Tìm kiếm

Chương III Thông tư 20/2017/TT-BTTTT: Hoạt động điều phối, ứng cứu sự cố

Chương III
Hoạt động điều phối, ứng cứu sự cố
Điều 8. Hoạt động điều phối ứng cứu sự cố

1. Điều phối ứng cứu sự cố là hoạt động của Cơ quan điều phối quốc gia và cơ quan có thẩm quyền nhằm huy động, điều hành, phối hợp thống nhất các nguồn lực gm: nhân lực, vật lực (trang thiết bị), tài lực (tài chính, ngân sách) để phòng ngừa, theo dõi, thu thập, phát hiện, cảnh báo sự cố; tiếp nhận, phân tích xác minh, phân loại sự cố; điều hành, phối hợp, tổ chức ứng cứu sự cố, sẵn sàng ứng phó, khắc phục sự cố nhằm giảm thiểu các rủi ro, thiệt hại do sự cố gây ra.

2. Cơ quan điều phối quốc gia thực hiện chức năng cảnh báo, điều phối ứng cứu sự cố trên toàn quốc; có quyền huy động, điều phối các thành viên mạng lưới ứng cứu sự cố và các tổ chức, đơn vị liên quan phối hợp ngăn chặn, xử lý, khắc phục sự cố trên toàn quốc; ban hành và chịu trách nhiệm về các lệnh/yêu cầu điều phối theo Biểu mẫu số 06 ban hành kèm theo Thông tư này;

3. Các tác nghiệp của hoạt động điều phối ứng cứu sự cố:

a) Theo dõi, phân tích, phát hiện, cảnh báo các nguy cơ, đe dọa, lỗ hổng, sự cố, tấn công mạng và các giải pháp phòng ngừa sự cố;

b) Xây dựng, đề xuất phương án, kế hoạch ứng phó với sự cố;

c) Tổ chức huấn luyện, diễn tập ứng cứu sự cố, bảo đảm an toàn thông tin mạng;

d) Điều hành, huy động các nguồn lực để ứng cứu sự cố theo thẩm quyền; cung cấp các hỗ trợ kỹ thuật và thực hiện các biện pháp để đối phó, phòng chống tn công mạng;

đ) Điều tra, phân tích, xác định nguồn gốc, cách thức, phương pháp tấn công đ đối phó, ngăn chặn, đồng thời cảnh báo và hướng dẫn để ngăn ngừa sự cố lây lan diện rộng; thu thập, xây dựng báo cáo tổng hợp sự cố;

e) Chia sẻ, trao đổi, cung cấp thông tin giữa các cơ quan, tổ chức có trách nhiệm liên quan về ứng cứu sự cố, hoạt động điều phối ứng cứu sự cố và quá trình xử lý sự cố;

g) Các hoạt động khác liên quan đến ứng cứu sự cố theo quyết định Bộ Thông tin và Truyền thông.

4. Hình thức trao đổi thông tin về điều phối ứng cứu sự cố được thực hiện bằng một hoặc nhiều hình thức như: Công văn, thư điện tử, điện thoại, fax, nhắn tin đa phương tiện hoặc hệ thống kỹ thuật truyền thông tiên tiến; và đảm bảo tuân thủ theo các quy định pháp luật liên quan khi trao đổi thông tin mật.

Điều 9. Thông báo, báo cáo sự cố an toàn thông tin mạng

1. Các hình thức thông báo, báo cáo sự cố

a) Hình thức thông báo sự cố: Bằng công văn, fax, thư điện tử, nhắn tin đa phương tiện hoặc thông qua hệ thống kỹ thuật báo cáo sự cố an toàn thông tin mạng theo hướng dẫn của Cơ quan điều phối quốc gia;

b) Hình thức báo cáo sự cố: Bằng văn bản giấy hoặc văn bản điện tử (có ký tên và đóng dấu hoặc chữ ký số của người có thẩm quyền).

