Từ khoá: Số Hiệu, Tiêu đề hoặc Nội dung ngắn gọn của Văn Bản...

Đăng nhập

Đang tải văn bản...

Thông tư 31/2017/TT-BTTTT quy định hoạt động giám sát an toàn hệ thống thông tin

Số hiệu: 31/2017/TT-BTTTT Loại văn bản: Thông tư
Nơi ban hành: Bộ Thông tin và Truyền thông Người ký: Trương Minh Tuấn
Ngày ban hành: 15/11/2017 Ngày hiệu lực: Đã biết
Ngày công báo: Đang cập nhật Số công báo: Đang cập nhật
Tình trạng: Đã biết

BỘ THÔNG TIN VÀ
TRUYỀN THÔNG
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 31/2017/TT-BTTTT

Hà Nội, ngày 15 tháng 11 năm 2017

THÔNG TƯ

QUY ĐỊNH HOẠT ĐỘNG GIÁM SÁT AN TOÀN HỆ THỐNG THÔNG TIN

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15 tháng 7 năm 2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng;

Căn cứ Nghị định số 25/2014/NĐ-CP ngày 07 tháng 4 năm 2014 của Chính phủ quy định về phòng, chống tội phạm và vi phạm pháp luật khác có sử dụng công nghệ cao;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 07 năm 2016 của Chính phủ về bảo đảm an toàn thông tin theo cấp độ;

Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;

Căn cứ Quyết định 05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

Thực hiện Nghị quyết 36a/NQ-CP ngày 14 tháng 10 năm 2015 của Chính phủ về Chính phủ điện tử;

Theo đề nghị của Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam;

Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định hoạt động giám sát an toàn hệ thống thông tin.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Thông tư này quy định về hoạt động giám sát an toàn hệ thống thông tin (sau đây gọi tắt là giám sát) trên toàn quốc, không bao gồm các hệ thống thông tin do Bộ Quốc phòng và Bộ Công an quản lý.

Điều 2. Đối tượng áp dụng

Thông tư này áp dụng đối với cơ quan, tổ chức, doanh nghiệp, cá nhân trực tiếp tham gia hoặc có liên quan đến hoạt động giám sát trên toàn quốc.

Chương II

GIÁM SÁT AN TOÀN HỆ THỐNG THÔNG TIN

Điều 3. Nguyên tắc giám sát

1. Đảm bảo được thực hiện thường xuyên, liên tục.

2. Chủ động theo dõi, phân tích, phòng ngừa để kịp thời phát hiện, ngăn chặn rủi ro, sự cố an toàn thông tin mạng.

3. Đảm bảo hoạt động ổn định, bí mật cho thông tin được cung cấp, trao đổi trong quá trình giám sát.

4. Có sự điều phối, kết hợp chặt chẽ, hiệu quả giữa hoạt động giám sát của Bộ Thông tin và Truyền thông và hoạt động giám sát của chủ quản hệ thống thông tin; từng bước xây dựng khả năng liên thông giữa hệ thống giám sát của Bộ Thông tin và Truyền thông và hệ thống giám sát của chủ quản hệ thống thông tin trên phạm vi toàn quốc.

Điều 4. Phương thức giám sát

1. Giám sát được thực hiện qua phương thức giám sát trực tiếp hoặc phương thức giám sát gián tiếp. Chủ quản hệ thống thông tin có thể trực tiếp triển khai hoặc thuê dịch vụ giám sát. Trong trường hợp cần thiết, căn cứ vào năng lực, tình hình và nguồn lực thực tế chủ quản hệ thống thông tin đề nghị các đơn vị chức năng liên quan của Bộ Thông tin và Truyền thông hỗ trợ giám sát phù hợp với nguồn lực thực tế.

2. Giám sát trực tiếp là hoạt động giám sát được tiến hành bằng cách đặt các thiết bị có chức năng phân tích luồng dữ liệu (quan trắc), thu nhận trực tiếp thông tin nhật ký, cảnh báo hệ thống được giám sát để phát hiện ra các dấu hiệu tấn công, rủi ro, sự cố an toàn thông tin mạng. Giám sát trực tiếp bao gồm các hoạt động sau:

a) Phân tích, thu thập các thông tin an toàn thông tin mạng:

- Phân tích, quan trắc an toàn thông tin mạng trên đường truyền mạng/luồng thông tin tại các cổng kết nối Internet bằng các công cụ có khả năng phân tích đường truyền mạng để phát hiện tấn công, rủi ro, sự cố an toàn thông tin mạng như thiết bị phát hiện/ngăn ngừa tấn công phù hợp với đối tượng được giám sát (ví dụ: IDS/IPS/Web Firewall v.v...);

- Thu thập nhật ký (log file), cảnh báo an toàn thông tin mạng phản ánh hoạt động các ứng dụng, hệ thống thông tin, thiết bị an toàn thông tin.

b) Tổng hợp, đồng bộ, xác minh và xử lý các thông tin an toàn thông tin mạng để phát hiện ra các tấn công, rủi ro, sự cố an toàn thông tin mạng hoặc loại bỏ các thông tin không chính xác.

3. Giám sát gián tiếp là hoạt động giám sát thực hiện các kỹ thuật thu thập thông tin từ các nguồn thông tin có liên quan; kiểm tra, rà soát đối tượng cần giám sát để phát hiện tình trạng hoạt động, khả năng đáp ứng và kết hợp với một số yếu tố khác có liên quan để phân tích nhằm phát hiện ra các tấn công, rủi ro, sự cố an toàn thông tin mạng. Giám sát gián tiếp bao gồm các hoạt động sau:

a) Thu thập, phân tích, xác minh các thông tin về tấn công, rủi ro, sự cố an toàn thông tin mạng liên quan đến đối tượng giám sát từ các nguồn thông tin có liên quan;

b) Kiểm tra, rà soát từ xa hoặc trực tiếp các đối tượng được giám sát để đánh giá tình trạng, phát hiện tấn công, rủi ro, sự cố an toàn thông tin mạng có khả năng bị khai thác, tấn công, gây hại.

Điều 5. Yêu cầu giám sát trực tiếp đối với chủ quản hệ thống thông tin

Chủ quản hệ thống thông tin có trách nhiệm chủ động thực hiện giám sát theo quy định hiện hành. Đối với hệ thống thông tin cấp độ 3 trở lên, hoạt động giám sát của chủ quản hệ thống thông tin cần đáp ứng các yêu cầu tối thiểu sau đây:

1. Thành phần giám sát trung tâm của chủ quản hệ thống thông tin cần đáp ứng các yêu cầu sau:

a) Cung cấp đầy đủ các tính năng thu thập và tổng hợp các thông tin an toàn thông tin mạng;

b) Phân tích các thông tin thu thập để phát hiện và cảnh báo tấn công, rủi ro, sự cố an toàn thông tin mạng có khả năng ảnh hưởng tới hoạt động hệ thống hoặc khả năng cung cấp các dịch vụ của hệ thống thông tin được giám sát;

c) Cung cấp giao diện thuận tiện cho việc theo dõi, giám sát liên tục của cán bộ giám sát;

d) Thực hiện thu thập và phân tích các thông tin đầu vào tối thiểu sau đây: nhật ký máy chủ web (web server) với các ứng dụng web (ví dụ: cổng thông tin điện tử, dịch vụ công trực tuyến v.v...); cảnh báo/nhật ký của thiết bị quan trắc cơ sở; cảnh báo/nhật ký của thiết bị tường lửa được thiết lập bảo vệ luồng kết nối mạng Internet liên quan đến các đối tượng cần giám sát;

e) Năng lực xử lý thành phần giám sát trung tâm của chủ quản hệ thống thông tin cần phù hợp với khối lượng, định dạng và có khả năng phân tích thông tin an toàn thông tin mạng thu thập từ các hệ thống được giám sát.

2. Thu thập thông tin an toàn thông tin mạng và quan trắc cơ sở cần đáp ứng các yêu cầu sau:

a) Thực hiện thu thập thông tin an toàn thông tin mạng từ nhật ký và cảnh báo của các phần mềm/thiết bị liên quan đến đối tượng cần giám sát để cung cấp cho thành phần giám sát trung tâm của chủ quản hệ thống thông tin hoặc theo yêu cầu của cơ quan chức năng thuộc Bộ Thông tin và Truyền thông. Các thông tin an toàn thông tin mạng tối thiểu cần thu thập và cung cấp bao gồm: nhật ký máy chủ web (web server) của các ứng dụng web (ví dụ: cổng thông tin điện tử, dịch vụ công trực tuyến v.v...); cảnh báo/nhật ký của thiết bị quan trắc cơ sở; cảnh báo/nhật ký của thiết bị tường lửa được thiết lập bảo vệ luồng kết nối mạng Internet liên quan đến các đối tượng cần giám sát;

b) Các thiết bị quan trắc cơ sở đảm bảo các chức năng phát hiện tấn công, rủi ro, sự cố an toàn thông tin mạng; cần được thiết lập để đảm bảo khả năng giám sát bao phủ được tất cả các đường kết nối mạng Internet của đối tượng cần giám sát;

c) Thiết bị quan trắc cần đáp ứng tối thiểu các chức năng phát hiện, tạo lập luật phát hiện tấn công riêng dựa trên các thông tin như: địa chỉ IP nguồn, địa chỉ IP đích, địa chỉ cổng nguồn, địa chỉ cổng đích, các đoạn dữ liệu đặc biệt trong gói tin được truyền qua. Đối với các cơ quan, tổ chức nhà nước tự triển khai thiết bị quan trắc cơ sở, ưu tiên sử dụng các thiết bị phát hiện tấn công đã có (ví dụ: IDS, IPS, tường lửa Web, v.v...) để kết hợp làm thiết bị quan trắc cơ sở;

d) Đối với các hệ thống thông tin phục vụ Chính phủ điện tử sử dụng giao thức có mã hóa (ví dụ: https), cần có phương án kỹ thuật đảm bảo thiết bị quan trắc an toàn thông tin mạng có được đầy đủ thông tin để có thể phát hiện được các tấn công, rủi ro, sự cố an toàn thông tin mạng;

e) Thiết lập, kết nối các thiết bị quan trắc cơ sở với hệ thống giám sát của Bộ Thông tin và Truyền thông theo hướng dẫn và yêu cầu của cơ quan chức năng.

3. Nội dung thực hiện giám sát:

a) Theo dõi, trực giám sát liên tục, lập báo cáo hàng ngày, đảm bảo hệ thống giám sát của chủ quản hệ thống thông tin hoạt động và thu thập thông tin ổn định, liên tục;

b) Xây dựng và ban hành các quy chế giám sát an toàn thông tin mạng, trong đó quy định cụ thể về thời hạn định kỳ thống kê kết quả xử lý, lập báo cáo;

c) Theo dõi, vận hành các thiết bị quan trắc cơ sở đảm bảo ổn định, liên tục, điều chỉnh kịp thời khi có các thay đổi và thực hiện đầy đủ các hướng dẫn của Bộ Thông tin và Truyền thông để đảm bảo hiệu quả giám sát;

d) Lập báo cáo kết quả giám sát hàng tuần để báo cáo chủ quản hệ thống thông tin, nội dung báo cáo tuần bao gồm đầy đủ các thông tin sau: thời gian giám sát; danh mục đối tượng bị tấn công cần chú ý (địa chỉ IP, mô tả dịch vụ cung cấp, thời điểm bị tấn công); kỹ thuật tấn công đã phát hiện được và chứng cứ liên quan; các đối tượng thực hiện tấn công; các thay đổi trong hệ thống được giám sát và hệ thống giám sát; v.v...;

đ) Tiến hành phân loại nguy cơ, rủi ro, sự cố an toàn thông tin mạng tùy theo tình hình cụ thể;

e) Định kỳ thống kê kết quả xử lý nguy cơ, rủi ro, sự cố an toàn thông tin mạng để phục vụ công tác lưu trữ, báo cáo;

g) Trong trường hợp chủ quản hệ thống thông tin đề nghị đơn vị chức năng của Bộ Thông tin và Truyền thông thực hiện giám sát cơ sở hoặc hệ thống thuộc trách nhiệm giám sát của Bộ Thông tin và Truyền thông, chủ quản hệ thống thông tin có trách nhiệm cung cấp và cập nhật thông tin về hệ thống thông tin cần giám sát và mô tả phương án kỹ thuật triển khai hệ thống giám sát của chủ quản hệ thống thông tin cho Bộ Thông tin và Truyền thông theo mẫu phiếu cung cấp thông tin tại Phụ lục 1, trong đó có các thông tin:

- Mô tả đối tượng được giám sát, bao gồm các thông tin cơ bản sau đây: địa chỉ IP, tên miền, dịch vụ cung cấp, tên và phiên bản hệ điều hành, phần mềm ứng dụng web;

- Vị trí đặt hệ thống giám sát của chủ quản hệ thống thông tin, dung lượng các đường truyền kết nối vào đối tượng giám sát của chủ quản hệ thống thông tin, các thông tin dự kiến thu thập và giao thức thu thập, ví dụ cảnh báo của IDS, nhật ký tường lửa (log firewall), nhật ký máy chủ web (log web server), v.v...

h) Năng lực lưu trữ thông tin giám sát tối thiểu đạt mức trung bình 30 ngày hoạt động trong điều kiện bình thường;

i) Cung cấp thông tin giám sát theo định kỳ hoặc đột xuất có yêu cầu của Bộ Thông tin và Truyền thông theo quy định của pháp luật;

k) Báo cáo hoạt động giám sát của chủ quản hệ thống thông tin định kỳ 06 tháng theo mẫu tại Phụ lục 2.

Điều 6. Hoạt động giám sát của doanh nghiệp

Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin, doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng có trách nhiệm:

1. Phối hợp với chủ quản hệ thống thông tin trong việc giám sát theo yêu cầu của Bộ Thông tin và Truyền thông.

2. Cung cấp các thông tin về hạ tầng, kỹ thuật, hệ thống mạng và thực hiện các hỗ trợ kỹ thuật theo yêu cầu của Bộ Thông tin và Truyền thông phục vụ cho hoạt động giám sát của Bộ Thông tin và Truyền thông.

3. Thực hiện các nhiệm vụ giám sát theo quy định tại Điều 7 Quyết định số 05/2017/QĐ-TTg của Thủ tướng Chính phủ.

Điều 7. Đầu mối giám sát, cảnh báo

1. Chủ quản hệ thống thông tin có trách nhiệm cử cá nhân hoặc bộ phận làm đầu mối giám sát, cảnh báo an toàn thông tin mạng để phối hợp với đơn vị chức năng của Bộ Thông tin và Truyền thông.

2. Đầu mối giám sát phải đảm bảo khả năng cung cấp, tiếp nhận thông tin kịp thời, liên tục. Đầu mối giám sát có chức năng thực hiện hoạt động giám sát trong phạm vi hệ thống thông tin của mình.

3. Đầu mối giám sát thực hiện cung cấp, trao đổi thông tin theo một hay đồng thời nhiều cách như công văn, thư điện tử, điện thoại, fax, hoặc trao đổi trên một phần mềm trao đổi thông tin chuyên biệt nhằm đảm bảo thông tin được bảo mật.

4. Thông tin đầu mối giám sát bao gồm: Họ tên cá nhân, tên bộ phận, chức vụ, địa chỉ, số điện thoại (cố định và di động), địa chỉ thư điện tử, chữ ký số (nếu đã có).

Điều 8. Trao đổi, cung cấp, chia sẻ thông tin

1. Khuyến khích các đầu mối giám sát trao đổi, cung cấp thông tin cho nhau nhằm mục đích phối hợp trong công tác giám sát, cảnh báo, ứng cứu sự cố và tăng tính chủ động đối phó với các nguy cơ, mối đe dọa, phương thức, thủ đoạn tấn công an toàn thông tin mạng của tổ chức, cá nhân.

