ỦY BAN NHÂN DÂN TỈNH VĨNH LONG -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 2323/QĐ-UBND	Vĩnh Long, ngày 12 tháng 11 năm 2024

 

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ QUẢN LÝ, VẬN HÀNH HỆ THỐNG GIÁM SÁT AN TOÀN, AN NINH MẠNG TỈNH VĨNH LONG

CHỦ TỊCH ỦY BAN NHÂN DÂN TỈNH VĨNH LONG

Căn cứ Luật Tổ chức Chính quyền địa phương ngày 19/6/2015;

Căn cứ Luật Ban hành văn bản quy phạm pháp luật ngày 22/6/2015;

Căn cứ Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22/11/2019;

Căn cứ Luật An toàn thông tin mạng ngày 19/11/2015;

Căn cứ Luật An ninh mạng ngày 12/6/2018;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông về việc quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Thông tư số 19/2023/TT-BTTTT ngày 25/12/2023 của Bộ trưởng Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Quyết định số 08/2023/QĐ-TTg ngày 05/4/2023 của Thủ tướng Chính phủ về Mạng truyền số liệu chuyên dùng phục vụ các cơ quan Đảng, Nhà nước.

Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 80/TTr-STTTT ngày 20/9/2024.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế về quản lý, vận hành Hệ thống giám sát an toàn, an ninh mạng tỉnh Vĩnh Long.

Điều 2. Sở Thông tin và Truyền thông chịu trách nhiệm tổ chức triển khai thực hiện các nội dung tại Quy chế này; giám sát, kiểm tra, hỗ trợ các cơ quan, đơn vị và địa phương thực hiện quy trình bảo đảm an toàn thông tin đối với Hệ thống giám sát an toàn, an ninh mạng tỉnh Vĩnh Long.

Điều 3. Chánh Văn phòng UBND tỉnh, Giám đốc Công an tỉnh, Giám đốc Sở Thông tin và Truyền thông, thủ trưởng các sở, ban, ngành tỉnh, Chủ tịch UBND các huyện, thị xã, thành phố và các cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này.

Quyết định có hiệu lực thi hành kể từ ngày ký./.

 

Nơi nhận: - Như Điều 3; - Thường trực: Tỉnh ủy, HĐND tỉnh; - CT, PCT.UBND tỉnh phụ trách VX; - CVP, PCVP phụ trách VX - Các sở, ban, ngành tỉnh; - UBND các huyện, thị xã, thành phố; - Phòng VHXH; - Lưu: VT, 18.VHXH.

CHỦ TỊCH Lữ Quang Ngời

 

QUY CHẾ

QUẢN LÝ, VẬN HÀNH HỆ THỐNG GIÁM SÁT AN TOÀN, AN NINH MẠNG TỈNH VĨNH LONG
(Ban hành kèm theo Quyết định số: 2323/QĐ-UBND ngày 12 tháng 11 năm 2024 của Chủ tịch UBND tỉnh Vĩnh Long)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định việc quản lý, khai thác và vận hành Hệ thống giám sát an toàn, an ninh mạng tỉnh Vĩnh Long (gọi tắt là Hệ thống SOC tỉnh).

Điều 2. Đối tượng áp dụng

Quy chế này áp dụng đối với các cơ quan, đơn vị trên địa bàn tỉnh và các tổ chức, cá nhân có liên quan tham gia quản lý, vận hành Hệ thống SOC tỉnh.

Điều 3. Giải thích từ ngữ

Trong Quy chế này các từ ngữ dưới đây được hiểu như sau:

1. Hệ thống giám sát an toàn, an ninh mạng của tỉnh (SOC - Security Operation Center): hệ thống công cụ, phần cứng, phần mềm được cài đặt tại Trung tâm tích hợp dữ liệu tỉnh có kết nối tới Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC - National Cyber Security Center) tạo thành hệ thống đồng bộ, thống nhất đảm bảo an toàn thông tin của tỉnh, phục vụ xây dựng Chính quyền điện tử, chuyển đổi số, triển khai dịch vụ thị thông minh của tỉnh.