2. Báo cáo sự cố an toàn thông tin mạng

a) Đơn vị, cá nhân vận hành hệ thng thông tin có trách nhiệm chậm nhất 05 ngày kể từ khi phát hiện sự cố phải thông báo các thông tin của sự cố theo nội dung tại Điểm a Khoản 3 Điều này (Thông báo sự cố) tới đồng thời các cơ quan, đơn vị sau: Chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia, Đơn vị chuyên trách về ứng cứu sự cố và thành viên mạng lưới ứng cứu sự cố có trách nhiệm liên quan (nếu có). Tại thời điểm báo cáo, nếu chưa hoàn thành việc xử lý sự cố, đơn vị, cá nhân vận hành hệ thống phải cập nhật lại thông tin của sự c cho các cơ quan, đơn vị đã nhận thông tin trước đó ngay khi kết thúc việc xử lý sự cố;

b) Trường hợp đơn vị, cá nhân vận hành hệ thống thông tin xác định sự cố có thể vượt khả năng xử lý của mình phải xây dựng ngay Báo cáo ban đầu sự cố, báo cáo Chủ quản hệ thống thông tin, Đơn vị chuyên trách về ứng cứu sự cố chịu trách nhiệm ứng cứu (nếu có) và Cơ quan điều phối quốc gia; sau khi kết thúc ứng cứu sự cố, chậm nhất trong vòng 05 ngày phải hoàn thiện Báo cáo kết thúc ứng phó sự cố để báo cáo Chủ quản hệ thống thông tin và Cơ quan điều phi quc gia. Cơ quan điều phi quốc gia chỉ ghi nhận sự cố đã hoàn thành ứng cứu sự cố sau khi đã nhận được Báo cáo kết thúc ứng phó sự cố;

c) Các tổ chức, cá nhân không phải là đơn vị, cá nhân vận hành hệ thống thông tin khi phát hiện dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng cần nhanh chóng thông báo thông tin của sự cố (Thông báo sự cố) tới đồng thời hoặc một trong các cơ quan, đơn vị sau: Đơn vị, cá nhân vận hành hệ thống thông tin Chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia, Đơn vị chuyên trách về ứng cứu sự cố hoặc thành viên mạng lưới ứng cứu sự cố có trách nhiệm liên quan.

3. Các loại thông báo, báo cáo sự cố:

a) Thông báo sự cố, nội dung gồm: Tên, địa chỉ đơn vị, cá nhân thông báo sự cố; tên hoặc tên min, địa chỉ IP của hệ thống thông tin bị sự cố; tên địa chỉ của đơn vị, cá nhân vận hành và cơ quan chủ quản hệ thống thông tin bị sự cố (nếu biết); mô tả sự cố và thời điểm phát hiện sự cố; kết quả xử lý sự cố đề xuất, kiến nghị và các thông tin liên quan khác (nếu có);

b) Báo cáo ban đầu sự cố, nội dung theo Biểu mẫu số 03 Phụ lục I ban hành kèm theo Thông tư này;

c) Báo cáo diễn biến tình hình;

d) Báo cáo phương án ứng cứu cụ thể;

đ) Báo cáo đề nghị hỗ trợ, phối hợp;

e) Báo cáo kết thúc ứng phó sự cố, nội dung theo Biểu mẫu số 04 Phụ lục I ban hành kèm theo Thông tư này.

4. Trong quá trình ứng cứu sự cố, đơn vị, cá nhân vận hành hệ thống phải chủ trì, phối hợp với các cơ quan, đơn vị liên quan xây dựng và duy trì thực hiện các báo cáo ứng cứu sự cố theo quy định và yêu cầu của cơ quan có thẩm quyền.

Điều 10. Phát hiện, tiếp nhận, xác minh, xử lý ban đầu và phân loại sự cố an toàn thông tin mạng

1. Đơn vị, cá nhân vận hành hệ thống thông tin, có trách nhiệm:

a) Khi phát hiện sự cố: Tổ chức theo dõi, ghi chép và tập hợp các thông tin liên quan đến sự cố và tổ chức thông báo hoặc báo cáo sự cố theo quy định tại Điều 9 của Thông tư này;

b) Khi tiếp nhận thông báo sự cố: Phản hồi ngay cho tổ chức, cá nhân gửi thông báo sự cố để xác nhận thông tin;

c) Xác minh sự cố và xử lý ban đầu: Chủ trì, phối hợp với đơn vị chịu trách nhiệm bảo đảm an toàn thông tin (nếu có), đơn vị chuyên trách về ứng cứu sự cố liên quan và các doanh nghiệp viễn thông, Internet (ISP) để tiến hành phân tích, xác minh, đánh giá sự cố; thực hiện ngay các hoạt động ứng cứu sự cố ban đầu, triển khai quy trình ứng cứu sự cố theo kế hoạch ứng phó sự cố an toàn thông tin mạng đã được cấp thẩm quyền phê duyệt hoặc quy trình tại Điều 11 của Thông tư này; trường hợp xác định sự cố có khả năng là sự cố nghiêm trọng, cần báo cáo ngay với chủ quản hệ thống thông tin, đơn vị chuyên trách về ứng cứu sự cố liên quan để đề xuất nâng cấp sự cố nghiêm trọng, đồng thời gửi Cơ quan điều phối quốc gia.

2. Đơn vị chuyên trách về ứng cứu sự cố hoặc thành viên mạng lưới ứng cứu sự cố, có trách nhiệm:

a) Khi phát hiện sự cố: Thông báo sự cố ngay đến đơn vị, cá nhân vận hành hệ thống thông tin, chủ quản hệ thống thông tin và Cơ quan điều phối quốc gia;

b) Khi tiếp nhận thông báo hoặc báo cáo sự cố: Ghi nhận, tiếp nhận đúng quy định và phản hồi cho tổ chức, cá nhân gửi thông báo hoặc báo cáo sự cố ngay sau khi nhận được để xác nhận thông tin;

c) Tổ chức xác minh và xử lý sự cố: Phối hợp với đơn vị, cá nhân vận hành hệ thống thông tin để thẩm tra, xác minh và xử lý sự cố trong khả năng và trách nhiệm của mình; trường hợp xác định sự cố có khả năng vượt qua khả năng xử lý của mình hoặc có khả năng là sự cố nghiêm trọng, cần báo cáo ngay chủ quản hệ thống thông tin và Cơ quan điều phối quốc gia;

d) Giám sát diễn biến tình hình ứng cứu sự cố và báo cáo hoặc đề xuất, xin ý kiến chỉ đạo của chủ quản hệ thống thông tin và Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh trong trường hợp vượt thẩm quyền, phạm vi trách nhiệm của mình hoặc vượt khả năng xử lý của mình;

đ) Tổng hợp, báo cáo Cơ quan điều phối quốc gia về diễn biến sự cố khi được yêu cầu.

3. Cơ quan điều phối quốc gia có trách nhiệm:

a) Ghi nhận, tiếp nhận thông báo, báo cáo sự cố an toàn thông tin mạng theo đúng quy trình;

b) Phản hồi cho tổ chức, cá nhân gửi thông báo, báo cáo sự cố ngay sau khi nhận được để xác nhận thông tin;

c) Thẩm tra, xác minh và phân loại sự cố để thực hiện các cảnh báo, điều phi lựa chọn phương án, tổ chức ứng cứu và báo cáo, đề xuất với Cơ quan thường trực xem xét, quyết định sự cố nghiêm trọng và phương án ứng cứu khẩn cấp phù hợp. Trường hợp phân loại là sự cố nghiêm trọng, Cơ quan điều phối quốc gia chủ trì, phối hợp với các cơ quan liên quan triển khai các bước theo quy trình ứng cứu sự cố nghiêm trọng quy định tại Quyết định số 05/2017/QĐ-TTg;

d) Tổ chức hoạt động phối hợp với các tổ chức ứng cứu sự cố mạng quốc tế đ tiếp nhận các cảnh báo sớm, thông tin về sự cố, nguy cơ về mất an toàn thông tin mạng và phối hợp ứng cu sự cố, tấn công xuyên biên giới;

đ) Thực hiện các trách nhim khác của Cơ quan điều phi quốc gia báo cáo đề xuất với Cơ quan thường trực các vấn đề vượt thẩm quyền.

Điều 11. Quy trình ứng cứu sự cố an toàn thông tin mạng

Quy trình ứng cu sự cố an toàn thông tin mạng theo sơ đồ tại Phụ lục II cụ thể gồm:

1. Tiếp nhận, phân tích, ứng cứu ban đầu và thông báo sự cố

a) Tiếp nhận, xác minh sự cố

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin.

Đơn vị phối hợp: Đơn vị chuyên trách về ứng cứu sự cố, Cơ quan điều phối quốc gia.

Ni dung thực hiện: Theo dõi, tiếp nhận, phân tích các cảnh báo, dấu hiệu sự cố từ các nguồn bên trong và bên ngoài. Khi phân tích, xác minh sự cố đã xảy ra, cần tổ chức ghi nhận, thu thập chứng cứ, xác định nguồn gốc sự cố.

b) Triển khai các bước ưu tiên ứng cứu ban đầu

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin.

Đơn vị phối hợp: Đơn vị chuyên trách về ứng cứu sự cố, thành viên mạng lưới có liên quan và Cơ quan điều phối quốc gia.

Nội dung: Sau khi đã xác định sự cố xảy ra, đơn vị, cá nhân vận hành hệ thống tng tin căn cứ vào bản chất, dấu hiệu của sự cố tổ chức triển khai các bước ưu tiên ban đầu để xử lý sự cố theo kế hoạch ứng phó sự cố đã được cấp thẩm quyền phê duyệt hoặc theo hướng dẫn của Đơn vị chuyên trách về ứng cứu sự cố liên quan hoặc Cơ quan điều phối quốc gia.

c) Triển khai lựa chọn phương án ứng cứu

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin.

Đơn vị phối hợp: Đơn vị chuyên trách về ứng cứu sự cố, thành viên mạng lưới có liên quan, Cơ quan điều phi quốc gia.

Nội dung thực hiện: Căn cứ theo kế hoạch ứng phó sự cố đã được cấp thẩm quyền phê duyệt hoặc theo hướng dẫn của Đơn vị chuyên trách về ứng cứu sự cố hoặc Cơ quan điều phối quốc gia để lựa chọn phương án ngăn chặn và xử lý sự cố; báo cáo, đề xuất Chủ quản hệ thống thông tin, Ban Chỉ đạo ứng cứu sự c cấp bộ, tỉnh xin ý kiến chỉ đạo nếu cần.

d) Chỉ đạo xử lý sự cố (nếu cần)

Đơn vị chủ trì: Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh.

Đơn vị phối hợp: Chủ quản hệ thống thông tin.

Nội dung thực hiện: Căn cứ theo báo cáo, đề xuất của Đơn vị, cá nhân vận hành hệ thống thông tin, Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh phối hợp với chủ quản hệ thống thông tin và tham khảo ý kiến Cơ quan điều phối quốc gia (nếu cần) thực hiện chỉ đạo Đơn vị chuyên trách về ứng cứu sự cố, triệu tập Đội/bộ phận ứng cứu sự cố thuộc phạm vi quản lý triển khai công tác ứng cứu, xử lý sự cố; chỉ đạo, phân công hoạt động phát ngôn, cung cấp thông tin. Trong quá trình ứng cứu, tùy thuộc vào diễn biến tình hình thực tế, Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh có thể quyết định bổ sung thành phần tham gia Đội/bộ phận ứng cứu sự cố, chỉ đạo điều chỉnh phương án ứng cứu sự cố.

đ) Báo cáo sự cố

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin.

Đơn vị phối hợp: Đơn vị chuyên trách về ng cứu sự cố liên quan/chịu trách nhiệm, các doanh nghiệp viễn thông, Internet (ISP).

Nội dung thực hiện: Sau khi đã triển khai các bước ưu tiên ứng cứu ban đầu, Đơn vị vận hành hệ thống thông tin tổ chức thông báo, báo cáo sự cố đến các tổ chức, cá nhân liên quan bên trong và bên ngoài cơ quan tổ chức theo quy định tại Điều 9 Thông tư này và quy định nội bộ (nếu có).

e) Điều phối công tác ứng cứu

Đơn vị chủ trì: Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh; Cơ quan điều phối quốc gia.

Đơn vị phối hợp: Đơn vị, cá nhân vận hành hệ thống thông tin, Đơn vị chuyên trách về ứng cứu sự cố, thành viên mạng lưới có liên quan.

Nội dung thực hiện: Căn cứ vào tính chất sự cố, đề nghị hỗ trợ của Đơn vị, cá nhân vận hành hệ thống thông tin và Đơn vị chuyên trách về ứng cứu sự cố, Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh và Cơ quan điều phối quốc gia thực hiện công tác điều phối, giám sát cơ chế phối hợp, chia sẻ thông tin theo phạm vi, chức năng, nhiệm vụ của mình để huy động nguồn lực ứng cứu sự cố.

2. Triển khai ứng cứu, ngăn chặn và xử lý sự cố

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin; Đội/bộ phận ứng cứu sự cố.

Đơn vị phối hợp: Đơn vị chịu trách nhiệm bảo đảm an toàn thông tin cho hệ thống bị sự cố, Đơn vị chuyên trách về ứng cứu sự cố, thành viên mạng lưới có liên quan, Cơ quan điều phối quốc gia.

Nội dung thực hiện:

a) Triển khai thu thập chứng cứ, phân tích, xác định phạm vi, đối tượng bị ảnh hưởng.

b) Triển khai phân tích, xác định nguồn gốc tấn công, tổ chức ứng cứu và ngăn chặn, giảm thiểu tác động, thiệt hại đến hệ thống thông tin.

3. Xử lý sự cố, gỡ bỏ và khôi phục

a) Xử lý sự cố, gỡ bỏ

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin; Đội/bộ phận ứng cứu sự cố.

Đơn vị phối hợp: Đơn vị chịu trách nhiệm bảo đảm an toàn thông tin cho hệ thng bị sự cố; Đơn vị chuyên trách về ứng cứu sự cố, thành viên mạng lưới có liên quan, Cơ quan điều phối quốc gia.

Nội dung thực hiện: Sau khi đã triển khai ngăn chặn sự cố, đơn vị, cá nhân vận hành hệ thống thông tin, Đơn vị chuyên trách về ứng cứu sự cố, Đội/bộ phận ứng cứu sự cố triển khai tiêu diệt, gỡ bỏ các mã độc, phần mềm độc hại khắc phục các điểm yếu an toàn thông tin của hệ thống thông tin.

b) Khôi phục

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin;.

Đơn vị phối hợp: Đội/bộ phận ứng cứu sự cố, Đơn vị chịu trách nhiệm bảo đảm an toàn thông tin cho hệ thng bị sự cố, Đơn vị chuyên trách về ứng cứu sự cố, thành viên mạng lưới có liên quan, Cơ quan điều phối quốc gia.

Nội dung thực hiện: Đơn vị, cá nhân vận hành hệ thống chủ trì phối hợp với các đơn vị liên quan triển khai các hoạt động khôi phục hệ thống thông tin dữ liệu và kết ni; cấu hình hệ thống an toàn; bổ sung các thiết bị, phần cứng phần mềm bảo đảm an toàn thông tin cho hệ thống thông tin.

c) Kiểm tra, đánh giá hệ thống thông tin

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin.

Đơn vị phối hợp: Đơn vị chịu trách nhiệm bảo đảm an toàn thông tin cho hệ thống bị sự cố, Đơn vị chuyên trách về ứng cứu sự cố, chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia.

Nội dung thực hiện: Đơn vị, cá nhân vận hành hệ thống và các đơn vị liên quan triển khai kiểm tra, đánh giá hoạt động của toàn bộ hệ thống thông tin sau khi khắc phục sự cố. Trường hợp hệ thống chưa hoạt động ổn định, cần tiếp tục tổ chức thu thập, xác minh lại nguyên nhân và tổ chức các bước tương ứng tại Khoản 2 và Khoản 3 của Điều này để xử lý dứt điểm, khôi phục hoạt động bình thường của hệ thống thông tin.

4. Tổng kết, đánh giá

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin.

Đơn vị phối hợp: Đơn vị chuyên trách về ứng cứu sự cố; Đội/bộ phận ứng cứu sự cố; Chủ quản hệ thống thông tin; Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh; Cơ quan điều phối quốc gia.

