THÔNG TƯ

QUY ĐỊNH HOẠT ĐỘNG GIÁM SÁT AN TOÀN HỆ THỐNG THÔNG TIN

Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15 tháng 7 năm 2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng;

Nghị định số 25/2014/NