máy tính người dùng, sau đó download và tải rất nhiều
chương trình độc hại.
Theo thống kê của APACS, chỉ trong 6 tháng đầu năm 2008, trên toàn thế giới
đã có tới 20.000 vụ lừa đảo trực tuyến xảy ra gây thiệt hại tới 37 triệu USD,
trong khi đó năm 2007 chỉ có khoảng 7.000 vụ. Hacker đã tấn công hàng ngàn
trang web game online, không “tha” cả website bán vé Euro 2008, 18 máy chủ
của ngân hàng thế giới WorldBank đã bị tấn công. Đặc biệt, rất nhiều dữ liệu
của cá nhân đã bị tấn công, đánh cắp. Theo thống kê của Trung tâm tài nguyên
và mất cắp danh tính ITRC, tính từ đầu năm tới nay, chỉ riêng tại Mỹ đã có tới
512 vụ trộm cắp danh tính làm ảnh hưởng tới khoảng 30 triệu người dùng.
Và Việt Nam cũng là một quốc gia không tránh khỏi những hệ luỵ này. Chỉ
trong năm 2008, đã có 52 website của Việt Nam bị các hacker trong nước tấn
công và có tới 109 website Việt bị các hacker nước ngoài “dòm” tới. Trung
tâm an ninh mạng BKIS đã từng cảnh báo 30 website Việt có lỗ hổng nghiêm
trọng. 27.046.000 lượt máy tính Việt bị nhiễm bởi 6269 loại virus khác nhau
trong đó có 8 virus có “xuất xứ” Việt Nam.
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 5 Trang 6
bộ tiêu chuẩn về chính sách an ninh mạng, an toàn thông tin để đưa ra được
những giải pháp tổng thể bảo đảm an ninh, an toàn thông tin.
Trong khi đó, năm 2009 lại được các chuyên gia an ninh mạng dự báo sẽ tiếp
tục là năm xuất hiện nhiều biến thể virus mới, tội phạm mạng sẽ chuyên
nghiệp hơn, tinh vi hơn, mạng xã hội trở thành đích ngắm của hacker, các vụ
việc đánh cắp thông tin dữ liệu về người dùng sẽ phức tạp hơn…
Con người – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin .
Hầu như phần lớn các phương thức tấn công được hacker sử dụng là khai thác
các điểm yếu của hệ thống thông tin và đa phần các điểm yếu đó rất tiếc lại do
con người tạo ra. Việc nhận thức kém và không tuân thủ các chính sách về
ATTT là nguyên nhân chính gây ra tình trạng trên. Đơn cử là vấn đề sử dụng
mật khẩu đã được quy định rất rõ trong các chính sách về ATTT song việc
tuân thủ các quy định lại không được thực hiện chặt chẽ. Việc đặt một mật
khẩu kém chất lượng, không thay đổi mật khẩu định kỳ, quản lý mật khẩu
lỏng lẻo là những khâu yếu nhất mà hacker có thể lợi dụng để xâm nhập và
tấn công.
Ra mắt Hiệp hội An toàn thông tin VN phía Nam
Hiệp hội An toàn thông tin Việt Nam (VNISA) vừa được thành lập và tổ chức
lễ ra mắt chi hội an toàn thông tin phía Nam. Sự kiện này đánh dấu bước phát
triển mới trong lĩnh vực an toàn thông tin, nhất là tại TP.HCM nơi mà lĩnh
vực công nghệ thông tin phát triển năng động nhất. Ông Võ Đỗ Thắng, ủy
Đặc điểm nổi bật của loại tội phạm công nghệ cao là tính quốc tế. Từ phương
thức, thủ đoạn, phạm vi gây án, đối tượng bị xâm hại tới mục tiêu gây án hầu
như về cơ bản đều giống nhau trên toàn thế giới. Thủ phạm gây án có thể ngồi
một chỗ tấn công vào bất kỳ nơi nào trên thế giới mà không cần xuất đầu lộ
diện, chỉ để lại rất ít dấu vết là những dấu vết điện tử và thời gian gây án
thường rất ngắn khiến cơ quan điều tra khó phát hiện, thu thập nhưng lại dễ
dàng tiêu huỷ.
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 8
Tội phạm công nghệ cao được chia làm hai nhóm: nhóm tội phạm với mục
tiêu tấn công là các loại thiết bị kỹ thuật số, mạng máy tính và nhóm thứ hai là
tội phạm sử dụng máy tính làm công cụ phạm tội.
1. Lừa đảo mạng ATM
“ Một khi bọn tội phạm lấy được dữ liệu trên các dải từ tính cùng với số PIN,
chúng hoàn toàn có thể tạo ra các thẻ giả , và chính những thẻ này sẽ là được
dùng để rút tiền”. Vấn đề khác đối với các tổ chức là khả năng thực hiện quản
lý rủi ro của họ ít hơn nhiều so với các giao dịch trực tuyến trên ATM. “ Đó là
vì máy ATM cung ứng hàng hóa cho khách hàng của mình ngay lập tức, chính
xác như ý muốn của bọn lừa đảo – đó là tiền mặt chứ không phải là một loại
vé, giấy có giá mà sau đó phải cất trữ hoặc bán lại
Nghiên cứu của Sophos cho hay, số lượng các cuộc tấn công SQL vào các
trang web “vô tội” trong năm qua tăng lên rõ rệt, và năm tới, xu hướng này sẽ
vẫn tiếp diễn. Độ bảo mật kém của các trang web, đặc biệt là không có khả
năng phòng chống các cuộc tấn công tự động từ xa như tấn công từ chối SQL,
sẽ tiếp tục trở thành nơi đầu tiên để phát tán mã độc.
Báo cáo mới đây của Trung tâm thu nhận tố cáo tội phạm internet cũng chỉ ra
số lượng các cuộc tấn công SQL trong năm qua tăng lên đáng kể, đặc biệt là
liên quan đến các dịch vụ tài chính và ngành công nghiệp bán lẻ trực tuyến.
4. Drive-By Attacks Deliver
Các tổ chức cần phải hướng dẫn và cảnh báo khách hàng và nhân viên khi
online phải cẩn trọng với những trang Web giả mạo (look-alikes) và bị nhiễm
độc, Tom Wills, Javelin Strategy Research's Senior Analyst for Security &
Fraud nói. “Các tấn công Drive-by lén lút phân phối Trojans trộm bàn phím
(keylogger) vào các máy tính của khách hàng và trở thành vũ khí trộm danh
tính tự nguyện.” Các máy sẽ bị nhiễm khi người dùng viếng các trang web giả
mạo do bị chuyển tới thông qua phishing emails hoặc như xu hướng đang gia
tăng hiện nay là thông qua các trang web hợp lệ nhưng đã bị hack, ông nhận
xét.
Javelin's Wills cũng tiên đoán sẽ có sự gia tăng về số lượng các hackers và tội
phạm “nghiệp dư"(amateur), tìm cách ăn trộm tiền hay thông tin cá nhân
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 10
khách hàng của các tổ chức, chủ yếu do kinh tế suy thoái. “ Các tổ chức cần
Trang 11
Phiên bản Safari trên iPhone không hiển thị địa chỉ URLs nhúng trong emails
trước khi chúng được nhấp vào, khiến người dùng khó nhận diện được liệu
chúng có dẫn tới các trang lừa đảo hay không.
Trình duyệt trên iPhone không hiển thị đầy đủ địa chỉ URL giúp kẻ xấu có thể
lợi dụng để lừa đảo người.
Google Android mặc dù Android trên Google G1 mới ra mắt gần đây và hiện
chưa mắc phải những cuộc tấn công từ tin tặc, nhưng sau chỉ một ngày G1
được bán ra thị trường, giới an ninh đã phát hiện ra một lỗ hổng nghiêm
trọng.
Theo dự đoán của Sophos, càng có nhiều người sở hữu smartphone thì dòng
thiết bị này sẽ trở nên hấp dẫn hơn với tin tặc.
Đối phó thế nào đây?
Hiện thế giới coi Việt Nam như một thị trường an toàn, có tiềm năng về thương
mại điện tử và đầu tư. Điều này phụ thuộc rất nhiều vào bức tranh an ninh mạng
Việt Nam. Nếu vấn đề an ninh mạng không được giải quyết kịp thời, hợp lý, lĩnh
vực thương mại điện tử vốn đã non trẻ của Việt Nam có thể sẽ rơi vào tình trạng
trì trệ, trở thành “một rào cản đối với Việt Nam hậu WTO”.
Việc đảm bảo an ninh trật tự trong “thế giới ảo” hiện là một trọng trách nặng nề
của lực lượng công an nói chung và cảnh sát phòng chống tội phạm công nghệ
cao nói riêng trong tình hình mới. Với kinh nghiệm điều tra, lần theo dấu vết, đã
“điểm mặt, chỉ tên” được nhiều vụ án cụ thể, theo Tiễn sĩ Trần Văn Hoà, việc
phát hiện kịp thời, truy tìm dấu vết đối tượng của những vụ án công nghệ cao
thường đòi hỏi phải có sự phối hợp đồng bộ giữa các cơ quan điều tra trong và
giác, tăng cường sử dụng các công cụ kỹ thuật để ngăn chặn, phòng ngừa bảo vệ
các server, website, cơ sở dữ liệu như các thiết bị phần cứng, các phần mềm
chống virus, spyware, spam… Đặc biệt là phải tăng cường công tác điều tra, truy
tố, xét xử các vụ phạm tội công nghệ cao để có thể răn đe, phòng ngừa - Tiến sĩ
Hoà nói. Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 13
Xây dựng hệ thống bảo đảm an toàn thông tin như thế nào?
Việc xây dựng một hệ thống bảo đảm an toàn thông tin không chỉ đơn giản gói
gọn vào trách nhiệm của bộ phận CNTT, hệ thống mạng với một số giải pháp
thuần túy kỹ thuật. Một hệ thống thông tin an toàn đúng nghĩa phải gắn kết và
tích hợp chặt chẽ với hoạt động của toàn tổ chức trong đó con người đóng vai trò
quan trọng.
Có nhiều cách thức và quan điểm để thiết lập một hệ thống an toàn thông tin. Tuy
nhiên, thông thường người ta dựa vào các tiêu chuẩn, trong số đó hai tiêu chuẩn
ISO 27001 và ISO/IEC 17799 thường được nhắc đến nhiều nhất, bởi tính hệ
thống, tính thông dụng và tính quốc tế của chúng.
Khi xây dựng một hệ thống an toàn thông tin, người ta thường tham khảo cả hai
như là một cặp không thể tách rời. Khi áp dụng, tiêu chuẩn ISO 27001 mang tính
bắt buộc, quy định các yêu cầu của một hệ thống an toàn thông tin, trong khi
chuẩn ISO/IEC 17799 cung cấp các kinh nghiệm để có thể thiết kế một hệ thống
trình thiết lập, vận
hành và chứng nhận hệ
thống an toàn thông tin theo tiêu chuẩn ISO 27001 bao gồm các bước cơ bản
được trình bày ở bảng 2, trong đó chi tiết các bước sẽ rất khác nhau, tùy theo
từng tổ chức.
Sơ đồ 2 minh họa các bước chính cùng khung thời gian, ràng buộc về thời gian
giữa các bước trong toàn bộ kế hoạch xây dựng, áp dụng và đánh giá hệ thống an
toàn thông tin. Các bước và khung thời gian chỉ có tính minh họa, thực tế chúng
khác biệt và phụ thuộc vào mục tiêu, cách thức và kế hoạch của từng tổ chức.
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 15
Nhóm tác vụ
Mô tả và ý nghĩa
Chính sách
Các chính sách ở các cấp độ khác nhau (công ty, phòng,
ban) về an toàn thông, các quy trình, quy định, hướng dẫn
thực hiện, báo cáo, xử lý sự cố, kỷ luật…
Tổ chức và thực
hiện
Quy định trách nhiệm của các bộ phận và cách thức thực
hiện các công việc về an toàn thông tin của tổ chức.
Kiểm soát tài sản
Phân loại tài sản và rủi ro có thể xảy ra để định nghĩa các
và kinh doanh của tổ chức được tiếp diễn bình thường khi
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 16
có tình huống (xấu) khẩn cấp xảy ra.
Tuân thủ quy định
của pháp luật
Bảo đảm cho hệ thống an toàn thông tin và các quy định
của tổ chức phù hợp với luật pháp, không mâu thuẫn với
các tiêu chuẩn khác trong tổ chức.
Bảng 1
Các bước chính
Mô tả
1. Phân tích hiện
trạng
Phân tích hoạt động của tổ chức so với các yêu cầu của
tiêu chuẩn, chỉ định các rủi ro và các biện pháp để khắc
phục hoặc hạn chế rủi ro.
2. Huấn luyện
Huấn luyện về nhận thức và kỹ thuật, bảo đảm cho nhân
viên các cấp có đủ kiến thức và kỹ năng để thiết lập và vận
hành toàn hệ thống.
3. Thiết lập các
chính sách và quy
chỉ định các điểm cải tiến.
7. Hoạt động sửa lỗi
Sửa các lỗi không tương thích được phát hiện trong quá
trình kiểm soát, bảo đảm lỗi đã xảy ra sẽ không tái xuất
hiện.