2. Hệ thống thông tin: là một tập hợp phần cứng, phần mềm và cơ sở dữ liệu dược thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

3. Sự cố an toàn thông tin: là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng.

4. APT - Advanced Persistent Threat: tấn công có chủ đích.

5. IPS/IDS - Intrusion Prevention Systems/Intrusion Detection System: hệ thống phòng chống, phát hiện tấn công.

6. SIEM - Security Information and Event Management: thu thập, quản lý và phân tích sự kiện an ninh thông tin tập trung.

7. EDR - Endpoint Detection & Response: phòng, chống tấn công lớp đầu cuối.

8. SOAR - Security Orchestration, Automation and Response: điều phối, tự động hóa phản ứng an ninh thông tin tập trung.

9. NSM - Network Security Monitoring: giám sát cảnh báo trên lớp mạng.

Điều 4. Chủ sở hữu, quản lý, vận hành Hệ thống giám sát an toàn, an ninh mạng của tỉnh

1. Cơ quan chủ quản Hệ thống SOC tỉnh (gọi tắt là Cơ quan chủ quản): Ủy ban nhân dân tỉnh Vĩnh Long.

2. Cơ quan chịu trách nhiệm quản lý Hệ thống SOC tỉnh (gọi tắt là Cơ quan quản lý): Sở Thông tin và Truyền thông.

3. Đơn vị chịu trách nhiệm vận hành và khai thác Hệ thống SOC tỉnh (gọi tắt là Đơn vị vận hành): Trung tâm Công nghệ thông tin và Truyền thông trực thuộc Sở Thông tin và Truyền thông.

Điều 5. Các chức năng và phân hệ của Hệ thống giám sát an toàn, an ninh mạng của tỉnh

1. Các chức năng của Hệ thống giám sát an toàn, an ninh mạng của tỉnh

a) Phòng, chống tấn công từ chối dịch vụ, phát hiện và ngăn chặn tấn công cho các ứng dụng trên nền tảng WEB, tấn công APT,...

b) Giám sát, bảo vệ an toàn thông tin lớp mạng, lớp máy chủ, lớp ứng dụng và cơ sở dữ liệu và các thiết bị đầu cuối trong hệ thống.

d) Giám sát an toàn thông tin tập trung với đầy đủ các chức năng, hỗ trợ chia sẻ, kết nối với NCSC và các hệ thống giám sát, quản lý an toàn thông tin tập trung khác.

d) Kiểm soát truy nhập; giám sát hoạt động của thiết bị, hỗ trợ cập nhật bản vá phần mềm, hỗ trợ mã hóa dữ liệu.

e) Tổng hợp thông tin giám sát từ hệ thống phòng, chống mã độc tập trung.

2. Các phân hệ của Hệ thống giám sát an toàn, an ninh mạng của tỉnh

a) Phân hệ thu thập, quản lý và phân tích sự kiện an ninh thông tin tập trung (SIEM)[1].

b) Phân hệ phát hiện và phản ứng sự cố an toàn thông tin trên thiết bị đầu cuối (EDR)[2].

c) Phân hệ điều phối, tự động hóa phản ứng an ninh thông tin tập trung (SOAR)[3].

d) Phân hệ giám sát cảnh báo trên lớp mạng (NIPS)[4].

e) Phân hệ phòng chống mã độc (Anti-virus)[5].

f) Phân hệ tường lửa ứng dụng web (WAF)[6].

g) Phân hệ nền tảng tri thức mối đe dọa an toàn thông tin (Threat Intelligence Platform).

3. Các thành phần cơ bản của Hệ thống giám sát an toàn, an ninh mạng của tỉnh

a) Công nghệ gồm các phương án, giải pháp kỹ thuật được sử dụng để bảo đảm việc giám sát an toàn thông tin đáp ứng các yêu cầu về kỹ thuật và tính hiệu quả, với các thành phần sau: SIEM, Anti-virus, EDR, NIPS, WAF, SOAR, Threat Intelligence Platform.

b) Quy trình gồm các quy định trong quy chế, chính sách bảo đảm an toàn thông tin của cơ quan, tổ chức được xây dựng để phục vụ việc quản lý, vận hành hệ thống an toàn.

c) Nhân sự vận hành Hệ thống SOC tỉnh gồm: Trung tâm CNTT và Truyền thông trực thuộc Sở Thông tin và Truyền thông là đơn vị trực tiếp vận hành Hệ thống SOC tỉnh (đơn vị vận hành); đơn vị tham gia phối hợp giám sát (đơn vị độc lập). Đồng thời, có sự phối hợp chặt chẽ của Đội ứng cứu xử lý sự cố an toàn thông tin mạng tỉnh Vĩnh Long (Đội ƯCSC) do Sở Thông tin và Truyền thông là cơ quan thường trực.