Nội dung thực hiện: Đơn vị, cá nhân vận hành hệ thống bị sự cố phối hợp với Đơn vị chuyên trách về ứng cứu sự cố và Đội/bộ phận ứng cứu sự cố triển khai tổng hợp toàn bộ các thông tin, báo cáo, phân tích có liên quan đến sự cố, công tác triển khai phương án ứng cứu sự cố, báo cáo Chủ quản hệ thống thông tin, Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh và Cơ quan điều phối quốc gia; tổ chức phân tích nguyên nhân, rút kinh nghiệm trong hoạt động xử lý sự cố và đề xuất các biện pháp bổ sung nhằm phòng ngừa, ứng cứu đối với các sự cố tương tự trong tương lai.

Chapter III

INCIDENT COORDINATION AND RESPONSE

Article 8. Incident coordination and response

1. Incident coordination and response are implemented by National coordinating authority and competent authorities in order to mobilize, operate, and jointly cooperate resources, including: personnel, materials (equipment), financial (finance, budget) to prevent, monitor, collect, discover, and warning against incidents; receive, analyze, verify, and classify incidents; operate, cooperate, and organize incident response, stay ready to respond and rectify incidents in order to minimize risks and damage caused by the incidents.

2. National coordinating authority shall issue warning, coordinate nation-wide incident response efforts; mobilize and coordinate network members and relevant organizations, entities to cooperate in preventing, dealing with, and rectifying nation-wide incidents; promulgate and assume responsibility for orders/request for coordination using Form No. 6 attached hereto;

3. Activities involved in incident coordination and response:

a) Monitoring, analyzing, discovering, warning about risks, threats, holes, incidents, cyber attacks and solutions for incident prevention;

b) Developing, proposing incident response solutions and plans;

c) Organize trainings and drills regarding incident response and cyber information security assurance;

d) Operating and mobilizing resources to respond to incidents within their competence; providing technical support and taking measures to respond to and prevent cyber attack;

dd) Investigating, analyzing, identifying origin, methods, and form of attack in order to deal with, prevent, issue warnings and guidelines to prevent widespread incidents; collecting, developing incident summary reports;

e) Sharing, exchanging, providing information between relevant agencies and organizations regarding incident response, incident response and coordination, and incident resolution;

g) Conducting other activities relating to incident response according to Decision of the Ministry of Information and Communications.

4. Information exchange regarding incident coordination and response shall be implemented via: Official dispatch, electronic mail, telephone, fax, multimedia messages, advanced technical communication systems; and compliant with relevant law provisions regarding exchanging of confidential information.

Article 9. Notifying and reporting cyber information security incidents

1. Methods of notifying, reporting incidents

a) Methods of notifying incidents: Official dispatch, fax, electronic mail, multimedia messages, or technical system for reporting cyber information security incident according to guidelines of the National coordinating authority;

b) Methods of reporting incident: Physical document or electronic document (bearing signature and seal or digital signature of competent individual).

2. Reporting cyber information security incident

a) Within 5 days from the date on which incidents are discovered, entities and individuals operating information system are responsible for sending information on the incidents according to Point a Clause 3 of this Article (Incident Notification) to: Entities presiding the information system, National coordinating authority, incident response specialists, and relevant members of incident response network (if any). If incident rectification has not been completed at the time of reporting, entities and individuals operating information systems shall send update on the incident to previous recipients as soon as rectification completes;

b) If entities or individuals operating information system deem the incidents exceed their capability, they shall submit Initial incident report to entities presiding information system, relevant incident response specialists (if any), and National coordinating authority; entities or individuals operating information system shall send Final incident report to entities presiding information system and National coordinating authority within 5 days from the date on which incident response is complete. National coordinating authority shall only acknowledge completion of incident response efforts after receiving Final incident report;

c) Organizations and individuals that are not those operating information system shall, upon discovering signs of attack or cyber information security incidents, shall immediately send notification (Incident Notification) to entities and individuals operating information system, entities presiding information system, National coordinating authority, incident response specialists, and/or relevant members of incident response network.