2. Các thông tin chia sẻ, cung cấp và trao đổi bao gồm các thông tin về tấn công, rủi ro, sự cố an toàn thông tin mạng; các phương thức, thủ đoạn, nguồn gốc tấn công; các tác động, ảnh hưởng do sự cố gây ra; biện pháp quản lý, kỹ thuật để xử lý, khắc phục.

3. Nguyên tắc trao đổi, cung cấp thông tin

a) Kịp thời, chính xác và áp dụng các biện pháp quản lý, kỹ thuật phù hợp để bảo mật thông tin trao đổi;

b) Chủ động xác minh thông tin trao đổi nhằm đảm bảo tính xác thực của thông tin;

c) Sử dụng một hoặc đồng thời nhiều hình thức trao đổi thông tin như website, công văn, thư điện tử, tin nhắn, điện thoại, fax;

d) Khi cung cấp, trao đổi thông tin với đơn vị chức năng của Bộ Thông tin và Truyền thông cần thực hiện theo hướng dẫn của Bộ Thông tin và Truyền thông.

Điều 9. Hoạt động nâng cao năng lực giám sát

1. Tổ chức giao ban, hội thảo định kỳ về hoạt động giám sát.

2. Bồi dưỡng, huấn luyện, diễn tập nhằm nâng cao năng lực giám sát.

3. Đôn đốc, kiểm tra việc thực hiện hoạt động giám sát, cảnh báo của các bộ phận chuyên trách về an toàn thông tin mạng.

4. Chia sẻ kiến thức, kinh nghiệm về giám sát, cảnh báo, ứng cứu sự cố.

5. Nghiên cứu, xây dựng các công cụ hỗ trợ hoạt động phối hợp, trao đổi thông tin trong công tác giám sát, cảnh báo, ứng cứu sự cố.

6. Phát triển các sản phẩm, dịch vụ giám sát, phân tích, cảnh báo chuyên sâu cho từng đối tượng giám sát cụ thể.

7. Thúc đẩy xây dựng các thỏa thuận hợp tác song phương, đa phương giữa bộ phận chuyên trách về an toàn thông tin mạng nhằm nâng cao năng lực giám sát, cảnh báo.

8. Tăng cường hợp tác quốc tế trong công tác giám sát, cảnh báo, ứng cứu sự cố.

Chương III

HOẠT ĐỘNG GIÁM SÁT CỦA BỘ THÔNG TIN VÀ TRUYỀN THÔNG

Điều 10. Mô hình giám sát của Bộ Thông tin và Truyền thông

1. Hoạt động giám sát trung tâm:

a) Là việc thu thập, theo dõi, phát hiện, phân tích, xử lý, báo cáo, thu thập chứng cứ về các dấu hiệu tấn công, rủi ro, sự cố an toàn thông tin mạng dựa trên các dữ liệu/thông tin an toàn thông tin mạng được thu thập bởi giám sát trực tiếp thông qua các hệ thống quan trắc cơ sở hoặc giám sát gián tiếp, đồng thời thực hiện việc lưu trữ các dữ liệu thu thập được dưới dạng sự kiện và quản lý tập trung các hệ thống quan trắc cơ sở;

b) Được thực hiện thông qua các Hệ thống giám sát các sự cố an toàn mạng và Hệ thống xử lý tấn công mạng Internet Việt Nam do các đơn vị chức năng của Bộ Thông tin và Truyền thông quản lý và vận hành trên nguyên tắc chia sẻ dữ liệu, hoạt động liên thông để nâng cao hiệu quả giám sát.

2. Hệ thống quan trắc cơ sở

a) Là tập hợp các thiết bị, phần mềm có khả năng theo dõi, thu thập, phân tích, cung cấp thông tin nhật ký, trạng thái, cảnh báo cho hoạt động giám sát trung tâm phục vụ cho việc phân tích, phát hiện các sự cố, điểm yếu, nguy cơ, lỗ hổng an toàn thông tin mạng;

b) Được cung cấp các điều kiện kỹ thuật và vị trí đặt phù hợp cho việc hoạt động, thu thập dữ liệu từ đối tượng giám sát theo hướng dẫn của đơn vị chức năng của Bộ Thông tin và Truyền thông;

c) Do đơn vị chức năng của Bộ Thông tin và Truyền thông chủ trì, phối hợp với chủ quản hệ thống thông tin xây dựng, thiết lập, quản lý và vận hành theo quy định pháp luật;

d) Thiết bị/phần mềm thực hiện quan trắc cơ sở được thiết lập để kết nối và phục vụ cho hoạt động giám sát trung tâm dựa trên các tiêu chuẩn, quy chuẩn kỹ thuật hoặc hướng dẫn nghiệp vụ của Bộ Thông tin và Truyền thông.

Điều 11. Hoạt động giám sát của Bộ Thông tin và Truyền thông

1. Bộ Thông tin và Truyền thông thực hiện giám sát hệ thống, dịch vụ công nghệ thông tin phục vụ Chính phủ điện tử.

2. Theo đề nghị của chủ quản hệ thống thông tin, Bộ Thông tin và Truyền thông tổ chức thực hiện giám sát đối với hệ thống thông tin thuộc lĩnh vực quan trọng cần ưu tiên đảm bảo an toàn thông tin mạng phù hợp với nguồn lực thực tế.

3. Hoạt động giám sát trung tâm của Bộ Thông tin và Truyền thông đảm bảo có khả năng tiếp nhận, phân tích thông tin giám sát thu thập được từ hệ thống quan trắc cơ sở và các thiết bị, hệ thống phục vụ giám sát gián tiếp.

4. Hoạt động giám sát của Bộ Thông tin và Truyền thông bao gồm:

a) Lựa chọn, quản lý, cập nhật danh sách đối tượng giám sát quy định tại Thông tư này và các văn bản pháp luật có liên quan;

b) Theo dõi, trực trung tâm giám sát, lập báo cáo phân tích giám sát; kiểm tra, đôn đốc công tác theo dõi, trực giám sát;

c) Tổng hợp, lưu trữ, phân tích, phân loại thông tin, dữ liệu thu thập được từ các hệ thống quan trắc cơ sở, các thiết bị, hệ thống phục vụ giám sát gián tiếp và các nguồn thông tin khác;

d) Thực hiện kiểm tra, phân tích chứng cứ, dữ liệu để phát hiện các dấu hiệu bất thường, nguy cơ mất an toàn thông tin mạng. Trong trường hợp chưa xác minh rõ nguy cơ, sự cố xảy ra, thực hiện các giải pháp bổ sung nhằm thu thập thêm các thông tin, dữ liệu cần thiết để tăng tính chính xác của kết quả phân tích và thông tin cảnh báo;

đ) Tiến hành điều tra, xác minh nhằm xác định nguy cơ, sự cố xảy ra đối với các đối tượng giám sát. Phân tích, phân loại tấn công, rủi ro, sự cố an toàn thông tin mạng tùy theo tình hình cụ thể. Cảnh báo cho bộ phận phụ trách về an toàn thông tin mạng, đơn vị vận hành hệ thống thông tin, chủ quản hệ thống thông tin khi phát hiện các tấn công, rủi ro, sự cố xảy ra đối với đối tượng giám sát;

e) Hướng dẫn việc triển khai giám sát của chủ quản hệ thống thông tin; tổ chức thiết lập và hướng dẫn kết nối từ hệ thống giám sát của chủ quản hệ thống thông tin đến các hệ thống phục vụ giám sát trung tâm của Bộ Thông tin và Truyền thông. Bảo mật dữ liệu an toàn thông tin mạng trong quá trình thu thập và phân tích;

g) Định kỳ thống kê kết quả giám sát, tình hình cảnh báo và xử lý tấn công, rủi ro, sự cố an toàn thông tin mạng để phục vụ công tác lưu trữ, báo cáo;

h) Hướng dẫn, hỗ trợ đơn vị vận hành hệ thống thông tin, chủ quản hệ thống thông tin thực hiện ứng cứu, xử lý các tấn công, rủi ro, sự cố an toàn thông tin mạng trong trường hợp cần thiết;

i) Hỗ trợ một số đơn vị vận hành hệ thống thông tin, chủ quản hệ thống thông tin thiết lập hệ thống quan trắc cơ sở phù hợp với nguồn lực thực tế;

k) Các đơn vị chức năng của Bộ Thông tin và Truyền thông hàng năm lập dự toán và phê duyệt, phân bổ kinh phí thực hiện nhiệm vụ giám sát từ nguồn ngân sách nhà nước và các nguồn vốn hợp pháp khác theo quy định của pháp luật và hướng dẫn của cơ quan chức năng để trình Bộ trưởng hoặc trình cấp có thẩm quyền phê duyệt.

Chương IV

TRÁCH NHIỆM CỦA CÁC CƠ QUAN, TỔ CHỨC

Điều 12. Cục An toàn thông tin

1. Quản lý và vận hành Hệ thống xử lý tấn công mạng Internet Việt Nam để thực hiện hoạt động giám sát trung tâm.

2. Tổng hợp kết quả giám sát và các thông tin, số liệu về an toàn thông tin mạng phục vụ công tác quản lý nhà nước về an toàn thông tin.

3. Đôn đốc việc thực hiện các yêu cầu cơ bản về bảo đảm an toàn hệ thống thông tin và giám sát theo quy định pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ.

4. Chủ trì, phối hợp với Trung tâm VNCERT nghiên cứu xây dựng tiêu chí kỹ thuật và hướng dẫn chi tiết việc kết nối giữa Hệ thống quan trắc cơ sở và Hệ thống xử lý tấn công mạng Internet Việt Nam trình Bộ trưởng Bộ Thông tin và Truyền thông ban hành.

5. Phối hợp hoặc chủ trì giám sát các hệ thống thông tin thuộc lĩnh vực quan trọng cần ưu tiên đảm bảo an toàn thông tin mạng theo đề nghị của chủ quản hệ thống thông tin.

Điều 13. Trung tâm VNCERT

1. Quản lý và vận hành Hệ thống giám sát các sự cố an toàn mạng để thực hiện hoạt động giám sát trung tâm.

2. Tổng hợp kết quả giám sát và các thông tin, số liệu về an toàn thông tin mạng phục vụ công tác điều phối, ứng cứu sự cố.

3. Chủ trì, phối hợp với Cục An toàn thông tin xây dựng hướng dẫn quy trình giám sát; tổ chức triển khai các hoạt động nâng cao năng lực giám sát; đôn đốc, theo dõi, kiểm tra hoạt động giám sát, cảnh báo an toàn thông tin mạng theo phân công của Bộ trưởng Bộ Thông tin và Truyền thông.

4. Chủ trì, phối hợp với Cục An toàn thông tin nghiên cứu xây dựng tiêu chí kỹ thuật và hướng dẫn chi tiết việc kết nối giữa hệ thống quan trắc cơ sở và Hệ thống giám sát các sự cố an toàn mạng trình Bộ trưởng Bộ Thông tin và Truyền thông ban hành.

5. Chủ trì thực hiện giám sát, cảnh báo an toàn thông tin mạng đối với các hệ thống thông tin, dịch vụ công nghệ thông tin phục vụ Chính phủ điện tử. Phối hợp hoặc chủ trì giám sát các hệ thống thông tin thuộc lĩnh vực quan trọng cần ưu tiên đảm bảo an toàn thông tin mạng theo đề nghị của chủ quản hệ thống thông tin.

6. Tổng hợp, báo cáo kết quả giám sát, cảnh báo an toàn thông tin mạng quốc gia và thống kê các tấn công, rủi ro, sự cố an toàn thông tin mạng.

Điều 14. Chủ quản các hệ thống thông tin

1. Chỉ đạo thực hiện giám sát đối với các hệ thống thông tin thuộc phạm vi quản lý, phối hợp với đơn vị chức năng của Bộ Thông tin và Truyền thông thực hiện giám sát theo quy định.

2. Thực hiện theo các hướng dẫn và phối hợp chặt chẽ với đơn vị chức năng của Bộ Thông tin và Truyền thông trong hoạt động giám sát.

3. Cung cấp các thông tin về hoạt động giám sát theo yêu cầu của của Bộ Thông tin và Truyền thông.

4. Thực hiện báo cáo kết quả giám sát định kỳ 6 tháng theo mẫu tại Phụ lục 2 hoặc khi có yêu cầu của của Bộ Thông tin và Truyền thông.

5. Chuẩn bị các cổng kết nối, giao diện kết nối dự phòng tại các điểm kết nối Internet theo các tiêu chí kỹ thuật đã quy định để thiết lập điểm giám sát của Bộ Thông tin và Truyền thông khi cần.

6. Chủ quản hệ thống thông tin do Bộ Thông tin và Truyền thông thực hiện giám sát có trách nhiệm:

a) Xác định, lập danh sách các hệ thống, đối tượng cần thực hiện giám sát, và cung cấp các thông tin kỹ thuật liên quan của các hệ thống, đối tượng cần thực hiện giám sát gửi Bộ Thông tin và Truyền thông;

b) Tiến hành triển khai hệ thống giám sát của chủ quản hệ thống thông tin theo quy định tại Thông tư này và quy định pháp luật có liên quan; phối hợp cung cấp các thông tin về hạ tầng, hệ thống thông tin cần giám sát và thực hiện các hỗ trợ kỹ thuật theo yêu cầu của các đơn vị chức năng của Bộ Thông tin và Truyền thông;

c) Tổ chức đội ngũ tiếp nhận các cảnh báo và xử lý các tấn công, rủi ro, sự cố an toàn thông tin mạng theo cảnh báo, yêu cầu của các đơn vị chức năng của Bộ Thông tin và Truyền thông;

d) Định kỳ thống kê kết quả xử lý tấn công, rủi ro, sự cố an toàn thông tin mạng phục vụ công tác lưu trữ, báo cáo.

7. Hàng năm lập dự toán và phê duyệt, phân bổ kinh phí thực hiện nhiệm vụ giám sát từ nguồn ngân sách nhà nước và các nguồn vốn hợp pháp khác theo quy định của pháp luật và hướng dẫn của cơ quan chức năng.

Chương V

TỔ CHỨC THỰC HIỆN

Điều 15. Hiệu lực thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 15 tháng 01 năm 2018.

2. Trong quá trình thực hiện, nếu có vướng mắc, phát sinh tổ chức, cá nhân có liên quan kịp thời phản ánh về Bộ Thông tin và Truyền thông để được hướng dẫn hoặc xem xét bổ sung và sửa đổi./.


Nơi nhận:
- Thủ tướng, các Phó Thủ tướng Chính phủ;
- Văn phòng Chính phủ;
- Văn phòng Trung ương và các Ban của Đảng;
- Văn phòng Tổng Bí thư;
- Văn phòng Quốc hội;
- Văn phòng Chủ tịch nước;
- Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ;
- Tòa án nhân dân tối cao;
- Viện Kiểm sát nhân dân tối cao;
- Kiểm toán Nhà nước;
- HĐND, UBND các tỉnh, thành phố trực thuộc Trung ương;
- Cơ quan Trung ương của các đoàn thể;
- Ủy ban quốc gia về ứng dụng CNTT;
- Ban chỉ đạo an toàn thông tin quốc gia;
- Các đơn vị chuyên trách về CNTT, ATTT của Bộ, cơ quan ngang Bộ, Cơ quan thuộc Chính phủ;
- Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc Trung ương;
- Các Công ty dịch vụ hạ tầng viễn thông, Internet;
- Công báo, Cổng Thông tin điện tử Chính phủ;
- Cục Kiểm tra văn bản QPPL (Bộ Tư pháp);
- Bộ TTTT: Bộ trưởng và các Thứ trưởng, các cơ quan, đơn vị thuộc Bộ, Cổng thông tin điện tử Bộ;
- Lưu: VT, VNCERT (250)

BỘ TRƯỞNG




Trương Minh Tuấn

PHỤ LỤC 1:

MẪU PHIẾU CUNG CẤP THÔNG TIN PHỤC VỤ GIÁM SÁT

ĐƠN VỊ CẤP TRÊN
TÊN ĐƠN VỊ
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

…………., ngày …. tháng …. năm 20…..

PHIẾU CUNG CẤP/CẬP NHẬT THÔNG TIN
VỀ HỆ THỐNG THÔNG TIN CẦN THỰC HIỆN GIÁM SÁT AN TOÀN THÔNG TIN MẠNG

Kính gửi: Bộ Thông tin và Truyền thông

I. Thông tin về đơn vị vận hành và đầu mối cung cấp thông tin

- Tên cơ quan/đơn vị quản lý vận hành hệ thống thông tin: ...............................................

- Địa chỉ: .............................................................................................................................

- Tên người/đầu mối cung cấp thông tin: ...........................................................................

- Chức danh: ......................................................................................................................

- Số điện thoại: ...................................................................................................................

- Email: ...............................................................................................................................

II. Các hệ thống thông tin cần giám sát

A. Các hệ thống thông tin hiện có:

□ Cổng thông tin điện tử: ...................................................................................................

□ Hệ thống dịch vụ công trực tuyến: ..................................................................................

□ Hệ thống thư điện tử: ......................................................................................................

□ Hệ thống quản lý văn bản điều hành: ..............................................................................

□ Hệ thống cơ sở dữ liệu: ...................................................................................................

□ Hệ thống khác (ghi rõ): ....................................................................................................

B. Thông tin cụ thể các hệ thống thông tin cần giám sát

1. Hệ thống thông tin thứ nhất:

1.1. Tên hệ thống thông tin: ................................................................................................

1.2. Mô tả tóm tắt chức năng, quy mô, phạm vi phục vụ của hệ thống thông tin:...............

............................................................................................................................................

1.3. Cấp độ của hệ thống thông tin: ....................................................................................

1.4. Hệ thống thông tin được đặt tại:...................................................................................

□ Trung tâm dữ liệu của cơ quan, đơn vị, tại: ....................................................................

được quản lý bởi (tên đơn vị quản lý, vận hành trung tâm dữ liệu): ...................................

□ Thuê hosting ngoài, tại Trung tâm dữ liệu của (tên đơn vị cung cấp dịch vụ hosting, trung tâm dữ liệu):

tại (địa chỉ trung tâm dữ liệu): ..............................................................................................

1.5. Tên miền, UPL của hệ thống thông tin: ........................................................................

1.6. Các (dải) địa chỉ IP Internet sử dụng trong hệ thống thông tin:

.............................................................................................................................................

1.7. Thiết bị hạ tầng mạng phục vụ cho hệ thống thông tin:

□ Switch (chủng loại, model): ..............................................................................................

□ Router (chủng loại, model): ..............................................................................................

□ IDS/IPS (Thiết bị phát hiện/ngăn chặn tấn công) (chủng loại, model): ............................

□ Tường lửa, Firewall (chủng loại, model): .........................................................................

□ Thiết bị mạng khác (chủng loại, model): ..........................................................................

1.8. Các phần mềm nền tảng, phần mềm hệ thống, công cụ (PMNT), hệ điều hành (HĐH) sử dụng trong hệ thống thông tin

□ Các HĐH máy chủ: ..........................................................................................................

□ Các PMNT ứng dụng: ......................................................................................................

□ Các HĐH máy trạm: .........................................................................................................

□ Các phần mềm nền tảng, hệ thống, công cụ, hệ điều hành khác (ghi rõ): ......................

1.9. Các thông tin kỹ thuật khác của hệ thống thông tin (ghi rõ):

.............................................................................................................................................

1.10. Giải pháp giám sát an toàn thông tin cho hệ thống thông tin:

□ Đã có (ghi rõ các thông tin dưới đây) □ Chưa có

a. Giám sát của chủ quản hệ thống thông tin:

□ Tự thực hiện.

□ Thuê dịch vụ (ghi rõ đơn vị cung cấp dịch vụ): ................................................................

- Hình thức giám sát (trực tiếp hay gián tiếp): ....................................................................

- Mô tả công nghệ, kỹ thuật giám sát: ................................................................................

............................................................................................................................................

- Khả năng phân tích số lượng sự kiện an toàn mạng/mỗi giây (EPS): .................... EPS.

- Dung lượng ổ cứng lưu trữ sự kiện an toàn mạng /ngày (GB/day): .................. GB/Day.

- Hệ thống giám sát có sử dụng các bộ luật xử lý tương quan: □ Có; □ Không.

- Mức độ giám sát (Chọn các mức độ dưới đây):

□ Giám sát mức cơ bản (lớp mạng và vành đai): thực hiện giám sát đối với các thiết bị mạng như router, switch, tường lửa (firewall), IDS/IPS.

□ Giám sát mức lớp hệ điều hành: có thu thập và phân tích nhật ký của hệ điều hành.

□ Giám sát lớp ứng dụng: có thu thập, phân tích, giám sát nhật ký các dịch vụ ứng dụng (ví dụ: web server; mail server v.v...)

□ Giám sát lớp cơ sở dữ liệu: có thu thập, phân tích, giám sát nhật ký dịch vụ cơ sở dữ liệu.

- Các thành phần của hệ thống giám sát (Chọn các thành phần dưới đây):

□ Thành phần quan trắc cơ sở (như các Sensor thu thập thông tin, thiết bị IDS/IPS, thiết bị Firewall...)

□ Thành phần thu thập/chuẩn hóa dữ liệu đã thu thập thông tin an toàn mạng (Connector)

□ Thành phần lưu trữ dữ liệu giám sát (Logger)

□ Thành phần phân tích, giám sát trung tâm(ESM)

- Mô tả các thiết bị quan trắc cơ sở: .................................................................................

...........................................................................................................................................

...........................................................................................................................................

b. Giải pháp giám sát khác (nếu có, ghi rõ đơn vị thực hiện, mô tả tóm tắt công nghệ, kỹ thuật giám sát):

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

c. Giám sát an toàn thông tin Bộ Thông tin và Truyền thông cho hệ thống thông tin:

- Đề nghị Bộ Thông tin và Truyền thông:

□ Triển khai kết nối giám sát;

□ Chưa đề nghị thực hiện;

□ Khác ................................................................................................................................

- Đề nghị hỗ trợ giám sát của chủ quản hệ thống thông tin:

□ Có (ghi rõ mong muốn giám sát trực tiếp/gián tiếp hoặc cả hai): ...................................

□ Không

- Yêu Cầu/Đề nghị khác: ...................................................................................................

...........................................................................................................................................

2. Hệ thống thông tin thứ hai: (ghi như hệ thống thông tin thứ nhất)

...........................................................................................................................................

n. Hệ thống thông tin thứ n: (ghi như hệ thống thông tin thứ nhất)

...........................................................................................................................................

III. Nhân lực thực hiện công tác giám sát an toàn thông tin (giám sát)

1. Lãnh đạo chỉ đạo công tác giám sát của đơn vị (ghi rõ họ tên, chức vụ, điện thoại, email):......

...........................................................................................................................................

...........................................................................................................................................

2. Trưởng bộ phận giám sát của đơn vị (ghi rõ họ tên, chức vụ, điện thoại, email):..........

...........................................................................................................................................

...........................................................................................................................................

3. Danh sách cán bộ giám sát của đơn vị:

TT

Họ tên

Đào tạo (bằng cấp chuyên môn)

Chứng chỉ kỹ thuật, nghiệp vụ liên quan (nếu có)

4. Kiến nghị của đơn vị đối với công tác giám sát:............................................................

...........................................................................................................................................

Người điền phiếu
(Ký, ghi rõ họ tên, điện thoại, email)

Thủ trưởng đơn vị
(Ký tên, đóng dấu)

PHỤ LỤC 2:

MẪU BÁO CÁO HOẠT ĐỘNG GIÁM SÁT CỦA CHỦ QUẢN HỆ THỐNG THÔNG TIN

ĐƠN VỊ CẤP TRÊN
TÊN ĐƠN VỊ
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

…………., ngày …. tháng …. năm …..