Chương II

QUẢN LÝ, KHAI THÁC VÀ VẬN HÀNH HỆ THỐNG SOC TỈNH

Điều 6. Nguyên tắc quản lý, khai thác và vận hành Hệ thống SOC tỉnh

1. Chủ động theo dõi, phân tích, phòng ngừa để kịp thời phát hiện, ngăn chặn, xử lý sự cố an toàn thông tin.

2. Các đơn vị khai thác sử dụng khi phát hiện sự cố phải kịp thời thông báo đến cơ quan chịu trách nhiệm quản lý Hệ thống SOC tỉnh (Sở Thônng tin và Truyền thông) để kịp thời thực hiện điều phối, ngăn chặn, xử lý.

3. Hệ thống đảm bảo vận hành hoạt động thường xuyên, liên tục, ổn định 24/7 các ngày trong tuần.

4. Có sự điều phối, kết hợp chặt chẽ, hiệu quả giữa hoạt động giám sát của các đơn vị và cá nhân liên quan.

Điều 7. Kiểm soát truy nhập và xác thực

1. Cấp phát quyền truy cập, sử dụng và khai thác hệ thống phải bảo đảm chặt chẽ, bảo đảm đúng mục đích sử dụng. Việc cấp phát phải được thực hiện trên phần mềm, có ghi nhật ký quá trình cấp phát quyền do Cơ quan quản lý cấp phát quyền truy cập, sử dụng và khai thác hệ thống.

2. Vô hiệu hóa hoặc xóa các tài khoản đã được đăng ký trên hệ thống nhưng không làm việc trong hệ thống.

3. Triển khai xác thực 2 lớp hoặc các giải pháp phòng, tránh nguy cơ bị tấn công thăm dò mật khẩu với các tài khoản mặc định như: Administrator, Admin, Guest,...

4. Đặt mật khẩu phức tạp cho tài khoản (chữ hoa, chữ thường, ký tự số, ký tự đặc biệt); mật khẩu có tối thiểu 10 ký tự; mật khẩu tài khoản hệ thống phải được thay đổi trong thời gian 45 ngày.

5. Giới hạn số lần đăng nhập không thành công vào hệ thống là 05 lần. Sau 05 lần đăng nhập không thành công, tài khoản sẽ bị khóa trong thời gian tối thiểu là 05 phút hoặc yêu cầu xác thực.

6. Phát hiện và xử lý kịp thời những trường hợp người dùng truy nhập bất hợp pháp hoặc thao tác vượt quá giới hạn cho phép.

Điều 8. Quy định giám sát trên Hệ thống SOC tỉnh

1. Đối tượng giám sát

a) Hệ thống cơ sở hạ tầng thông tin và các hệ thống thông tin đang vận hành tại Trung tâm Tích hợp dữ liệu tỉnh.

b) Mạng truyền số liệu chuyên dùng tỉnh.

c) Hệ thống thông tin đang vận hành tại các sở, ban, ngành tỉnh, UBND các huyện, thị xã, thành phố (UBND cấp huyện), UBND các xã, phường, thị trấn (UBND cấp xã).

d) Các trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức trên địa bàn tỉnh được thiết lập như mạng diện rộng, điện toán đám mây; xác thực điện tử; kết nối liên thông các hệ thống thông tin.

e) Hệ thống thông tin khác có liên quan.

2. Nội dung giám sát

a) Việc giám sát phải được thực hiện liên tục 24/7 các ngày trong tuần đối với các sự kiện từ hệ thống cần bảo vệ; giám sát màn hình cảnh báo; kiểm tra và phân loại cảnh báo; phân công xử lý, theo dõi xử lý, hoàn thành lưu trữ kết quả xử lý.

b) Phân tích, phát hiện nguy cơ mất an toàn thông tin để thông báo đến các cơ quan, đơn vị có nguy cơ mất an toàn thông tin chủ động phòng ngừa.

c) Xử lý sự cố an toàn thông tin: phân tích các nhật ký hệ thống, các dấu hiệu tấn công, truy cập trái phép; nhận diện và xác định mức độ của sự cố; xác định các hành động cần thiết phải xử lý và phân công trách nhiệm của các thành phần tham gia xử lý (làm rõ nhiệm vụ của bộ phận chuyên trách và trách nhiệm của các cơ quan, đơn vị có liên quan); phân tích, khoanh vùng, điều tra nguyên nhân; thực hiện khắc phục sự cố.

3. Quản lý danh mục hồ sơ

a) Các quy trình vận hành, xử lý hệ thống.

b) Các quy trình bảo hành, bảo trì, bảo dưỡng hệ thống.

c) Hồ sơ thiết kế, thuyết minh kỹ thuật, hoàn công.

d) Hồ sơ theo dõi xử lý sự cố.

đ) Bảng thống kê danh sách thiết bị, phần mềm tại Hệ thống giám sát an toàn, an ninh mạng của tỉnh; thiết bị, phần mềm lắp đặt và cài tại các cơ quan, đơn vị, địa phương; biên bản bàn giao thiết bị cho người quản trị, người sử dụng (nếu có).

e) Tài liệu, biên bản kiểm tra, đánh giá của các cơ quan, đơn vị có liên quan.

g) Báo cáo quản trị hệ thống, nhật ký vận hành hệ thống.

h) Các hồ sơ, tài liệu kỹ thuật khác.

i) Hồ sơ phải được lưu bằng văn bản, tệp tin bản mềm trên máy tính hoặc phần mềm quản lý điều hành và phải được cập nhật khi có sự thay đổi.

Điều 9. Quy định khai thác Hệ thống SOC tỉnh

1. Phân loại mức độ của các sự cố mất an toàn thông tin

a) Mức độ sự cố thấp: là sự cố gây ảnh hưởng cá nhân và không làm gián đoạn hay đình trệ hoạt động chính của cơ quan, đơn vị.

b) Mức độ sự cố trung bình: là sự cố ảnh hưởng đến một nhóm người dùng nhưng không gây gián đoạn hay đình trệ hoạt động chính của cơ quan, đơn vị.

c) Mức độ sự cố cao: là sự cố làm cho thiết bị, phần mềm hay hệ thống không thể sử dụng được và gây ảnh hưởng đến một trong các hoạt động chính của cơ quan, đơn vị.

d) Mức độ sự cố khẩn cấp: là sự cố ảnh hưởng đến sự liên tục của nhiều hoạt động chính của cơ quan, đơn vị.

2. Quy trình xử lý sự cố mất an toàn thông tin

Khi có sự cố hoặc nguy cơ mất an toàn thông tin xảy ra như hệ thống hoạt động chậm bất thường, không truy cập được hệ thống, nội dung thông tin bị thay đổi không chủ động hoặc các dấu hiệu bất thường khác thì tiến hành quy trình ứng cứu sự cố an toàn thông tin theo các nội dung sau:

a) Bước 1: Ghi nhận sự cố

Trong quá trình vận hành, theo dõi hệ thống phần mềm của Hệ thống giám sát an toàn, an ninh mạng của tỉnh đưa ra cảnh báo về các sự cố.

Các sự cố được báo cáo về Cơ quan quản lý để điều phối xử lý sự cố và các cơ quan, đơn vị có liên quan biết phối hợp thực hiện.

