Trách nhiệm bảo đảm an toàn thông tin mạng quốc gia của doanh nghiệp viễn thông là gì?

Doanh nghiệp viễn thông có phải thiết lập môi trường để lắp đặt thiết bị quan trắc, lấy mẫu và cung cấp luồng dữ liệu mạng không? Chế tài xử phạt hành chính khi doanh nghiệp viễn thông không thiết lập môi trường để lắp đặt thiết bị quan trắc, lấy mẫu và cung cấp luồng dữ liệu mạng?

1. Doanh nghiệp viễn thông có phải thiết lập môi trường để lắp đặt thiết bị quan trắc, lấy mẫu và cung cấp luồng dữ liệu mạng không? 

Căn cứ tại khoản 4 Điều 7 Quyết định 05/2017/QĐ-TTg năm 2017 về mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia:

Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia

…

4. Các thành viên mạng lưới có trách nhiệm tuân thủ quy chế hoạt động của mạng lưới, tuân thủ các yêu cầu điều phối của cơ quan điều phối, tham gia, đóng góp tích cực cho hoạt động của mạng lưới. Doanh nghiệp viễn thông, nhà cung cấp dịch vụ Internet ISP có trách nhiệm lưu trữ và cung cấp thông tin liên quan đến các địa chỉ IP thuê bao, máy chủ, thiết bị IOT, các log file, nhật ký dịch vụ phân giải tên miền DNS trong phạm vi quản lý của doanh nghiệp; thiết lập môi trường để lắp đặt thiết bị quan trắc, lấy mẫu và cung cấp luồng dữ liệu mạng để phục vụ giám sát, phát hiện sự cố theo yêu cầu của cơ quan điều phối quốc gia; thiết lập đầu mối thường trực 24/7, bố trí nhân, vật lực sẵn sàng phối hợp, triển khai các giải pháp nhằm ứng cứu, khắc phục hậu quả sự cố trong trường hợp nguồn tấn công được xác định xuất phát từ thuê bao thuộc doanh nghiệp mình hoặc khi được yêu cầu từ cơ quan điều phối quốc gia.

Như vậy, doanh nghiệp viễn thông phải có trách nhiệm trong việc thiết lập môi trường để lắp đặt thiết bị quan trắc, lấy mẫu và cung cấp luồng dữ liệu mạng để phục vụ giám sát, phát hiện sự cố theo yêu cầu của cơ quan điều phối quốc gia.

2. Chế tài xử phạt hành chính khi doanh nghiệp viễn thông không thiết lập môi trường để lắp đặt thiết bị quan trắc, lấy mẫu và cung cấp luồng dữ liệu mạng?

Căn cứ tại khoản 4 Điều 78 Nghị định 15/2020/NĐ-CP vi phạm các quy định về đảm bảo an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng

Vi phạm các quy định về đảm bảo an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng

…

4. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:

…

đ) Không phối hợp với Cơ quan điều phối quốc gia, các nhà cung cấp dịch vụ và các cơ quan chức năng khôi phục một số hoạt động, dữ liệu hoặc kết nối cần thiết nhất để giảm thiểu thiệt hại đối với hệ thống thông tin hoặc gây ảnh hưởng xấu tới xã hội;

e) Không phối hợp trong thời gian chưa khắc phục triệt để sự cố;

g) Không xử lý các hậu quả do sự cố hệ thống thông tin của mình gây ra ảnh hưởng đến người dân, cơ quan, tổ chức khác;

h) Không lưu trữ hoặc không cung cấp thông tin liên quan đến các địa chỉ IP thuê bao, máy chủ, thiết bị IOT, các log file, nhật ký dịch vụ phân giải tên miền DNS trong phạm vi quản lý;

i) Không thiết lập môi trường để lắp đặt thiết bị quan trắc, lấy mẫu và cung cấp luồng dữ liệu mạng;

k) Không thiết lập đầu mối thường trực 24/7 hoặc không bố trí nhân lực, vật lực sẵn sàng phối hợp, triển khai các giải pháp nhằm ứng cứu, khắc phục hậu quả sự cố trong trường hợp nguồn tấn công được xác định xuất phát từ thuê bao thuộc doanh nghiệp mình hoặc khi được yêu cầu từ Cơ quan điều phối quốc gia.

Lưu ý: theo quy định tại khoản 3 Điều 4 Nghị định 15/2020/NĐ-CP thì mức phạt trên là mức phạt đối với tổ chức.

Như vậy, trong trường hợp doanh nghiệp viễn thông không thiết lập môi trường để lắp đặt thiết bị quan trắc, lấy mẫu và cung cấp luồng dữ liệu mạng thì có thể bị phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng.

3. Trách nhiệm bảo đảm an toàn thông tin mạng quốc gia của doanh nghiệp viễn thông là gì?

Căn cứ tại khoản 4 Điều 14 Luật An toàn thông tin mạng 2015 ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia:

Ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia

…

4. Trách nhiệm bảo đảm an toàn thông tin mạng quốc gia được quy định như sau:

a) Thủ tướng Chính phủ quyết định hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

b) Bộ Thông tin và Truyền thông có trách nhiệm chủ trì điều phối công tác ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

c) Bộ, ngành, Ủy ban nhân dân các cấp và cơ quan, tổ chức có liên quan trong phạm vi nhiệm vụ, quyền hạn của mình có trách nhiệm phối hợp, chỉ đạo ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

d) Doanh nghiệp viễn thông có trách nhiệm thực hiện biện pháp ứng cứu khẩn cấp, phối hợp với Bộ Thông tin và Truyền thông, bộ, ngành, Ủy ban nhân dân các cấp có liên quan để bảo đảm an toàn thông tin mạng quốc gia.

Như vậy, doanh nghiệp viễn thông có trách nhiệm thực hiện biện pháp ứng cứu khẩn cấp, phối hợp với Bộ Thông tin và Truyền thông, bộ, ngành, Ủy ban nhân dân các cấp có liên quan để bảo đảm an toàn thông tin mạng quốc gia.