TCVN 14423:2025 - 'lá chắn' bảo vệ dữ liệu và nâng cao khả năng ứng phó

Trong bối cảnh Việt Nam đẩy mạnh chuyển đổi số trên mọi lĩnh vực, an ninh mạng đã trở thành một trụ cột chiến lược, giữ vai trò thiết yếu trong bảo đảm phát triển bền vững, ổn định của đất nước, bảo vệ chủ quyền quốc gia trên không gian mạng và quyền lợi hợp pháp của mọi tổ chức, cá nhân.

Tuy nhiên, thực tế hiện nay đang đặt ra những thách thức nghiêm trọng. Tình trạng lừa đảo chiếm đoạt tài sản qua mạng, xuyên tạc thông tin, bôi nhọ danh dự cá nhân và tổ chức trên không gian mạng diễn ra phổ biến với mức độ ngày càng nghiêm trọng, đe dọa trực tiếp an ninh trật tự quốc gia. Theo thống kê của Trung tâm An ninh mạng quốc gia (NCSC) từ đầu năm tới tháng 9/2025 đã có 9.500 vụ tấn công mạng nhắm vào các tổ chức, doanh nghiệp, trung bình khoảng 1.060 vụ/tháng.

Một vụ việc nghiêm trọng mới đây, theo Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) nhận được báo cáo về sự cố an ninh mạng tại Trung tâm Thông tin tín dụng quốc gia CIC, với dấu hiệu xâm nhập và đánh cắp dữ liệu cá nhân. Theo thông cáo, các cơ quan chức năng, bao gồm Ngân hàng Nhà nước, cùng các doanh nghiệp công nghệ như Tập đoàn Công nghiệp – Viễn thông Quân đội Viettel, Tập đoàn Bưu chính Viễn thông Việt Nam (VNPT), Công ty An ninh mạng (NCS) đã phối hợp xác minh, thu thập chứng cứ và thực hiện các biện pháp ứng phó khẩn cấp. Số lượng dữ liệu bị chiếm đoạt hiện vẫn đang được thống kê.

Trước bối cảnh đó, Tiêu chuẩn quốc gia TCVN 14423:2025 về an ninh mạng được xem như “bản đồ hành động” nhằm tăng cường chắc chắn hàng rào bảo vệ cho các hệ thống chứa dữ liệu trọng yếu. Tiêu chuẩn này ban hành ngày 29/5/2025 bởi Bộ Khoa học và Công nghệ, đưa ra các yêu cầu cơ bản về an ninh mạng cho hệ thống thông tin của cơ quan nhà nước và hệ thống thông tin quan trọng về an ninh quốc gia.

TCVN 14423:2025 được xem như hàng rào bảo vệ an ninh mạng cho các hệ thống chứa dữ liệu trọng yếu. Ảnh minh họa

Theo nội dung tiêu chuẩn, hệ thống thông tin quan trọng phải được quản lý rủi ro an ninh mạng một cách toàn diện từ việc nhận diện tài sản thông tin (dữ liệu, phần mềm, phần cứng), phân loại mức độ quan trọng của từng loại tài sản, xác định rủi ro có thể xảy ra, tới việc xây dựng và thực thi các biện pháp xử lý rủi ro. Tiêu chuẩn yêu cầu việc bảo mật cấu hình phần mềm và phần cứng, đảm bảo rằng tất cả phần mềm, thiết bị đều phải được cấu hình theo các quy tắc an toàn, loại bỏ các cài đặt mặc định kém an toàn và không sử dụng các thành phần không rõ nguồn gốc. Đồng thời, tiêu chuẩn cũng yêu cầu hệ thống phải có khả năng giám sát, ghi nhật ký hệ thống, phát hiện xâm nhập, phân tích sự kiện bảo mật và báo cáo, để phát hiện sớm và ứng phó kịp thời khi có sự cố.

Tiêu chuẩn còn đặt nặng vào việc quản lý nhà cung cấp bên thứ ba và chuỗi cung ứng số. Đối với bất cứ phần mềm, dịch vụ hoặc thành phần nào bên ngoài được sử dụng, chủ quản hệ thống phải đánh giá an ninh của nhà cung cấp, kiểm soát các hợp đồng liên quan về bảo mật, và theo dõi thường xuyên để đảm bảo rằng những phần mềm hoặc dịch vụ thuê ngoài này không trở thành lỗ hổng an ninh.

Cập nhật, vá lỗi và thử nghiệm bảo mật định kỳ cũng là phần không thể thiếu của tiêu chuẩn này. TCVN 14423 yêu cầu các hệ thống thông tin quan trọng có quy trình quản lý lỗ hổng, cập nhật phần mềm và hệ thống kịp thời khi có bản vá từ nhà sản xuất, đồng thời tổ chức kiểm thử xâm nhập, đánh giá lỗ hổng định kỳ để đảm bảo hệ thống không bị khai thác qua các điểm yếu đã biết.

Đào tạo đội ngũ vận hành, quản trị hệ thống về an ninh mạng, tổ chức diễn tập ứng phó sự cố, và xây dựng văn hóa an toàn thông tin trong toàn tổ chức được TCVN 14423 đặt lên hàng đầu. Vai trò lãnh đạo trong việc ban hành chính sách nội bộ, phân công rõ trách nhiệm, và quản lý theo quy trình cũng là yêu cầu được tiêu chuẩn đề cập.

Tiêu chuẩn cũng nêu rõ, hệ thống cần ghi chép nhật ký truy cập và sự kiện bảo mật, lưu trữ và bảo vệ thông tin đăng nhập, có quy trình sao lưu dữ liệu và phục hồi sau sự cố. Tiêu chuẩn cũng khuyến khích kiểm định độc lập, thẩm định an ninh mạng từ bên ngoài để đánh giá tính tuân thủ và phát hiện vấn đề khách quan.

Trước sự cố tại CIC, nhiều chuyên gia bảo mật đã đưa ra khuyến nghị cần đẩy mạnh áp dụng TCVN 14423:2025 vào thực tế, nhằm giúp hạn chế thiệt hại và nâng cao phòng thủ dữ liệu.

An Dương