BÁO CÁO

ĐỊNH KỲ CỦA CHỦ QUẢN HỆ THỐNG THÔNG TIN

(từ ngày ………đến ngày…………. )

Kính gửi: Bộ Thông tin và Truyền thông

I. Thông tin giám sát tổng hợp

- Thời gian giám sát:... giờ... phút ngày ... đến ... giờ ... phút ngày ...

- Tổng số sự kiện an toàn thông tin thu thập được:

- Tổng số sự kiện an toàn thông tin nguy hiểm mức cao:

- Tình trạng an toàn thông tin: [Nghiêm trọng/Nguy Hiểm/Bình Thường/An toàn]

- Số lượng các sự cố xảy ra:

- Tóm tắt tình hình an toàn thông tin trong thời gian giám sát:

.............................................................................................................................................

.............................................................................................................................................

II. Kết quả giám sát

1. Danh sách kỹ thuật tấn công được phát hiện nhiều nhất (tối thiểu 05 kỹ thuật tấn công nhiều nhất)

STT

Kỹ thuật tấn công

Số lượng cuộc tấn công

1

2

3

4

5

2. Danh sách dịch vụ bị tấn công nhiều nhất (tối thiểu 05 dịch vụ bị tấn công nhiều nhất)

STT

Số cổng dịch vụ/ địa chỉ IP

Dịch vụ

Số lượng cuộc tấn công

1

2

3

4

5

3. Danh sách địa chỉ IP bị tấn công nhiều nhất (tối thiểu 05 địa chỉ IP)

STT

Địa chỉ IP

Mô tả về thiết bị/phần mềm có địa chỉ IP bị tấn công

Số lượng cuộc tấn công

1

- Các dịch vụ cung cấp:

1. Tên dịch vụ:

+ Mã số cổng cung cấp dịch vụ:

+ Giao thức hoạt động:

+ Phần mềm, phiên bản cung cấp dịch vụ:

+ Thời gian

2. Tên dịch vụ: ………………………….

2

3

4

5

4. Danh sách địa chỉ IP nguồn tấn công nhiều nhất từ trong nước (tối thiểu 05 địa chỉ IP)

STT

Địa chỉ IP

Số lượng cuộc tấn công

1

2

3

4

5

5. Danh sách địa chỉ IP nguồn tấn công nhiều nhất từ nước ngoài (tối thiểu 05 địa chỉ IP)

STT

Địa chỉ IP

Số lượng cuộc tấn công

1

2

3

4

5

III. Các loại tấn công điển hình

1. Các loại tấn công nguy hiểm nhất (tối thiểu 05):

1. 1. Kỹ thuật tấn công thứ 1:

- Tên kỹ thuật tấn công: ......................................................................................................

- Mã hiệu quốc tế (nếu có): .................................................................................................

- Các đối tượng bị tấn công: ...............................................................................................

- Dấu hiệu nhận biết: ..........................................................................................................

- Mô tả: ...............................................................................................................................

- Số lượng và thời gian xảy ra: ...........................................................................................

- Đánh giá mức độ nguy hiểm: ...........................................................................................

- Ảnh hưởng: ......................................................................................................................

- Các biện pháp xử lý đã được triển khai: ...........................................................................

- Tài liệu tham khảo: ............................................................................................................

- Ghi chú khác: ....................................................................................................................

1.2. Kỹ thuật tấn công thứ 2: (Mô tả tương tự kỹ thuật tấn công thứ 1)

1.3. Kỹ thuật tấn công thứ 3: (Mô tả tương tự kỹ thuật tấn công thứ 1)

1.4. Kỹ thuật tấn công thứ 4: (Mô tả tương tự kỹ thuật tấn công thứ 1)

1.5. Kỹ thuật tấn công thứ 5: (Mô tả tương tự kỹ thuật tấn công thứ 1)

.............................................................................................................................................

1.n. Kỹ thuật tấn công n: .....................................................................................................

2. Các loại tấn công diễn ra nhiều nhất (tối thiểu 05)

2.1. Kỹ thuật tấn công thứ 1:

- Tên kỹ thuật tấn công: ......................................................................................................

- Mã hiệu quốc tế (nếu có): .................................................................................................

- Các đối tượng bị tấn công: ...............................................................................................

- Dấu hiệu nhận biết: ..........................................................................................................

- Mô tả: ...............................................................................................................................

- Số lượng và thời gian xảy ra: ...........................................................................................

- Đánh giá mức độ nguy hiểm: ............................................................................................

- Ảnh hưởng: .......................................................................................................................

- Các biện pháp xử lý đã được triển khai: ...........................................................................

- Tài liệu tham khảo: ............................................................................................................

- Ghi chú khác: ....................................................................................................................

2.2. Kỹ thuật tấn công thứ 2: (Mô tả tương tự kỹ thuật tấn công thứ 1)

2.3. Kỹ thuật tấn công thứ 3: (Mô tả tương tự kỹ thuật tấn công thứ 1)

2.4. Kỹ thuật tấn công thứ 4: (Mô tả tương tự kỹ thuật tấn công thứ 1)

2.5. Kỹ thuật tấn công thứ 5: (Mô tả tương tự kỹ thuật tấn công thứ 1)

...........................................................................................................................................

2.n. Kỹ thuật tấn công n: ...................................................................................................

3. Các loại tấn công mới xuất hiện (tối thiểu 05)

3.1. Kỹ thuật tấn công thứ 1:

- Tên kỹ thuật tấn công: ....................................................................................................

- Mã hiệu quốc tế (nếu có): ...............................................................................................

- Các đối tượng bị tấn công: .............................................................................................

- Dấu hiệu nhận biết: ........................................................................................................

- Mô tả: ..............................................................................................................................

- Số lượng và thời gian xảy ra: .........................................................................................

- Đánh giá mức độ nguy hiểm: ..........................................................................................

- Ảnh hưởng: .....................................................................................................................

- Các biện pháp xử lý đã được triển khai: .........................................................................

- Tài liệu tham khảo: ..........................................................................................................

- Ghi chú khác: ..................................................................................................................

3.2. Kỹ thuật tấn công thứ 2: (Mô tả tương tự kỹ thuật tấn công thứ 1)

3.3. Kỹ thuật tấn công thứ 3: (Mô tả tương tự kỹ thuật tấn công thứ 1)

3.4. Kỹ thuật tấn công thứ 4: (Mô tả tương tự kỹ thuật tấn công thứ 1)

3.5. Kỹ thuật tấn công thứ 5: (Mô tả tương tự kỹ thuật tấn công thứ 1)

...........................................................................................................................................

3.n. Kỹ thuật tấn công n: ...................................................................................................

IV. Các vấn đề khác về an toàn thông tin trong kỳ giám sát

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

V. Đề xuất và kiến nghị:

...........................................................................................................................................

...........................................................................................................................................


Nơi nhận:
- Như trên;
- Trung tâm VNCERT;
- Cục ATTT;
- Lưu ....

Thủ trưởng đơn vị
(ký, đóng dấu)

MINISTRY OF INFORMATION AND COMMUNICATIONS
--------

SOCIALIST REPUBLIC OF VIETNAM
Independence – Freedom - Happiness

----------------

No.: 31/2017/TT-BTTTT

Hanoi, November 15, 2017

 

CIRCULAR

ON SURVEILLANCE OF INFORMATION SYSTEM SECURITY

Pursuant to Law on Cyber information Security dated November 19, 2015;

Pursuant to the Government’s Decree No. 72/2013/NĐ-CP dated July 15, 2013 on management, provision and use of Internet services and online information;

Pursuant to the Government’s Decree 25/2014/NĐ-CP dated April 7, 2014 on preventing and taking actions against crimes and other violations of law involved in high technology;

Pursuant to the Government’s Decree No. 85/2016/NĐ-CP dated July 01, 2016 on security of information systems by classification;

Pursuant to the Government’s Decree No. 17/2017/NĐ-CP dated February 17, 2017 on functions, duties, power and organizational structure of the Ministry of Information and Communications;

Pursuant to the Prime Minister’s Decision No. 05/2017/QĐ-TTg dated March 16, 2017 on emergency response plans to ensure national cyber information security;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

At the request of Director of Vietnam Computer Emergency Response Teams;

The Minister of Information and Communications promulgates the Circular on surveillance of information system security.