8. Đánh giá thử
Bảo đảm tổ chức đã sẵn sàng cho việc đánh giá chính thức.
Nếu lỗi quá nhiều, việc đánh giá chính thức sẽ được lùi
một thời gian thích hợp.
9. Cải tiến các quy
trình
Điều chỉnh các chính sách, thủ tục, phương pháp và công
cụ hỗ trợ cho phù hợp hơn sau khi đánh giá thử, bảo đảm
mọi thứ sẵn sàng.
10. Đánh giá và
chứng nhận
Đánh giá toàn diện hệ thống theo tiêu chuẩn, chứng nhận
tổ chức đạt chuẩn nếu không tồn tại các điểm không tương
thích chính yếu.
Bảng 2
IV. CƠ SỞ PHÁP LÝ, LUẬT CHO AN TOÀN THÔNG TIN
Khoản 2 và 3, Điều 18 (Nghị định của Chính phủ số 63/2007/NĐ-CP ngày
10/4/2007, Quy định xử phạt vi phạm hành chính trong lĩnh vực công nghệ
thông tin): Hành vi vi phạm các quy định về bảo vệ quyền, lợi ích hợp pháp và
hỗ trợ người sử dụng sản phẩm, dịch vụ công nghệ thông tin
1. Phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với một trong các
hành vi sau:
a) Tạo ra và cài đặt chương trình virus máy tính hoặc phần mềm gây hại
a) Phát tán chương trình virus máy tính hoặc phần mềm gây hại hoặc đoạn
mã gây hại để thực hiện một trong những hành vi quy định tại Điều 71 của
Luật Công nghệ thông tin;
b) Xâm nhập, sửa đổi, xóa bỏ trái quy định của pháp luật đối với các nội
dung thông tin của tổ chức, cá nhân khác trên môi trường mạng;
c) Tấn công từ chối dịch vụ (DOS, DDOS) hoặc có các hành vi cản trở
hoạt động cung cấp dịch vụ của hệ thống thông tin;
d) Đánh bạc, tổ chức đánh bạc, môi giới mại dâm, lừa đảo, khủng bố trên
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 19
môi trường mạng.
Điều 71 (Luật Công nghệ thông tin): Chống vi rút máy tính và phần mềm
gây hại
- Tổ chức, cá nhân không được tạo Ra, cài đặt, phát tán vi rút máy tính,
phần mềm gây hại vào thiết bị số của người khác để thực hiện một trong
những hành vi sau đây:
- Thay đổi các tham số cài đặt của thiết bị số;
- Thu thập thông tin của người khác;
- Xóa bỏ, làm mất tác dụng của các phần mềm bảo đảm an toàn, an ninh
thông tin được cài đặt trên thiết bị số;
- Ngăn chặn khả năng của người sử dụng xóa bỏ hoặc hạn chế sử dụng
những phần mềm không cần thiết;
a) Vi phạm các qui định của Nhà nước về mã hoá và giải mã thông tin
trên Internet trong việc cung cấp dịch vụ Internet;
b) Vi phạm các qui định của Nhà nước về an toàn, an ninh thông tin
trên Internet trong việc cung cấp dịch vụ Internet;
c) Sử dụng Internet để nhằm mục đích đe dọa, quấy rối, xúc phạm đến
danh dự, nhân phẩm người khác mà chưa đến mức truy cứu trách
nhiệm hình sự;
d) Đưa vào Internet hoặc lợi dụng Internet để truyền bá các thông tin,
hình ảnh đồi truỵ, hoặc những thông tin khác trái với qui định của pháp
luật về nội dung tin trên Internet, mà chưa đến mức truy cứu trách
nhiệm hình sự;
đ) Đánh cắp mật khẩu, khoá mật mã, thông tin riêng của tổ chức, cá
nhân và phổ biến cho người khác sử dụng;
e) Vi phạm các quy định về vận hành, khai thác và sử dụng máy tính
gây rối loạn hoạt động, phong toả hoặc làm biến dạng, làm huỷ hoại
các dữ liệu trên Internet mà chưa đến mức truy cứu trách nhiệm hình
sự.
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 21
4. Phạt tiền từ 20.000.000 đồng đến 50.000.000 đồng đối với hành vi tạo ra
và cố ý lan truyền, phát tán các chương trình vi rút trên Internet mà chưa
đến mức truy cứu trách nhiệm hình sự.