Các sự cố đều được ghi nhận vào nhật ký xử lý sự cố đảm bảo đầy đủ, chính xác và kịp thời có sự xác nhận của các đầu mối liên quan.

b) Bước 2: Phân tích sự cố

Phân tích sơ bộ về mức độ sự cố và phạm vi ảnh hưởng qua đó có thể phân loại mức độ sự cố. Đơn vị vận hành phân tích đưa ra đề xuất về biện pháp ngăn chặn tạm thời để hạn chế việc mở rộng tấn công, khai thác và làm giảm phạm vi tấn công vào hệ thống. Mức độ nghiêm trọng của sự cố được phân loại theo Khoản 1 Điều 9 Quy chế này.

c) Bước 3: Ngăn chặn

Đơn vị vận hành phối hợp với Đội ứng cứu sự cố an toàn thông tin mạng của tỉnh (Đội ƯCSC), cán bộ an toàn thông tin của các cơ quan, đơn vị trong tỉnh thực hiện phương án ngăn chặn sự lây lan sự cố hoặc trì hoãn tiến trình tấn công mạng vào hệ thống. Một số biện pháp có thể đưa ra như: cô lập thiết bị, hệ thống ra khỏi mạng hiện đang sử dụng của đơn vị; ngắt kết nối mạng hoặc dịch vụ đang gặp sự cố.

d) Bước 4: Thu thập bằng chứng và truy tìm thủ phạm

Đơn vị vận hành chịu trách nhiệm thu thập các tệp tin dữ liệu có lưu trữ nhật ký hoạt động của các hệ thống, thiết bị gặp sự cố; phân tích nhật ký hoạt động và lưu giữ, bảo quản các chứng cứ số để thực hiện điều tra nguyên nhân gây ra sự cố, thủ phạm.

đ) Bước 5: Xử lý nguyên nhân sự cố

Sau khi thu thập bằng chứng và phân tích đã xác định được nguyên nhân gây ra sự cố, thủ phạm, Đơn vị vận hành phối hợp với Đội ƯCSC tỉnh để thực hiện loại bỏ nguyên nhân gây ra sự cố.

Nếu ngoài khả năng của Đội ƯCSC thì Đơn vị vận hành phối hợp với Đội ƯCSC và các cơ quan liên quan báo cáo Cơ quan chủ quản, Sở Thông tin và Truyền thông, Trung tâm ứng cứu an toàn không gian mạng thuộc Bộ Thông tin và Truyền thông để hỗ trợ điều phối ứng cứu.

e) Bước 6: Khôi phục

nhân gây ra sự cố khỏi tất cả các hệ thống, Đơn vị vận hành phối hợp với Đội ƯCSC khôi phục lại hệ thống, dịch vụ, tài nguyên và dữ liệu đã bị ảnh hưởng trong quá trình xảy ra sự cố, cần thực hiện kiểm tra, xác định tất cả dữ liệu bị mất, khôi phục dữ liệu từ bản sao lưu một cách đầy đủ. Sau khi đã thực hiện khôi phục tất cả dữ liệu bị mất, cần khởi động lại tất cả các quy trình và dịch vụ để duy trì hoạt động của cơ quan, tổ chức.

g) Bước 7. Hoạt động sau sự cố

Đơn vị vận hành đánh giá, đề xuất các biện pháp và xem xét các chính sách về an toàn thông tin để xây dựng hệ thống an toàn hơn và tránh lặp lại các sự cố tương tự xảy ra trong tương lai. Báo cáo kết quả khắc phục, xử lý sự cố đến các cơ quan, đơn vị có liên quan kịp thời theo quy định cụ thể tại Điều 13 của Quy chế này.

3. Quy trình xử lý sự cố an toàn thông tin đối với Hệ thống SOC tỉnh a) Khởi động và tắt hệ thống giám sát.

b) Thay đổi cấu hình và các thành phần của hệ thống giám sát.

c) Xử lý các sự cố liên quan đến hoạt động của hệ thống giám sát.

d) Sao lưu, dự phòng cấu hình hệ thống và các nhật ký của hệ thống.

đ) Bảo trì, nâng cấp hệ thống giám sát. e) Khôi phục hệ thống sau sự cố.

4. Trao đổi, cung cấp, chia sẻ thông tin Hệ thống SOC tỉnh

a) Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia, thực hiện đăng ký đầy đủ các dãy địa chỉ IP public của các hệ thống thông tin trong các cơ quan nhà nước trên địa bàn tỉnh phục vụ việc theo dõi, cảnh báo các kết nối bất thường, độc hại. Đăng ký tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia do Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam, Cục An toàn thông tin, Bộ Thông tin và Truyền thông điều phối. Phối hợp chặt chẽ với cơ quan điều phối quốc gia về ứng cứu sự cố an toàn thông tin mạng, tham gia hoạt động ứng cứu khẩn cấp khi có yêu cầu từ cơ quan điều phối.

b) Cung cấp định kỳ tình hình giám sát an toàn thông tin cho các cơ quan, đơn vị; phối hợp chặt chẽ với Đội ƯCSC, chia sẻ thông tin với Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao của Công an tỉnh nhằm tăng cường công tác đảm bảo an toàn, an ninh thông tin.

c) Kết nối, chia sẻ thông tin với Trung tâm Điều hành thông minh để phục vụ công tác theo dõi, chỉ đạo điều hành của lãnh đạo tỉnh.

d) Hình thức trao đổi thông tin

- Gọi điện thoại trực tiếp.

- Gửi thông báo qua hộp thư điện tử công vụ.

- Gửi thông báo bằng văn bản đến cơ quan, đơn vị.

Điều 10. Quy định về vận hành Hệ thống SOC tỉnh

1. Đơn vị vận hành có trách nhiệm lập kế hoạch bảo trì, bảo dưỡng và nâng cấp hệ thống hàng năm trình cơ quan có thẩm quyền phê duyệt.

2. Việc thực hiện bảo trì, bảo dưỡng và nâng cấp không được làm gián đoạn và ảnh hưởng đến tình hình hoạt động của Hệ thống SOC tỉnh; quá trình bảo trì, bảo dưỡng và nâng cấp phải thực hiện theo đúng quy trình và ghi nhật ký về tình trạng hoạt động trước và sau khi thực hiện.

3. Tối thiểu 01 năm một lần, Hệ thống SOC tỉnh lựa chọn đơn vị có năng lực về an toàn thông tin theo quy định để thực hiện kiểm tra, đánh giá, rà quét, phát hiện lỗ hổng, điểm yếu của hệ thống để có giải pháp phòng ngừa, đảm bảo an toàn thông tin.

4. Kiểm tra đánh giá định kỳ Hệ thống SOC tỉnh

a) Kiểm tra, đánh giá tình hình sử dụng trang thiết bị công nghệ thông tin của Hệ thống SOC tỉnh.

b) Kiểm tra, đánh giá hiệu quả của giải pháp việc tuân thủ quy định của pháp luật về đảm bảo an toàn thông tin theo cấp độ đã được phê duyệt.

c) Kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập Hệ thống SOC tỉnh.

d) Kiểm tra, đánh giá tuân thủ các quy định tại Quy chế này.

Điều 11. Quy định lưu trữ Log

1. Thu thập đầy đủ nhật ký (Log file) phản ánh hoạt động của các ứng dụng, hệ thống thông tin, thiết bị an toàn thông tin.

2. Thực hiện sao lưu dữ liệu theo nguyên tắc 3-2-1: có ít nhất 03 bản sao dữ liệu, lưu trữ bản sao trên 02 phương tiện lưu trữ khác nhau, với 01 bản sao lưu ngoại tuyến “offline” (sử dụng Tape/USB/ổ cứng di động,…); Triển khai giải pháp để sẵn sàng phục hồi nhanh hoạt động của hệ thống thông tin khi gặp sự cố, đưa hoạt động của hệ thống thông tin trở lại bình thường trong vòng 24 tiếng hoặc theo yêu cầu nghiệp vụ.

3. Thời gian lưu trữ Log hệ thống tối thiểu là 6 tháng.

Điều 12. Quy định về phối hợp xử lý

1. Các đầu mối giám sát trao đổi, cung cấp thông tin cho nhau nhằm mục đích phối hợp trong công tác giám sát, cảnh báo, ứng cứu sự cố và tăng tính chủ động ứng phó với các nguy cơ, mối đe dọa, phương thức, thủ đoạn tấn công an toàn thông tin của tổ chức, cá nhân.

2. Nguyên tắc phối hợp

a) Các thông tin trao đổi, phối hợp phải kịp thời, chính xác và áp dụng các biện pháp quản lý, kỹ thuật phù hợp để bảo mật thông tin trao đổi.

b) Chủ động xác minh thông tin trao đổi nhằm đảm bảo tính xác thực của thông tin.

