Tìm kiếm

Chương III Quyết định 05/2017/QĐ-TTg: Phương án ứng cứu

Chương III
Phương án ứng cứu
Điều 9. Phân nhóm sự cố an toàn thông tin mạng

Sự cố an toàn thông tin mạng nghiêm trọng là sự cố đáp ứng đồng thời các tiêu chí sau:

1. Hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4, cấp độ 5 hoặc thuộc Danh mục hệ thống thông tin quan trọng quốc gia và bị một trong số các sự cố sau:

a) Hệ thống bị gián đoạn dịch vụ;

b) Dữ liệu tuyệt mật hoặc bí mật nhà nước có khả năng bị tiết lộ;

c) Dữ liệu quan trọng của hệ thống không bảo đảm tính toàn vẹn và không có khả năng khôi phục được;

d) Hệ thống bị mất quyền điều khiển;

đ) Sự cố có khả năng xảy ra trên diện rộng hoặc gây ra các ảnh hưởng dây chuyền, làm tổn hại cho các hệ thống thông tin cấp độ 4 hoặc cấp độ 5 khác.

2. Chủ quản hệ thống thông tin không đủ khả năng tự kiểm soát, xử lý được sự cố.

Điều 10. Hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia

1. Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia là phương án ứng cứu cho sự cố an toàn thông tin mạng nghiêm trọng đáp ứng các tiêu chí tại Điều 9 và hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 5 hoặc, thuộc Danh mục Hệ thống thông tin quan trọng quốc gia.

2. Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội là phương án ứng cứu cho sự cố an toàn thông tin mạng nghiêm trọng đáp ứng các tiêu chí tại Điều 9; hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4 và chủ quản hệ thống thông tin thuộc các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ và các cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội ở trung ương (gọi chung là cơ quan trung ương).

3. Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của địa phương là phương án ứng cứu cho sự cố an toàn thông tin mạng nghiêm trọng đáp ứng các tiêu chí tại Điều 9, hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4 và chủ quản hệ thống thông tin thuộc Ủy ban nhân dân hoặc Tỉnh ủy, Thành ủy các tỉnh, thành phố trực thuộc trung ương quản lý (gọi chung là cơ quan địa phương).

4. Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của doanh nghiệp là phương án ứng cứu cho sự cố an toàn thông tin mạng nghiêm trọng đáp ứng các tiêu chí tại Điều 9, hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4 và chủ quản hệ thống thông tin là doanh nghiệp viễn thông, doanh nghiệp nhà nước có quản lý các hệ thống thông tin từ cấp độ 4 trở lên, hoặc tổ chức, doanh nghiệp có quản lý hệ thống thông tin thuộc Danh mục Hệ thống thông tin quan trọng quốc gia (sau đây gọi chung là doanh nghiệp quản lý hạ tầng thông tin quan trọng).

Điều 11. Báo cáo sự cố an toàn thông tin mạng

1. Báo cáo sự cố an toàn thông tin mạng:

a) Đơn vị vận hành hệ thống thông tin có trách nhiệm báo cáo sự cố tới cơ quan chủ quản, đơn vị chuyên trách ứng cứu sự cố cùng cấp, Cơ quan điều phối quốc gia chậm nhất 5 ngày kể từ khi phát hiện sự cố; trường hợp xác định sự cố có thể vượt khả năng xử lý của mình, đơn vị vận hành hệ thống thông tin phải thực hiện quy trình báo cáo khẩn cấp theo quy định tại khoản 2 đến khoản 5 Điều này ngay khi phát hiện sự cố hoặc xác định sự cố có thể vượt khả năng xử lý của mình.

b) Các tổ chức, cá nhân khi phát hiện dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng cần nhanh chóng thông báo cho đơn vị vận hành hệ thống thông tin, cơ quan chủ quản hệ thống thông tin liên quan, cơ quan điều phối quốc gia và đơn vị chuyên trách ứng cứu sự cố hoặc thành viên mạng lưới ứng cứu sự cố có trách nhiệm liên quan.

2. Báo cáo sự cố phải được thực hiện ngay lập tức và được duy trì trong suốt quá trình ứng cứu sự cố gồm: Báo cáo ban đầu; báo cáo diễn biến tình hình; báo cáo phương án ứng cứu cụ thể; báo cáo xin ý kiến chỉ đạo, chỉ huy; báo cáo đề nghị hỗ trợ, phối hợp; báo cáo kết thúc ứng phó.

3. Hình thức báo cáo bằng công văn, fax, thư điện tử, nhắn tin đa phương tiện hoặc thông qua hệ thống báo cáo, cảnh báo sự cố an toàn mạng quốc gia; mẫu báo cáo theo quy định về điều phối ứng cứu, hoặc theo hướng dẫn của cơ quan điều phối quốc gia.

4. Nội dung báo cáo ban đầu gồm:

a) Tên, địa chỉ Đơn vị vận hành hệ thống thông tin; cơ quan chủ quản hệ thống thông tin; hệ thống thông tin bị sự cố; thời điểm phát hiện sự cố;

b) Đầu mối liên lạc về sự cố của đơn vị vận hành hệ thống bị sự cố: Tên, chức vụ, điện thoại, thư điện tử;

c) Mô tả về sự cố: Loại sự cố, hiện tượng, đánh giá sơ bộ mức độ nguy hại, mức độ lây lan, tác động của sự cố đến hoạt động bình thường của tổ chức;

d) Đơn vị cung cấp dịch vụ hạ tầng công nghệ thông tin, viễn thông;

đ) Liệt kê các biện pháp đã triển khai hoặc dự kiến triển khai để xử lý khắc phục sự cố;

e) Các tổ chức, doanh nghiệp đang hỗ trợ ứng cứu, xử lý và kết quả xử lý sự cố tính đến thời điểm báo cáo;

g) Kết quả ứng cứu sự cố ban đầu;

h) Kiến nghị đề xuất hướng ứng cứu xử lý sự cố (nếu có).

5. Nguyên tắc báo cáo, trao đổi thông tin trong ứng cứu sự cố:

a) Đơn vị vận hành hệ thống thông tin báo cáo Chủ quản hệ thống thông tin, đơn vị chuyên trách ứng cứu sự cố cùng cấp, đồng gửi Cơ quan điều phối quốc gia;

b) Đơn vị chuyên trách ứng cứu sự cố báo cáo Chủ quản hệ thống thông tin, Ban Chỉ đạo cấp trên trực tiếp và Cơ quan điều phối quốc gia;

c) Ban Chỉ đạo cấp bộ, tỉnh và cơ quan điều phối quốc gia báo cáo Cơ quan thường trực và Ban Chỉ đạo quốc gia.

Điều 12. Tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng

1. Đơn vị chuyên trách về ứng cứu sự cố hoặc thành viên mạng lưới ứng cứu sự cố, khi phát hiện sự cố hoặc nhận được thông báo, báo cáo sự cố an toàn thông tin mạng trong phạm vi mình chịu trách nhiệm phải thực hiện:

a) Ghi nhận, tiếp nhận thông báo, báo cáo sự cố an toàn thông tin mạng theo đúng quy trình;

b) Thông báo ngay thông tin sự cố đến Cơ quan điều phối quốc gia, đơn vị vận hành hệ thống thông tin, cơ quan chủ quản hệ thống thông tin và các cơ quan chức năng liên quan;

c) Phản hồi cho tổ chức, cá nhân gửi thông báo, báo cáo ban đầu ngay sau khi nhận được để xác nhận về việc đã nhận được thông báo, báo cáo sự cố;

d) Thẩm tra, xác minh và phân loại sự cố an toàn thông tin mạng để lựa chọn phương án ứng cứu phù hợp hoặc đề xuất với Ban chỉ đạo cấp trên trực tiếp và cơ quan điều phối quốc gia trong trường hợp vượt thẩm quyền;

đ) Chủ động hỗ trợ đơn vị vận hành hệ thống thông tin ứng cứu, xử lý sự cố trong khả năng và trách nhiệm của mình;

e) Giám sát diễn biến tình hình ứng cứu sự cố và báo cáo Ban Chỉ đạo cấp trên trực tiếp và cơ quan điều phối quốc gia; đề xuất, xin ý kiến chỉ đạo trong trường hợp không thuộc thẩm quyền, phạm vi trách nhiệm của mình hoặc vượt khả năng xử lý của mình;

g) Tổng hợp báo cáo Cơ quan điều phối quốc gia theo định kỳ 6 tháng một lần và báo cáo đột xuất khi được yêu cầu.

2. Cơ quan điều phối quốc gia có trách nhiệm:

a) Công khai trên trang tin điện tử của mình số điện thoại, số fax và email đường dây nóng và bảo đảm nguồn lực để duy trì trực đường dây nóng liên tục để kịp thời tiếp nhận và xử lý sự cố;

b) Ghi nhận, tiếp nhận thông báo, báo cáo sự cố an toàn thông tin mạng theo đúng quy trình;

c) Phản hồi cho tổ chức, cá nhân gửi thông báo, báo cáo ban đầu ngay sau khi nhận được để xác nhận về việc đã nhận được thông báo, báo cáo sự cố;

d) Cung cấp đầu mối liên lạc riêng đối với sự cố nghiêm trọng;

đ) Thẩm tra, xác minh và phân loại sự cố để thực hiện các cảnh báo, điều phối lựa chọn phương án, tổ chức ứng cứu và báo cáo; đề xuất với Cơ quan thường trực quyết định sự cố nghiêm trọng và phương án ứng cứu khẩn cấp phù hợp; báo cáo, đề xuất với Cơ quan thường trực và Ban Chỉ đạo quốc gia các vấn đề vượt thẩm quyền;

e) Tổ chức hoạt động phối hợp với các tổ chức ứng cứu sự cố mạng quốc tế để tiếp nhận các cảnh báo sớm, thông tin về sự cố, nguy cơ về mất an toàn thông tin mạng và phối hợp ứng cứu sự cố, tấn công xuyên biên giới;

g) Thực hiện các trách nhiệm khác của Cơ quan điều phối quốc gia.

3. Đơn vị vận hành hệ thống thông tin khi phát hiện hoặc nhận được thông báo sự cố đối với hệ thống thông tin do mình quản lý, phải thực hiện:

a) Ghi nhận, tiếp nhận thông báo, báo cáo sự cố và tập hợp các thông tin liên quan theo đúng quy trình;

b) Phản hồi cho tổ chức, cá nhân gửi thông báo, báo cáo ban đầu ngay sau khi nhận được để xác nhận về việc đã nhận được thông báo, báo cáo sự cố;

c) Chủ trì, phối hợp cùng đơn vị cung cấp dịch vụ an toàn thông tin mạng (nếu có) và các đơn vị chức năng liên quan tiến hành phân tích, xác minh, đánh giá tình hình, sơ bộ phân loại sự cố và triển khai ngay các hoạt động ứng cứu sự cố và báo cáo theo quy định;

d) Báo cáo về sự cố, diễn biến tình hình ứng cứu sự cố, đề xuất hỗ trợ ứng cứu sự cố hoặc nâng cấp nghiêm trọng của sự cố (khi cần) cho chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia và đơn vị chuyên trách ứng cứu sự cố cùng cấp.

Điều 13. Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường

Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường theo các văn bản hướng dẫn, quy định của Bộ Thông tin và Truyền thông và Cơ quan điều phối quốc gia.

Điều 14. Quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng

Quy trình ứng cứu khẩn cấp sự cố an toàn thông tin mạng nghiêm trọng sau đây được sử dụng chung cho cả bốn phương án ứng cứu khẩn cấp nêu trong Điều 10 Quyết định này, cụ thể bao gồm các bước sau:

1. Phát hiện hoặc tiếp nhận sự cố

Đơn vị chủ trì: Đơn vị vận hành hệ thống thông tin; Cơ quan điều phối quốc gia.

Đơn vị phối hợp: Đơn vị chuyên trách về ứng cứu sự cố; Chủ quản hệ thống thông tin.

Nội dung thực hiện: Đơn vị vận hành hệ thống thông tin chịu trách nhiệm liên tục theo dõi, phát hiện các tấn công, sự cố đối với hệ thống mình được giao quản lý, vận hành. Cơ quan điều phối quốc gia là đơn vị đầu mối tổ chức các hoạt động theo dõi, giám sát, phát hiện các sự cố và tiếp nhận thông báo về sự cố an toàn thông tin mạng từ các nguồn khác nhau.

2. Xác minh, phân tích, đánh giá và phân loại sự cố

Đơn vị chủ trì: Cơ quan điều phối quốc gia.

Đơn vị phối hợp: Chủ quản hệ thống thông tin; Đơn vị chuyên trách về ứng cứu sự cố; Đơn vị vận hành hệ thống thông tin.

Nội dung thực hiện:

a) Cơ quan điều phối quốc gia phối hợp cùng chủ quản hệ thống thông tin (hoặc đơn vị được ủy quyền như đơn vị chuyên trách về ứng cứu sự cố hoặc đơn vị vận hành hệ thống thông tin) xác minh sự cố bao gồm các thông tin sau: Tình trạng sự cố; mức độ sự cố; phạm vi ảnh hưởng của sự cố; đối tượng, địa điểm xảy ra sự cố.

b) Sau khi xác minh được sự cố, Cơ quan điều phối quốc gia có trách nhiệm phân loại sự cố và triển khai tiếp như sau:

- Trường hợp sự cố được phân loại thông thường (không đạt các tiêu chí quy định tại Điều 9 Quyết định này) thì Cơ quan điều phối quốc gia thông báo cho các bên liên quan để tiếp tục triển khai theo phương án ứng cứu sự cố an toàn thông tin mạng thông thường;

- Trường hợp sự cố được phân loại nghiêm trọng (đạt các tiêu chí quy định tại Điều 9 Quyết định này) thì Cơ quan điều phối quốc gia báo cáo Cơ quan thường trực về sự cố nghiêm trọng cùng với các đề xuất: Phương án ứng cứu; các đơn vị tham gia lực lượng ứng cứu; nguồn lực cần thiết để ứng cứu sự cố; dự kiến triệu tập bộ phận tác nghiệp ứng cứu khẩn cấp và thực hiện tiếp theo khoản 3 Điều này.

3. Cơ quan thường trực quyết định lựa chọn phương án và triệu tập các thành viên của bộ phận tác nghiệp ứng cứu khẩn cấp.

Đơn vị chủ trì: Cơ quan thường trực.

Nội dung thực hiện:

a) Cơ quan thường trực căn cứ theo báo cáo của Cơ quan điều phối quốc gia xem xét quyết định lựa chọn phương án ứng cứu khẩn cấp quốc gia và triệu tập bộ phạn tác nghiệp ứng cứu khẩn cấp để ứng cứu, xử lý sự cố. Tùy theo tình hình thực tế, bộ phận tác nghiệp ứng cứu khẩn cấp được huy động từ số các đơn vị theo quy định tại Điều 8 Quyết định này phù hợp với phương án ứng cứu được lựa chọn và đặc thú của sự cố.

b) Nguyên tắc phân công nhiệm vụ triển khai các biện pháp ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia như sau:

- Chỉ đạo điều hành hoạt động ứng cứu và giám sát cơ chế phối hợp, chia sẻ thông tin: Bộ Thông tin và Truyền thông, Ban điều phối ứng cứu quốc gia;

- Thu thập, tổng hợp thông tin và chia sẻ, báo cáo: Cơ quan điều phối quốc gia, chủ quản hệ thống thông tin (qua đơn vị vận hành hệ thống thông tin và đơn vị chuyên trách ứng cứu sự cố);

- Phân tích thông tin: Cơ quan điều phối quốc gia, đơn vị vận hành hệ thống thông tin, đơn vị chuyên trách ứng cứu sự cố và các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp;

- Ngăn chặn, xử lý sự cố: Đơn vị vận hành hệ thống thông tin, đơn vị chuyên trách ứng cứu sự cố, Cơ quan điều phối quốc gia và các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp;

- Khắc phục, gỡ bỏ, khôi phục dữ liệu và hoạt động bình thường: Chủ quản hệ thống thông tin, các đơn vị được chủ quản hệ thống thông tin lựa chọn;

- Xử lý hậu quả: Chủ quản hệ thống thông tin, các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp;

- Công bố và xử lý khủng hoảng thông tin: Cơ quan thường trực, Cơ quan điều phối quốc gia.

4. Triển khai phương án ứng cứu ban đầu

Đơn vị chủ trì: Cơ quan điều phối quốc gia, Chủ quản hệ thống thông tin.

Nội dung thực hiện: Cơ quan điều phối quốc gia nhanh chóng phối hợp với chủ quản hệ thống thông tin tiến hành ngay các biện pháp ứng cứu ban đầu, bao gồm:

a) Xác định phạm vi, đối tượng, mục tiêu cần ứng cứu:

- Các sự cố liên quan đã xảy ra;

- Đối tượng đang bị ảnh hưởng;

- Phạm vi bị ảnh hưởng;

- Các mục tiêu ưu tiên trong khắc phục sự cố (khôi phục hoạt động, bảo đảm bí mật dữ liệu; bảo đảm tính toàn vẹn dữ liệu);

- Diễn biến tình hình và phương thức thủ đoạn tấn công;

- Dự đoán các diễn biến tiếp theo có thể xảy ra.

b) Điều phối các hoạt động ứng cứu ban đầu: Cơ quan thường trực chỉ đạo Cơ quan điều phối quốc gia thực hiện điều phối và chia sẻ thông tin, tài liệu liên quan đến tình huống ứng cứu cho các thành viên tham gia theo chức năng, nhiệm vụ được giao.

c) Cảnh báo sự cố trên mạng lưới ứng cứu quốc gia: Cơ quan điều phối quốc gia thực hiện cảnh báo cho các thành viên mạng lưới và các đối tượng có liên quan hoặc có khả năng xảy ra các sự cố tương tự.

d) Tiến hành các biện pháp khôi phục tạm thời:

Căn cứ vào mục tiêu được ưu tiên trong khắc phục sự cố, Chủ quản hệ thống thông tin phối hợp với Cơ quan điều phối quốc gia, các nhà cung cấp dịch vụ và các cơ quan chức năng khác tiến hành khôi phục một số hoạt động, dữ liệu hoặc kết nối cần thiết nhất để giảm thiểu thiệt hại đối với hệ thống thông tin, ảnh hưởng uy tín của cơ quan chủ quản, quản lý hệ thống hoặc gây ảnh hưởng xấu tới xã hội.

Chủ quản hệ thống thông tin phải phối hợp chặt chẽ, cung cấp đầy đủ thông tin để Cơ quan điều phối quốc gia thực hiện giám sát, theo dõi quá trình phục hồi và các tấn công, ảnh hưởng trong thời gian chưa khắc phục triệt để sự cố.

đ) Xử lý hậu quả ban đầu: Chủ quản hệ thống thông tin cần nhanh chóng tiến hành các biện pháp khắc phục khẩn cấp các hậu quả, thiệt hại do tấn công mạng gây ra làm ảnh hưởng đến người dân, xã hội, cơ quan, tổ chức khác theo yêu cầu của Cơ quan thường trực.

e) Ngăn chặn, xử lý các hành vi đã được phát hiện: Cơ quan thường trực điều phối hoặc chỉ đạo Cơ quan điều phối quốc gia thực hiện điều phối các cơ quan chức năng triển khai hỗ trợ phát hiện và xử lý các nguồn phát tán tấn công, ngăn chặn các tấn công từ bên ngoài vào hệ thống thông tin bị sự cố. Cơ quan thường trực cung cấp hoặc chỉ đạo cung cấp các thông tin, chứng cứ liên quan đến các hành vi vi phạm pháp luật có yếu tố cấu thành tội phạm (nếu có) để các cơ quan chức năng thuộc Bộ Công an tiến hành điều tra, xác minh và ngăn chặn tội phạm.

5. Triển khai phương án ứng cứu khẩn cấp

a) Chỉ đạo xử lý sự cố

Đơn vị chủ trì: Cơ quan thường trực, Ban Chỉ đạo ứng cứa sự cố cấp bộ, tỉnh.

Nội dung thực hiện: Căn cứ theo phương án ứng cứu được lựa chọn, Cơ quan thường trực chỉ đạo chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia, bộ phận tác nghiệp ứng cứu sự cố triển khai công tác ứng cứu, xử lý sự cố. Trong quá trình ứng cứu, tùy thuộc vào diễn biến tình hình thực tế, Cơ quan thường trực có thể quyết định bổ sung thành phần tham gia tác nghiệp ứng cứu khẩn cấp.

b) Điều phối công tác ứng cứu

Đơn vị chủ trì: Ban điều phối ứng cứu quốc gia, Cơ quan điều phối quốc gia.

Nội dung thực hiện: Căn cứ theo phương án ứng cứu được lựa chọn, Ban Điều phối ứng cứu quốc gia hoặc Cơ quan điều phối quốc gia thực hiện công tác điều phối ứng cứu theo chức năng nhiệm vụ của mình và giám sát cơ chế phối hợp, chia sẻ thông tin.

c) Phát ngôn và công bố thông tin

Cơ quan thường trực chịu trách nhiệm chỉ định người phát ngôn, cung cấp thông tin; quyết định địa điểm, nội dung, thời điểm phát ngôn, cung cấp thông tin cho các cơ quan thông tin đại chúng, các cá nhân và tổ chức có liên quan đến sự cố.

d) Thu thập thông tin

Đơn vị chủ trì: Cơ quan điều phối quốc gia, chủ quản hệ thống thông tin.