5. Ngoài các hình thức xử phạt hành chính, tuỳ theo tính chất, mức độ vi
đ) Không đảm bảo an toàn trong quá trình tạo hoặc chuyển giao
chứng thư số cho thuê bao.
2. Phạt tiền từ 10.000.000 đồng đến 30.000.000 đồng đối với hành vi sau:
a) Trộm cắp, gian lận, mạo nhận, chiếm đoạt khoá bí mật của người
khác;
b) Sao chép, tiết lộ hoặc cung cấp khoá bí mật của thuê bao trái pháp
luật;
c) Truy nhập, tiết lộ, sử dụng trái phép thông tin của thuê bao và tổ
chức cung cấp dịch vụ chứng thực chữ ký số;
d) Không đảm bảo bí mật toàn bộ quá trình tạo cặp khóa;
đ) Sử dụng thiết bị không đúng quy chuẩn kỹ thuật và tiêu chuẩn bắt
buộc áp dụng để tạo cặp khóa;
e) Sử dụng phương thức không đảm bảo an toàn để chuyển giao
khóa bí mật đến tổ chức, cá nhân xin cấp chứng thư số;
g) Tạo cặp khóa trái quy định của pháp luật;
h) Không lưu trữ bí mật những thông tin về thuê bao và khóa bí mật của
thuê bao trong suốt thời gian tạm dừng chứng thư số;
i) Sửa đổi trái phép thông tin của thuê bao và tổ chức cung cấp dịch vụ
chứng thực chữ ký số;
k) Không đảm bảo giữ bí mật khóa bí mật của thuê bao trong trường
hợp thuê bao ủy quyền.
3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các
hành vi sau:
a) Sử dụng phần mềm máy tính, thiết bị kỹ thuật xâm nhập trái phép vào
hệ thống thiết bị hoặc cơ sở dữ liệu của tổ chức cung cấp dịch vụ chứng
thực chữ ký số mà chưa đến mức truy cứu trách nhiệm hình sự;
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
chữ ký số;
b) Sử dụng trái phép khoá bí mật của tổ chức cung cấp dịch vụ chứng thực
chữ ký số công cộng;
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 24
c) Tiết lộ hoặc cung cấp trái pháp luật khoá bí mật của tổ chức cung cấp
dịch vụ chứng thực chữ ký số công cộng;
d) Trộm cắp khoá bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký
số công cộng.
5. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các
hành vi sau:
a) Không triển khai hoặc triển khai không đầy đủ phương án dự phòng để
đảm bảo duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy
ra;
b) Trộm cắp khoá bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký
số quốc gia;
c) Tiết lộ hoặc cung cấp khoá bí mật của tổ chức cung cấp dịch vụ chứng
thực chữ ký số quốc gia trái pháp luật;
d) Sử dụng trái phép khoá bí mật của tổ chức cung cấp dịch vụ chứng thực
chữ ký số quốc gia;
đ) Phá hoại thiết bị, cơ sở dữ liệu của tổ chức cung cấp dịch vụ chứng thực
chữ ký số mà chưa đến mức truy cứu trách nhiệm hình sự;
e) Không thực hiện hoặc thực hiện không đúng yêu cầu của cơ quan nhà
phải chịu trách nhiệm trước pháp luật về mục đích sử dụng và tính chính
xác của các thông tin đăng ký và bảo đảm việc đăng ký, sử dụng tên miền
quốc gia Việt Nam “.vn” không xâm phạm các quyền, lợi ích hợp pháp của
tổ chức, cá nhân khác có trước ngày đăng ký.
4. Bộ Bưu chính, Viễn thông quy định việc đăng ký, quản lý, sử dụng và
giải quyết tranh chấp tên miền quốc gia Việt Nam “.vn”.
Điều 69. Bảo vệ quyền sở hữu trí tuệ trong lĩnh vực công nghệ thông
tin
Việc bảo vệ quyền sở hữu trí tuệ trong lĩnh vực công nghệ thông tin phải
thực hiện theo quy định của pháp luật về sở hữu trí tuệ và các quy định sau
đây:
1. Tổ chức, cá nhân truyền đưa thông tin trên môi trường mạng có quyền
tạo ra bản sao tạm thời một tác phẩm được bảo hộ do yêu cầu kỹ thuật của
hoạt động truyền đưa thông tin và bản sao tạm thời được lưu trữ trong
khoảng thời gian đủ để thực hiện việc truyền đưa thông tin;
Copyright: Tài liệu đại học ©