Chapter I

GENERAL PROVISIONS

Article 1. Scope

This Circular provides guidelines for surveillance of information system security (hereinafter referred to as “surveillance”) in the whole country, except for information systems managed by Ministry of National Defense and Ministry of Public Security.

Article 2. Regulated entities

This Circular applies to authorities, organizations and individuals directly carrying out surveillance or involved in these activities in the whole country.

Chapter II

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Article 3. Surveillance principles

1. Surveillance is carried out regularly and continuously.

2. Surveillance, analysis and prevention methods are actively implemented to promptly detect and prevent cyber information security incidents and risks.

3. The stability and security of information provided or exchanged during the surveillance are ensured.

4. There are close and effective regulation and cooperation between surveillance carried out by Ministry of Information and Communications and those carried out by managers of information systems. Connection between the surveillance system of the Ministry of Information and Communications and those of managers of information systems are gradually established in the whole country.

Article 4. Surveillance methods

1. Surveillance shall be carried out directly (direct surveillance) or indirectly (indirect surveillance). A manager of an information system may carry out surveillance or use surveillance services. If necessary, according to capacity, situation and actual resources, the manager of an information system may request relevant authorities affiliated to the Ministry of Information and Communications to provide assistance in surveillance in conformity with actual resources.

2. Direct surveillance is the surveillance carried out by installing equipment for analyzing dataflow (surveillance), directly collecting information from log files and warnings about information security intrusions, risks and incidents. A direct surveillance shall include the following activities:

a) Analysis and collection of information on cyber information security. To be specific:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Collecting log files and cyber information security warnings expressing the operation of applications, information system and information security equipment

b) Consolidation, synchronization, verification and processing of information on cyber information security to detect cyber information security intrusions, risk and incidents or remove inaccurate information.

3. Indirect surveillance is surveillance carried out through techniques for collecting information from relevant information sources; inspecting and surveillance of entities under surveillance for determine their operation and capacity to satisfy and connect with other relevant factors to detect cyber information security intrusions, risks and incidents. Indirect surveillance includes the following activities:

a) Collection, analysis and verification of information about cyber information security intrusions, risks and incidents related to entities under surveillance collected from relevant information sources;

b) Remote or direct inspection and review of entities under surveillance for assessing situation and detecting cyber information security intrusions, risks and incidents able to be used, intruded or damaged.

Article 5. Requirements for direct surveillance by managers of information systems

Managers of information systems shall actively carry out surveillance in accordance with applicable regulations. Surveillance of 3rd -class information systems or higher class by their managers shall satisfy the following requirements:

1.  Central surveillance by the manager shall satisfy the following requirements:

a) Sufficient features of collection and consolidation of information on cyber information security are provided;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

c) Interfaces facilitating the continuous surveillance and surveillance by supervisors are provided;

d) The following input information is collected and analyzed: wed servers with web applications such as portal, online public services, etc; warnings and log files of basic monitoring equipment; warns and log files of firewalls established for protecting internet connection related to entities requiring surveillance;

e) The central surveillance is suitable for quantity and formats of and able to analyze information on cyber information security collected from information systems under surveillance.

2. Collection of information on cypherinformation security and basic monitoring shall satisfy the following requirements:

a) Information on cyber information security is collected from log files and warnings of software or equipment related to entities requiring surveillance for provision for central host computer servers or at the request of competent authorities affiliated to Ministry of Information and Communications. The following information on cyber information security is collected and provided: wed servers with web applications such as portal, online public services, etc; warnings and log files of basic monitoring equipment; warnings and log files of firewalls established for protecting internet connection related to entities requiring surveillance;

b) Basic monitoring equipment is able to detect cyber information security intrusions, risks and incidents and is established to ensure surveillance of all Internet connections of entities requiring surveillance;

c) Surveillance equipment has functions of detection and establishment of separate rules for detecting intrusions based on the following information: source IP address, destination IP address, source port address, destination port address, special data segments in transmitted packets. If organizations and individuals use basic monitoring equipment themselves, existing applications such as IDS, IPS, Web firewalls, etc are prioritized to be used basic as surveillance equipment;

d) Information systems serving the electronic government using encoded protocol (“https” for example) have technical measures for ensuring that equipment for surveillance cyber information security will have sufficient information to detect cyber information security intrusions, risks and incidents;

e) Basic monitoring equipment is established and connected with the surveillance system of the Ministry of Information and Communications according to instructions and requirement of competent authorities.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

a) Monitoring, continuously carrying out surveillance and making daily reports and ensuring the stable and continuous operation of and information collection of by the manager’s surveillance system;

b) Formulating and issuing regulations on cyber information security surveillance which specify time limit for regular collection of processing results and making reports;

c) Surveillance and operating the basic monitoring equipment to ensure the stability, continuity and timely adjustment in case of changes and following instructions provided by the Ministry of Information and Communications to ensure effective surveillance;

d) Making weekly reports on surveillance results and sending them to managers of information systems. A weekly report shall contain time of surveillance, the list of noticeable intruded entities (ID address, description of provided services and time of intrusion); intrusion methods that have been detected and relevant evidence; entities carrying out intrusions; changes in information systems under surveillance and surveillance systems, etc.;

dd) Classifying cyber information security risks and incidents according to specific cases;

e) Regularly getting results of handling of cyber information security risks and incidents for retention and report;

g) The manager of an information system requesting competent authorities affiliated to the Ministry of Information and Communications to monitor the grassroots system or information systems under surveillance of the Ministry of Information and Communications shall provide and update information on the information systems requiring surveillance and descriptions of technical plans for operating the manager’s surveillance system for the Ministry of Information and Communications using the specimen prescribed in Appendix 1, which includes the following information:

- Descriptions of each information system under surveillance, including IP address, domain name, provided services, name and version of the operating system and web applications;

- Position of the manager’s surveillance system, capacity of transmission lines connected with entities under surveillance of the manager, information expected to be collected and protocol of collection such as IDS warning, firewall logs, web server logs, etc.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

i) Regularly providing information on surveillance or surprisingly provide it at the request of the Ministry of Information and Communications in accordance with regulations of law;

k) Submitting reports on surveillance by the manager of information system every 6 months using the specimen prescribed in Appendix 2.

Article 6. Surveillance by enterprises

Telecommunications enterprises, enterprises providing information technology services and enterprises providing cyber information security services shall:

1. Cooperate with the manager of information system in surveillance at the request of the Ministry of Information and Communications.

2. Provide information on infrastructure, techniques and network system, provide technical assistance at the request of the Ministry of Information and Communications to serve the surveillance of the Ministry.

3. Carry out the tasks of surveillance prescribed in Article 7 of the Prime Minister’s Decision No. 05/2017/QĐ-TTg.

Article 7. Individuals and departments in charge of surveillance and warning

1. The manager of an information system shall appoint individuals or departments to take charge of surveillance and warning of cyber information security and cooperate with competent authorities affiliated to the Ministry of Information and Communications.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

3. Individuals and departments in charge of surveillance shall provide information via one or multiple manners such as official dispatchs, emails, telephone, fax, or exchange on a specialized communications software to ensure information security.

4. Information on an individual or a department in charge of surveillance includes name of individual, name of department, position, address, landline phone and mobile phone numbers, email and digital signature (if any).

Article 8. Information exchange, provision and sharing

1. Individuals and departments in charge of surveillance are encouraged to exchange and provide information for each other in order to cooperate in surveillance, warning of and response to incidents and increase the initiative in dealing with risks to, methods and tricks of intrusions into cyber information security of organizations and individuals.