Nội dung thực hiện: Căn cứ theo yêu cầu cung cấp thông tin cho các đơn vị thuộc thành phần tác nghiệp ứng cứu khẩn cấp, cơ quan điều phối quốc gia cùng chủ quản hệ thống thông tin phối hợp tiến hành thu thập, tổng hợp và chia sẻ, cung cấp thông tin.

đ) Phân tích, giám sát tình hình liên quan sự cố

Cơ quan điều phối quốc gia chủ trì, phối hợp với chủ quản hệ thống thông tin thực hiện giám sát liên tục diễn biến sự cố và thông báo, cập nhật đến các đơn vị trong bộ phận tác nghiệp ứng cứu khẩn cấp.

Các đơn vị thuộc bộ phận tác nghiệp ứng cứu khẩn cấp dựa trên các thông tin thu thập được, sử dụng các nguồn lực, phương tiện và các quy trình nghiệp vụ của mình để tiến hành phân tích sự cố. Kết quả phân tích sự cố được báo cáo Cơ quan thường trực, Cơ quan điều phối quốc gia và chia sẻ trong bộ phận tác nghiệp ứng cứu khẩn cấp để phục vụ ứng cứu, khắc phục sự cố.

e) Khắc phục sự cố, gỡ bỏ mã độc

Đơn vị chủ trì: Chủ quản hệ thống thông tin.

Đơn vị phối hợp: Cơ quan điều phối quốc gia, các đơn vị khác thuộc Bộ phận tác nghiệp ứng cứu khẩn cấp.

Nội dung thực hiện:

- Sao lưu hệ thống trước và sau khi xử lý sự cố;

- Tiêu diệt các mã độc, phần mềm độc hại;

- Khôi phục hệ thống, dữ liệu và kết nối;

- Cấu hình hệ thống an toàn;

- Kiểm tra thử toàn bộ hệ thống sau khi khắc phục sự cố;

- Khắc phục các điểm yếu an toàn thông tin;

- Bổ sung các thiết bị, phần cứng, phần mềm bảo đảm an toàn thông tin cho hệ thống;

- Triển khai theo dõi, giám sát, ngăn chặn khả năng lặp lại sự cố hoặc xảy ra các sự cố tương tự.

g) Ngăn chặn, xử lý hậu quả

Chủ quản hệ thống thông tin có trách nhiệm xử lý các hậu quả do sự cố hệ thống thông tin của mình gây ra ảnh hưởng đến người dân, cơ quan, tổ chức khác.

Các đơn vị thuộc thành phần tham gia tác nghiệp ứng cứu khẩn cấp, dựa trên các kết quả phân tích, điều tra, sử dụng các nguồn lực, phương tiện và nghiệp vụ của mình để tiến hành ngăn chặn các hành vi gây ra sự cố và hỗ trợ xử lý hậu quả.

h) Xác minh nguyên nhân và truy tìm nguồn gốc

Các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp sau khi phân tích sự cố, tham khảo các kết quả phân tích sự cố của các đơn vị khác, sử dụng các nguồn tin và quy trình nghiệp vụ của mình, chủ động điều tra chi tiết nguyên nhân và truy tìm nguồn gốc, gửi Cơ quan thường trực, Cơ quan điều phối quốc gia để tổng hợp, xác minh, báo cáo Ban Chỉ đạo quốc gia các thông tin liên quan, cụ thể bao gồm:

- Đối tượng bị tấn công;

- Phương thức thủ đoạn tấn công (quy trình, kỹ thuật, mẫu mã đọc, phần mềm độc hại);

- Thời gian tấn công;

- Các thiệt hại đã xảy ra;

- Đối tượng tấn công;

- Dự đoán khả năng xảy ra các tấn công tương tự và thiệt hại.

6. Đánh giá kết quả triển khai phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia

Đơn vị chủ trỉ: Ban Chỉ đạo quốc gia

Nội dung thực hiện: Cơ quan thường trực tổng hợp toàn bộ các báo cáo phân tích có liên quan đến triển khai phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia để báo cáo với Ban Chỉ đạo quốc gia và họp phân tích nguyên nhân, rút kinh nghiệm trong hoạt động xử lý sự cố và đề xuất các biện pháp bổ sung cho các sự cố tương tự.

7. Kết thúc

Đơn vị chủ trì: Cơ quan điều phối quốc gia

Đơn vị phối hợp: Chủ quản hệ thống thông tin, các đơn vị thuộc Bộ phận tác nghiệp ứng cứu khẩn cấp.

Nội dung thực hiện: Cơ quan điều phối quốc gia căn cứ kết quả đánh giá của Ban Chỉ đạo quốc gia sẽ thực hiện hoàn tất các nhiệm vụ sau, kết thúc hoạt động ứng cứu sự cố khẩn cấp:

- Lưu hồ sơ, tài liệu lưu trữ;

- Xây dựng, đúc rút các bài học, kinh nghiệm;

- Đề xuất các kiến nghị về kỹ thuật, chính sách để hạn chế thiệt hại khi xảy ra các tấn công tương tự;

- Báo cáo cơ quan cấp trên, tổ chức họp báo hoặc gửi thông tin cho truyền thông nếu cần thiết.

Chapter III

RESPONSE PLANS

Article 9. Classification of cyberinformation security incidents

Cyberinformation security incidents are considered as serious incidents when they meet all of the following criteria:

1. The compromised information system is the grade-4 or grade-5 information system or on the List of national important information systems and encounters one of the following problems:

a) The system is interrupted;

b) The top-secret data or the state secrets may be revealed;

c) The integrity of the important data of the information system is damaged and the recovery of such important data is impossible;

d) The right to control the information system is seized;

dd) The incident may occur on a large scale or cause a line of adverse impacts or harms to other grade-4 or grade-5 information systems.

2. The managing body of the information system is incapable of controlling or responding to the incident.

Article 10. Emergency response plans to ensure national cyberinformation security

1. A national emergency response plan to ensure cyberinformation security is a plan for response to a serious cyberinformation security incident that meets the criteria mentioned in Article 9 and the compromised information system is the grade-5 one or on the List of national important information systems.

2. Emergency response plans to ensure cyberinformation security of state agencies, political organizations or socio-political organizations are the plans for response to serious cyberinformation security incidents that meet the criteria stated in Article 9; the compromised information systems are the grade-4 ones and the managing bodies of the compromised information systems are affiliated to ministries, ministerial-level agencies, the Government's affiliates, state agencies, political organizations or socio-political organizations (hereinafter referred to as “central-level agencies”).

3. Provincial emergency response plans to ensure cyberinformation security are the plans for response to serious cyberinformation security incidents that meet the criteria stated in Article 9, in which, the compromised information systems are the grade-4 ones and the managing bodies of the compromised information systems are affiliated to People’s Committees or Provincial or City Committees of the Communist Party of provinces or central-affiliated cities (hereinafter referred to as “provincial agencies”).

4. Emergency response plans to ensure cyberinformation security of enterprises are the plans for response to serious cyberinformation security incidents that meet the criteria stated in Article 9, in which, the compromised information systems are the grade-4 ones and the managing bodies of the compromised information systems are telecommunications enterprises, state-owned enterprises managing information systems of grade 4 or higher, or any organizations or enterprises managing information systems on the List of national important information systems (hereinafter referred to as enterprises managing important information infrastructures).

Article 11. Cyberinformation security incident report

1. Reporting cyberinformation security incidents:

a) The information system operating unit shall be responsible for reporting the incident to the managing body, the specialized incident response unit of same level, and the National Coordination Center within 05 days from the detection of the incident; if the information system operating unit defines that the incident may be out of its control, it must carry out the emergency report procedures stated in Clause 2-5 of this Article immediately when the incident is detected or it determined that such incident is out of its control.

b) When detecting any signs of cyber attack or cyberinformation security incident, organizations or individuals should promptly report it to the information system operating unit, the managing bodies relevant information systems, the National Coordination Center and specialized incident response unit or relevant member(s) of the Incident Response Network.

2. Reports on the incident must be made immediately and maintained during the incident response, including: Incident initial report; incident follow-up reports; report on detailed response plan; report to ask for directions; report to ask for support or cooperation; incident final report.

3. Reports may be submitted in the form of official dispatch, by fax, email, MMS (multimedia messaging service) or via the national cyber security incident warning system; templates of reports shall follow regulations on response coordination or guidance by the National Coordination Center.

4. Contents of the incident initial report:

a) Name and address of the information system operating unit; the managing body of the information system; the compromised information system; time of detecting the incident;

b) Personnel in charge of the incident of the operating unit of the compromised information system: Name, position, phone number and email address;

c) Description of the incident: Type of incident, symptoms, preliminary assessment of the severity, spread and impacts of the incident on normal operations of the organization;

d) Provider of information technology/ telecommunications infrastructure services;

dd) List of response actions which have been taken or are being taken to handle the incident;

e) Organizations and/or enterprises supporting or cooperating in incident response, and handling results up to the reporting time;

g) Initial response results;

h) Recommendations for further incident response actions (if any).

5. Principles for reporting and exchanging information involving in incident response:

a) The information system operating unit shall send reports to the managing body of the compromised information system, the specialized incident response unit of the same level and the National Coordination Center;

b) The specialized incident response unit shall send reports to the managing body of the compromised information system, the Steering Committee of higher level and the National Coordination Center;

c) Ministerial- or Provincial-level Steering Committees and the National Coordination Center shall send reports to the Standing Committee and the NSC.

Article 12. Receipt, detection, classification and initial response to cyberinformation security incident

1. Upon the detection or receipt of notification/ report on a cyberinformation security incident within the scope of its management, the specialized incident response unit or the member of the Incident Response Network must:

a) Record or receive the notification or report on the cyberinformation security incident according to process;

b) Promptly notify the incident-related information to the National Coordination Center, the operating unit and the managing unit of the compromised information system and relevant regulatory authorities;

c) Respond to the sender of the incident notification or the incident initial report immediately when receiving it for confirmation purpose;

d) Verify and classify the cyberinformation security incident to select an appropriate response plan or propose the response plan to the Steering Committee of higher level and the National Coordination Center in case the incident occurs out of its control;

dd) Actively give assistance to the operating unit of the compromised information system in responding or handling the incident within the scope of its capacity and responsibility;

e) Supervise the incident response actions and send reports thereof to the Steering Committee of higher level and the National Coordination Center; propose or ask for instructions in case the incident is out of the scope of its competence and responsibility or out of its control;

g) Send periodic reports to the National Coordination Center every 6 months and irregular reports as requested.