3. Công cụ sử dụng

Ưu tiên sử dụng Nền tảng Điều phối xử lý sự cố an toàn thông tin mạng quốc gia (IRLab) để thực hiện phối hợp, xử lý sự cố.

Trong các trường hợp cần thiết, có thể sử dụng các phương tiện, kênh liên lạc khác để phối hợp xử lý sự cố.

Điều 13. Quy định về báo cáo

1. Đơn vị vận hành phải có báo cáo định kỳ hàng tháng (trước ngày 10 hàng tháng), hàng quý (trước ngày 10 tháng cuối quý), hàng năm (trước ngày 10/12 hàng năm) về kết quả giám sát, phát hiện, xử lý các cảnh báo và sự cố của Hệ thống SOC tỉnh cho bộ phận thường trực Tổ ứng cứu sự cố an toàn thông tin mạng tỉnh (qua Sở Thông tin và Truyền thông để báo cáo UBND tỉnh và Bộ Thông tin và truyền thông), Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao và các tổ chức có liên quan (nếu có).

2. Báo cáo đột xuất cho thường trực Đội ứng cứu sự cố an toàn thông tin mạng của tỉnh khi phát hiện sự cố mất an toàn thông tin.

3. Thông báo đến các cơ quan, đơn vị về nguy cơ mất an toàn thông tin, các lỗi, lỗ hổng bảo mật, nguy cơ mất an toàn thông tin được phát hiện trên hệ thống cần được xử lý.

4. Báo cáo kết quả khắc phục, xử lý sự cố mất an toàn thông tin mạng.

Chương III

TỔ CHỨC THỰC HIỆN

Điều 14. Trách nhiệm của Sở Thông tin và Truyền thông

1. Tham mưu UBND tỉnh nâng cấp và mở rộng Hệ thống SOC tỉnh đáp ứng yêu cầu đảm bảo an toàn thông tin phục vụ xây dựng chính quyền điện tử, phát triển đô thị thông minh và chuyển đổi số của tỉnh.

2. Chủ trì, phối hợp với các cơ quan, đơn vị trên địa bàn tỉnh và các tổ chức có liên quan trong việc quản lý, khai thác và vận hành Hệ thống SOC tỉnh.

3. Hướng dẫn, hỗ trợ kỹ thuật, đào tạo, tập huấn kiến thức về an toàn thông tin cho các cơ quan, đơn vị trên địa bàn tỉnh.

4. Tuyên truyền, phổ biến cho các cơ quan, đơn vị các quy định của pháp luật về an toàn thông tin.

5. Bố trí nhân lực vận hành Hệ thống SOC tỉnh đảm bảo hoạt động 24/7 các ngày trong tuần.

6. Hàng năm, dự trù kinh phí đảm bảo hoạt động của Hệ thống SOC tỉnh gửi Sở Tài chính thẩm định trình UBND tỉnh phê duyệt.

Điều 15. Trách nhiệm của Sở Tài chính

Chủ trì, phối hợp với Sở Thông tin và Truyền thông trình UBND tỉnh xem xét, phê duyệt kinh phí để đảm bảo hoạt động của Hệ thống giám sát an toàn, an ninh mạng của tỉnh.

Điều 16. Trách nhiệm của Công an tỉnh

1. Phối hợp với Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an (A05) kiểm tra, đánh giá điều kiện bảo đảm an toàn, an ninh thông tin đối với ứng dụng, trang thiết bị công nghệ thông tin tại Hệ thống SOC tỉnh.

2. Phối hợp với các cơ quan chức năng kiểm tra, đánh giá công tác bảo đảm an toàn, an ninh thông tin đối với Hệ thống SOC tinh.

Điều 17. Trách nhiệm của đơn vị cung cấp/cho thuê dịch vụ SOC

Phối hợp với đơn vị vận hành Hệ thống SOC tỉnh thực hiện:

1. Cấu hình kết nối chia sẻ thông tin với Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC).

2. Thực hiện cài đặt, kiểm tra cấu hình các Agent (SIEM Agent, EDR Agent) tại các đơn vị sử dụng theo yêu cầu của Cơ quan chủ quản.