3. Types of incident notification, report:

a) Incident notification consists of: Name, address of entities, individuals sending the notification; name or domain name, IP address of information system to which incidents occur; name, address of entities and individuals operating, presiding information system to which incidents occur (if known); description of the incident and time in which the incident is discovered; incident resolution results, propositions, recommendations, and other relevant information (if any);

b) Initial incident report shall conform to Form No. 3 under Appendix I attached hereto;

c) Situation report;

d) Specific response solution report;

dd) Assistance and cooperation request;

e) Final incident report, using Form No. 4 under Appendix I attached hereto.

4. Throughout incident response process, entities and individuals operating information system shall take charge and cooperate with relevant agencies, entities in developing and maintaining incident response reports as per the law and at request of competent authority.

Article 10. Discovering, receiving, verifying, taking initial actions, and classifying cyber information security incidents

1. Entities and individuals operating information system shall have responsibility to:

a) Upon discovering incidents: Monitor, record, and gather information relating to the incidents, organizations sending incident notification or report in accordance with Article 9 hereof;

b) Upon receiving incident notification: Immediately inform organizations, individuals sending incident notification about received notification;

c) Verify incidents and take initial actions: Take charge, cooperate with entities responsible for information security (if any), relevant incident response specialists, telecommunication enterprises, internet service providers (ISP) in analyzing, verifying, and evaluating the incidents; perform initial response activities, implement response procedures according to cyber information security incident response procedures approved by competent authority or procedures under Article 11 hereof; if the incidents are possibly serious incidents, immediately report to entities presiding information system, relevant incident response specialists in order to classify the incidents as serious incidents and report to National coordinating authority.

2. Incident response specialists or members of incident response network shall have the responsibility to:

a) Upon discovering incident: Immediately inform entities, individuals operating information systems and presiding information system, and National coordinating authority about the incidents;

b) Upon receiving incident notification or reports: Acknowledge, receive as per the law, and respond to incident notification or report senders after receiving;

c) Organizing verification and incident resolution: Cooperate with entities and individuals operating information system in assessing, verifying, and dealing with the incidents within their capability and responsibility; if the incidents exceed their capability or are possibly serious incidents, report to entities presiding information system and National coordinating authority;

d) Supervise development of incident response operations, report or propose, request direction of entities presiding information system and Ministerial/Provincial steering committees if the incidents exceed the scope of their powers and responsibilities or capabilities;

dd) Consolidate and report to National coordinating committee regarding incident development when requested.

3. National coordinating authority shall have the responsibility to:

a) acknowledge, receive incident notification, report according to procedures;

 b) respond to incident notification, report senders upon receiving incident notification, report;

c) assess, identify, and classify incidents in order to issue warnings, coordinate, choose solutions, organize response, report, and request Standing authority to consider, decide on serious incidents and appropriate emergency response solutions. If an incident is classified as a serious incident, National coordinating authority shall take charge and cooperate with relevant authorities in implementing subsequent steps in serious incident response procedures under Decision No. 05/2017/QD-TTg;

d) organize cooperation with international cyber information response organizations in receiving early warnings, information on incidents, risk of cyber information security violation, and cooperation in responding to cross-border incidents, attacks;

dd) implement other responsibilities of National coordinating authority, report and propose to Standing authority regarding issues that exceed their capability.

Article 11. Cyber information security incident response procedures

Cyber information security incident response procedures according to chart under Appendix II include:

1. Receiving, analyzing, providing initial response, and notifying incident

a) Receiving and verifying incident

Presiding entities: Entities, individuals operating information system.

Cooperating entities: Incident response specialists, National coordinating authority.

Details: Monitoring, receiving, analyzing warnings, signs of incidents from internal and external sources. If the incident is verified to have occurred, acknowledging, collecting evidence, and identifying origin of the incident.

b) Implementing initial response steps

Presiding entities: Entities, individuals operating information system.

Cooperating entities: Incident response specialists, relevant network members, and National coordinating authority.

Details: Once the incident has been verified to occur, entities and individuals operating information system shall rely on the nature and signs of the incident in order to implement initial steps to deal with the incident according to incident response plan approved by competent authority or according to instructions of incident response specialists or National coordinating authority.

c) Implementing response solutions

Presiding entities: Entities, individuals operating information system.

Cooperating entities: Incident response specialists, relevant network members, and National coordinating authority.