2. The National Coordination Center shall assume responsibility to:

a) Publish its phone number, fax number, email address and hotline number on its website, and arrange sufficient staff to maintain the uninterrupted operation of hotline services to receive and respond to incidents;

b) Record or receive the notification or report on the cyberinformation security incident according to process;

c) Respond to the sender of the incident notification or the incident initial report immediately when receiving it for confirmation purpose;

d) Arrange specific staff in charge of communication works in serious incident;

dd) Verify and classify the incident to provide appropriate warnings, coordinate the selection of response plan, organize response activities and prepare reports; request the Standing Committee to make decision on the serious incident and appropriate emergency response plans; report the Standing Committee and the NSC on issues beyond its competence;

e) Organize the cooperation activities with international cyberinformation incident response organizations to receive warnings or information about the cyberinformation security incidents or risks, and cooperate in responding to cross-border incidents or attacks;

g) Fulfill other duties of the National Coordination Center.

3. The information system operating unit, when detecting or receiving the notification of the incident involved in its information system, must:

a) Record or receive the notification or report on the incident and collect information concerning the incident according to process;

b) Respond to the sender of the incident notification or the incident initial report immediately when receiving it for confirmation purpose;

c) Take charge and cooperate with cyberinformation security service providers (if any) and relevant regulatory authorities in performing analysis, verification, preliminary assessment and classification of the incident, conducting incident response actions and reporting in accordance with regulations;

d) Send reports on the incident and response actions, and requests for assistance in responding to the incident or re-assessment of the severity of the incident (where necessary) to the managing body of the compromised information system, the National Coordination Center and specialized incident response unit of the same level.

Article 13. Procedures for response to normal cyberinformation security incidents

Procedures for response to normal cyberinformation security incidents shall be performed in accordance with written guidance or regulations of Ministry of Information and Communications and the National Coordination Center.

Article 14. Procedures for response to serious cyberinformation security incidents

The following procedure for emergency response to serious cyberinformation security incidents shall be applied to the four emergency response plans stated in Article 10 herein. It includes the following steps:

1. Detection of the incident or receipt of incident report

Unit in charge: The information system operating unit; the National Coordination Center.

Coordinating units: The specialized incident response unit; the managing body of the compromised information system.

Working contents: The information system operating unit shall continuously monitor and detect sources of attacks and the incident occurring on the information system under its management. The National Coordination Center shall take charge of organizing activities of monitoring and detecting incidents, and receiving notifications of cyberinformation security incidents from various sources.

2. Verification, analysis, assessment and classification of the incident

Unit in charge: The National Coordination Center.

Coordinating units: The managing body of the compromised information system; specialized incident response units; the information system operating unit. Working contents:

a) The National Coordination Center shall cooperate with the managing body of the compromised information system (or its authorized unit such as the specialized incident response unit or the information system operating unit) to verify the incident in terms of: The incident status; the severity of incident; the extent of incident impact; target and location of the incident.

b) After the incident is verified, the National Coordination Center shall classify the incident and perform the following works:

- If the incident is classified as a normal incident (it fails to meet the criteria mentioned in Article 9 herein), the National Coordination Center shall notify the incident classification result to relevant parties so as to develop the procedure for response to a normal cyberinformation security incident;

- If the incident is classified as a serious incident (it meets the criteria mentioned in Article 9 herein), the National Coordination Center shall notify the incident classification result to the Standing Committee with the following recommendations: Response plan; units participating in the response plan; resources necessary to respond to the incident; plan for convening the Emergency Response Operations Division and performance of works stated in the following Clause 3 of this Article.

3. The Standing Committee’s decision on selection of response plan and members of the Emergency Response Operations Division.

Unit in charge: The Standing Committee.

Working contents:

a) The Standing Committee shall make decision on selection of the emergency response plan and members of the Emergency Response Operations Division according to the report made by the National Coordination Center. Based on the actual situation, the Emergency Response Operations Division is comprised of the units prescribed in Article 8 herein in conformity with the selected response plan and particulars of the incident.

b) Principles for assigning duties of the emergency response plan to ensure national cyberinformation security:

- Managing response actions and supervising cooperation and information sharing activities: Ministry of Information and Communications, the National Response Coordinating Board;

- Collecting information and sharing, reporting: The National Coordination Center, the managing body of the compromised information system (via the information system operating unit and the specialized incident response unit);

- Analyzing information: The National Coordination Center, the information system operating unit, the specialized incident response unit and members of the Emergency Response Operations Division;

- Preventing and handling incident: The information system operating unit, the specialized incident response unit, the National Coordination Center and members of the Emergency Response Operations Division;

- Remedying, removing and restoring data and normal activities: The managing body of the information system and its authorized units;

- Handling consequences: The managing body of the information system and members of the Emergency Response Operations Division;

- Publishing and handling information crisis: The Standing Committee and the National Coordination Center.

4. Implementation of initial response plan

Unit in charge: The National Coordination Center, the managing body of the compromised information system.

Working contents: The National Coordination Center shall cooperate with the managing body of the compromised information system to immediately perform initial response actions, consisting of:

a) Determination of the scope, objects and targets requiring response actions:

- Relevant incidents occurred;

- Affected objects;

- Scope of incident impact;

- Targets prioritized in the response plan (restore operation, ensure the data confidentiality; ensure the integrity);

- Developments and methods/ strategies of attack;

- Foreseen developments that may occur.

b) Coordination of initial response actions: The Standing Committee shall direct the National Coordination Center to coordinate and share information and documents related to the incident to members of the response plan according to their assigned functions and duties.

c) Warning of the incident on the incident response network: The National Coordination Center shall give warnings of the incident to members of the Incident Response Network and relevant entities or those may face similar incidents.

d) Implementation of temporary recovery measures:

Based on prioritized targets in incident response plan, the managing body of the compromised information system shall cooperate with the National Coordination Center, relevant service providers and other regulatory authorities to recover the most necessary functions, data or connections to minimize damage to the information system, or the prestige of the managing body of the information system as well as mitigate the adverse influence on the society, if any.

The managing body of the information system must closely cooperate with and provide sufficient information to the National Coordination Center in order to supervise and monitor the recovery process and attacks or effects while the incident is still not yet handled thoroughly.

dd) First steps for dealing with consequences: The managing body of the information system should promptly emergency measures to deal with consequences or damage of cyberattacks which cause adverse impacts on the people, society, other authorities and/or organizations at the request of the Standing Committee.

e) Prevention and control of detected attack attempts: The Standing Committee shall coordinate or instruct the National Coordination Center to coordinate relevant regulatory authorities to perform actions to detect and handle sources of attacks and prevent external attacks against the compromised information system. The Standing Committee shall provide or instruct the provision of information and/or evidence relating illegal acts having constituents of a crime (if any) to regulatory authorities affiliated to the Ministry of Public Security so that they can investigate, verify and prevent crimes.

5. Implementing the emergency response plan

a) Directing incident response actions

Unit in charge: The Standing Committee, the Ministerial- or Provincial-level Steering Committees on emergency response to cyberinformation security incidents.

Working contents: Based on the selected response plan, the Standing Committee shall direct the managing body of the compromised information system, the National Coordination Center and the Emergency Response Operations Division to perform duties of the response plan. During the implementation of the response plan, the Standing Committee may, depending on the actual developments of the incident, make decisions on selection of additional members to the Emergency Response Operations Division.

b) Coordinating response actions

Unit in charge: The National Response Coordinating Board, the National Coordination Center.

Working contents: Based on the selected response plan, the National Response Coordinating Board or the National Coordination Center shall coordinate response actions within the ambit of assigned functions and duties and supervise the cooperation and information sharing activities.

c) Statements and information disclosure

The Standing Committee shall assume responsibility to appoint spokespersons to declare statements and provide related information; make decision on location, contents and time of declaring statements and providing related information to mass media agencies, individuals and organizations involved in the incident.

d) Information collection

Unit in charge: The National Coordination Center, the managing body of the information system. Working contents: Based on requests for information submitted by members of the Emergency Response Operations Division, the National Coordination Center shall cooperate with the managing body of the information system to collect, gather and provide information as requested.

dd) Analysis and supervision of incident-related issues

The National Coordination Center shall take charge and cooperate with the managing body of the information system to conduct continuous supervision of incident developments and send notices thereof to the members of the Emergency Response Operations Division.

Members of the Emergency Response Operations Division shall base on obtained information, resources and facilities and adopt operational procedures to analyze the incident. Results of the analysis of incident shall be reported to the Standing Committee and the National Coordination Center, and shared among members of the Emergency Response Operations Division so as to effectively handle the incident.

e) Handling of incident and malware removal

Unit in charge: The managing body of the information system

Coordinating units: The National Coordination Center, other members of the Emergency Response Operations Division. Working contents:

- Back up the system prior to and after implementing actions to handle the incident;

- Delete malcode or malware;

- Restore the system, data and connections;

- Configure security systems;

- Test the entire system after completing incident response actions;

- Handle information security vulnerabilities;

- Supplement or replace equipment, hardware and software to ensure information security of the system;

- Monitor, supervise and prevent the incident or similar incidents from occurring in the future.

g) Prevention and handling of impacts

The managing body of the information system is responsible for handling the negative impacts of the incident on the people, and other authorities and organizations.

Based on results of analysis of the incident, members of the Emergency Response Operations Division shall use their available resources, facilities and operational techniques to prevent acts that may cause security incidents and assist in handling impacts of the incident.

h) Finding out and verifying the causes of incident

After completing the analysis of incident or consulting results of analysis of incident provided by other units, members of the Emergency Response Operations Division shall take advantage of available information and implement their operational procedures to find out the root causes of the incident, and send report thereof to the Standing Committee/ the National Coordination Center so as to verify and send consolidated report thereof to the NSC with the following contents:

- Targets of security attacks;

- Attack methods/ strategies (processes, techniques, malcode or malware);

- Time of attack;

- Damage suffered;

- Attackers;

- Predicted similar attack activities and potential damage.

6. Assessing results of the emergency response plan to ensure national cyberinformation security

Unit in charge: The National Steering Committee (NSC)

Working contents: The Standing Committee shall consolidate reports on analytical activities relating the emergency response plan to ensure national cyberinformation security so as to report to the NSC and organize a meeting for analyzing the causes of the incident and learning experience in incident response and propose appropriate measures for dealing with similar incidents.

7. Finalization of response actions

Unit in charge: The National Coordination Center

Coordinating units: The managing body of the information system, and members of the Emergency Response Operations Division. Working contents: The National Coordination Center shall base on the assessment results of the NSC to fulfill the following duties and finalize the emergency response actions:

- Store relevant documents and records;

- Prepare teachings of experience;

- Propose recommendations on techniques and/or policies to minimize damage caused by similar attack activities;

- Send reports to the authorities of higher level, organize press conferences or provide information to mass media agencies, where necessary.

1 14 lượt xem
Trang trước
Chia sẻ
Trang sau