2. Information that may be shared, provided or exchanged including information on  cyber information security intrusions, risks and incidents; methods, tricks and origins of intrusions; effects caused by incidents and management and technical methods for dealing with these risks, intrusions and incidents.

3. Principles of information exchange, provision and sharing

a) Appropriate management and technical methods are applied promptly and accurately to ensure security of exchanged information;

b) Exchanged information is actively verified to ensure its accuracy;

c) One or multiple manners for exchanging information such as website official dispatch, emails, messages, telephone or fax are used

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Article 9. Activities for increasing surveillance capacity

1. Organizing regular briefings and seminars in terms of surveillance activities.

2. Providing training and carrying out maneuvers to increase the surveillance capacity.

3. Accelerating and inspecting surveillance and warning by specialized department in charge of cyber information security.

4. Sharing knowledge and experience of surveillance, warning of and response to incidents.

5. Researching into and making devices for providing assistance in cooperating and exchanging information on surveillance, warning of and response to incidents.

6. Developing products and services of advanced surveillance, analysis and warning for each specific entity under surveillance.

7. Promote the development of bilateral and multilateral cooperation agreements between specialized departments in charge of cyber information security in order to increase surveillance and warning capacity.

8. Promoting international cooperation in surveillance, warning of and response to incidents.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

SURVEILLANCE BY THE MINISTRY OF INFORMATION AND COMMUNICATIONS

Article 10. Models of surveillance by the Ministry of Information and Communications

1. Central surveillance:

a) The central surveillance includes the collection, surveillance, detection, analysis, processing of, report on and collection of evidence for cyber information security intrusions, risks and incidents according to data/information on cyber information security collected by direct surveillance through the basic monitoring system or indirect surveillance; storage of collected data in the form of events and centralized management of basic monitoring systems;

b) The central surveillance shall be carried out through the cyber-security surveillance system and the system for dealing with intrusions into Vietnam internet managed and operated by competent authorities affiliated to the Ministry of Information and Communications according to principles of date sharing and connection for improve the surveillance effectiveness.

2. The basic monitoring system:

a) The basic monitoring system is comprised of equipment and software able to monitor, collect, analyze and provide information on log files, status and warnings for the central surveillance to serve the analysis and detection of incidents, weakness, risks and gaps of cyber information security;

b) The basic monitoring system is provided with technical conditions and is installed in a position suitable for operating and collecting data from entities under surveillance according to instructions provided by regulatory authorities affiliated to the Ministry of Information and Communications;

c) The competent authorities affiliated to the Ministry of Information and Communications shall take charge and cooperate with the manager of information system in setting up, managing and operating this system in accordance with regulations of law

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Article 11. Surveillance by the Ministry of Information and Communications

1. The Ministry of Information and Communications shall monitor systems and technology and information serving the electronic government.

2. At the request of managers of information systems, the Ministry of Information and Communications shall monitor important information systems in need of ensuring cyber information security in conformity with actual resources.

3. The central surveillance by the Ministry of Information and Communications shall ensure the receipt and analysis of information on surveillance collected from the basic monitoring system, equipment and system for indirect surveillance.

4. Surveillance by the Ministry of Information and Communications includes the following activities:

a) Selecting, managing and updating the list of entities under surveillance prescribed   in this Circular and other relevant legal documents;

b) Monitoring and watching the surveillance center, making reports on surveillance analysis; inspect and accelerate the surveillance and surveillance;

c) Consolidating, retaining, analyzing and classifying the information and data collected from the basic monitoring system, equipment and system for indirect surveillance and other information sources;

d) Inspecting and analyzing evidence and data to detect unusual signs and risks to cyber information security. If the risks or incidents have not been verified, taking supplemental measures for collecting more necessary information and data in order to increase the accuracy of analysis results and warning information;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

e) Providing instructions on surveillance by managers of information systems; creating and providing instructions on connection between the surveillance systems of managers of information systems and systems for central surveillance of the Ministry of Information and Communications; maintaining the information security during the collection and analysis thereof;

g) Regularly collecting surveillance results, warning and handling of cyber information security intrusions, risks and incidents for retention and report;

h) Instructing and helping operators and managers of information systems to respond to and handle cyber information security intrusions, risks and incidents if necessary;

i) Assisting certain operators and managers of information systems in setting up basic monitoring systems in conformity with actual resources; and

k) Competent authorities affiliated to the Ministry of Information and Communications shall make annual cost estimates, approve and distribute funding provided by the state budget and other legal source of funding for carrying out surveillance activities in accordance with regulations of law and instructions provided by competent authorities and submit their cost estimates to the Minister or competent authorities for approval.

Chapter IV

RESPONSIBILITIES OF AUTHORITIES AND ORGANIZATIONS

Article 12. Authority of Information Security

The Authority of Information Security shall:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

2. Consolidate surveillance results, information and data on cyber information security to serve the state administration in terms of information security.

3. Accelerate compliance with basic requirements for ensuring security of information and surveillance systems in accordance with regulations of law on ensuring security of information systems by classification.

4. Take charge and cooperate with Vietnam Computer Emergency Response Team (VNCERT) in researching into establishing technical criteria and issuing detailed instructions on connection between the basic monitoring system and the system for dealing with intrusions into Vietnam Internet and requesting the Minister of Information and Communications to promulgate them.

5. Cooperate in or take charge of surveillance of important information systems in need of ensuring cyber information security at the request of managers of information systems.

Article 13. VNCERT

VNCERT shall:

1. Manage and operate the system for cyber security intrusion surveillance to exercise the central surveillance.

2. Consolidate surveillance results, information and data on cyber information security for regulation and response to intrusions.

3. Take charge and cooperate with the Authority of Information Security in issuing instructions on surveillance procedures; organized activities for increasing the surveillance capacity; accelerate, monitor and inspect surveillance of and warnings about cyber information security according to assignment by the Ministry of Information and Communications.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

5. Take charge of surveillance and warning of cyber information security applicable to information systems and technology and information services serving the electronic government. Cooperate in or take charge of surveillance important information systems in need of ensuring cyber information security at the request of their managers.

6. Consolidate and report on results of surveillance and warnings of national cyber information security and total up cyber information security intrusions, risks and incidents

Article 14. Managers of information systems

Managers of information systems shall:

1. Provide directions on surveillance of information systems under their management; cooperate with competent authorities affiliated to the Ministry of Information and Communications in carrying out surveillance in accordance with regulations of law.

2. Follow instructions of and cooperate with competent authorities affiliated to the Ministry of Information and Communications in surveillance activities.

3. Provide information on surveillance activities at the request of the Ministry of Information and Communications.

4. Submit reports on surveillance results every 6 months using the specimen prescribed in Appendix 2 or at the request of the Ministry of Information and Communications.

5. Prepare backup ports and interface at internet connection points according to the prescribed technical criteria to set up surveillance points of the Ministry of Information and Communication Point if necessary.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

a) Determine and make lists of systems and entities under surveillance and provide relevant technical information thereon and send them to the Ministry of Information and Communications;

b) Implement their surveillance systems in accordance with regulations of this Circular and relevant regulations of law; cooperate in providing information on infrastructure and information systems under surveillance and provide technical assistance at the requests of competent authorities affiliated to the Ministry of Information and Communications;

c) Assign staffs to receive warnings about and deal with cyber information security intrusions, risks and incident at the warnings or requests of competent authorities affiliated to the Ministry of Information and Communications;

d) Regularly get results of handling of cyber information security intrusions, risks and incidents for retention and report;

7. Make annual cost estimates, approve and distribute funding granted by the state budget and other legal source of funding for carrying out surveillance in accordance with regulations of law and instructions by competent authorities.

Chapter V

IMPLEMENTATION

Article 15. Effect

1. This Circular comes into force from January 15, 2018.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

 

 

MINISTER




Truong Minh Tuan

 

Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Circular No. 31/2017/TT-BTTTT dated November 15, 2017 on surveillance of information system security

Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


1.790

DMCA.com Protection Status
IP: 3.144.224.159
Hãy để chúng tôi hỗ trợ bạn!