Details: Based on incident response plans approved by competent authorities or instructions of incident response specialists or National coordinating authority, choose solutions for preventing and dealing with the incident; report and request entities presiding information system, Ministerial/Provincial steering committees to seek direction if necessary.

d) Directing incident resolution (if necessary)

Presiding entities: Ministerial/Provincial steering committees.

oCooperating entities: Entities presiding information system.

Details: Based on report and proposition of entities and individuals operating information system, Ministerial/Provincial steering committees shall cooperate with entities presiding information system and consult National coordinating authority (if necessary) in order to direct incident response specialists, summon incident response teams/units within their management to implement incident response efforts; direct and coordinate communication, information disclosure. Depending on situation development throughout response procedures, Ministerial/Provincial steering committees shall decide to expand the compositions of incident response teams/units, adjust incident response plans.

dd) Filing incident report

Presiding entities: Entities, individuals operating information system.

Cooperating entities: Relevant/responsible incident response specialists, telecommunication enterprises, ISP.

etDetails: When initial response steps have been implemented, entities operating information system shall send incident notification and report to their relevant internal and external organizations, individuals according to Article 9 hereof and internal regulations (if any).

e) Coordinating response efforts

Presiding entities: Ministerial/Provincial steering committees; National coordinating authority.

Cooperating entities: Entities and individuals operating information system, incident response specialists, relevant network members.

Details: Depending on the nature of the incident and request for assistance of entities and individuals operating information system and incident response specialists, Ministerial/Provincial steering committees and National coordinating authority shall coordinate, supervise cooperation and information sharing within their functions, powers, and tasks in order to mobilize incident response resources.

2. Implementing incident response, prevention, and handling

Presiding entities: Entities and individuals operating information system; incident response specialists.

Cooperating entities: Entities responsible for maintaining information security for the system to which the incident occurs, incident response specialists, relevant network members, and National coordinating authority.

Details:

a) Collecting evidence, analyzing, identifying scope and affected entities.

)b) Analyzing, identifying origin of the attack, responding, preventing, and minimizing impact, damage to information system.

3. Handling incident, removing, and restoring

a) Handling incident and removing

Presiding entities: Entities and individuals operating information system; incident response specialists.

Cooperating entities: Entities responsible for maintaining information security for the system to which the incident occurs, incident response specialists, relevant network members, and National coordinating authority.

Details: After preventing the incident, entities and individuals operating information system, incident response specialists, incident response teams/units shall remove eliminate and remove malware, harmful software, and rectify information security weaknesses of information system.

b) Restoring

Presiding entities: Entities, individuals operating information system;

Cooperating entities: Incident response teams/units, entities responsible for maintaining information security for the system to which the incident occurs, incident response specialists, relevant network members, and National coordinating authority.

Details: entities and individuals operating information system shall take charge and cooperate with relevant entities in restoring information system, data, and connection; configuring safe system; adding equipment, hardware, and software to ensure information security for information system.

c) Inspecting and evaluating information system

Presiding entities: Entities, individuals operating information system.

Cooperating entities: Entities responsible for maintaining information security for the system to which the incident occurs, incident response specialists, entities presiding information system, National coordinating authority.

Details: Entities and individuals operating information system and relevant entities shall inspect, evaluate operation of the entire information system after the incident has been rectified. If stable operation of the system has not been achieved, continue to collect, re-identify the causes, and take steps specified under Clause 2 and Clause 3 of this Article in order to extensively rectify and restore normal operation of information system.

4. Concluding and evaluating

Presiding entities: Entities, individuals operating information system.

Cooperating entities: Incident response specialists; incident response teams/units; entities presiding information system; Ministerial/Provincial steering committees; National coordinating authority.

Details: Entities and individuals operating information system to which the incident occurs shall cooperate with incident response specialists and incident response teams/units in consolidating information, report, analysis relating to the incident, the implementation of incident response efforts, sending to entities presiding information system, Ministerial/Provincial steering committees, and National coordinating authority; analyzing causes, learning from experience in incident response, and proposing additional solutions in order to prevent and respond to similar incidents in the future.

1 11 lượt xem
Trang trước
Chia sẻ
Trang sau