3. Phối hợp với đơn vị vận hành thực hiện cấu hình các thiết bị mạng, bảo mật và các hệ thống liên quan để thu thập log, traffic phục vụ phân tích, giám sát.

4. Bảo mật thông tin, dữ liệu được thu thập từ Trung tâm dữ liệu tỉnh Vĩnh Long và các hệ thống thông tin được kết nối giám sát trên Hệ thống giám sát an toàn, an ninh mạng.

5. Đảm bảo duy trì hoạt động của hệ thống liên tục, thông suốt 24/7 trong thời gian sử dụng dịch vụ. Xử lý những sự cố kỹ thuật liên quan đến phần mềm cung cấp và các vấn đề phát sinh khi cung cấp dịch vụ và đảm bảo chất lượng dịch vụ trong quá trình khai thác sử dụng.

6. Cung cấp các thiết lập kỹ thuật, các liên kết, các hàm API có liên quan đến phần mềm của Hệ thống giám sát an toàn, an ninh mạng trong phạm vi dịch vụ cung cấp theo yêu cầu của đơn vị chủ quản khi cần.

7. Báo cáo định kỳ hàng tháng, năm và đột xuất tình hình sử dụng dịch vụ cho Sở Thông tin và Truyền thông.

8. Thực hiện các nhiệm vụ khác thuộc trách nhiệm của bộ phận Phân tích cảnh báo (Tier 1) và bộ phận Ứng cứu, xử lý sự cố (Tier 3) theo hướng dẫn tại Công văn số 235/CATTT-ATHTTT ngày 08/4/2020 của Cục An toàn thông tin - Bộ Thông tin và Truyền thông.

Điều 18. Trách nhiệm của các sở, ban, ngành và địa phương

Các sở, ban, ngành và địa phương tham gia vận hành Hệ thống SOC tỉnh có trách nhiệm phối hợp với Đơn vị vận hành thực hiện một số nội dung sau:

1. Bảo đảm hệ thống thông tin đặt tại cơ quan, đơn vị luôn kết nối với Hệ thống SOC tỉnh.

2. Khi phát hiện hệ thống bị lỗi, không hoạt động phải kịp thời thông báo về Cơ quan quản lý Hệ thống SOC của tỉnh để phối hợp xử lý các lỗi, lỗ hổng bảo mật, nguy cơ mất an toàn thông tin trên hệ thống thông tin.

3. Phải tuân thủ các quy định về an toàn bảo mật thông tin, quản lý, vận hành và khai thác Hệ thống giám sát an toàn, an ninh mạng của tỉnh.

4. Cử cán bộ phối hợp đơn vị vận hành trong quá trình cài đặt phần mềm giám sát bất thường SIEM Agent, EDR Agent trên máy chủ của đơn vị.

5. Không tự ý gỡ cài đặt các phần mềm giám sát bất thường SIEM Agent, EDR Agent ra khỏi máy chủ vận hành các hệ thống thông tin khi chưa thông báo cho Đơn vị vận hành.

Điều 19. Tổ chức thực hiện

1. Sở Thông tin và Truyền thông chịu trách nhiệm tuyên truyền, phổ biến, hướng dẫn, tổ chức triển khai và kiểm tra thực hiện Quy chế này.

2. Thủ trưởng các cơ quan, đơn vị trên địa bàn tỉnh và các tổ chức, cá nhân có liên quan trong phạm vi chức năng, nhiệm vụ của mình, có trách nhiệm tổ chức triển khai thực hiện nghiêm túc Quy chế này.

3. Những nội dung khác liên quan đến hoạt động quản lý, khai thác và vận hành Hệ thống giám sát an toàn, an ninh mạng của tỉnh không quy định tại Quy chế này được thực hiện theo quy định của pháp luật hiện hành.

4. Trong quá trình triển khai thực hiện, nếu phát sinh vướng mắc, bất cập, các Cơ quan, tổ chức, cá nhân phản ánh kịp thời về Sở Thông tin và Truyền thông để tổng hợp, báo cáo UBND tỉnh xem xét, sửa đổi, bổ sung Quy chế cho phù hợp./.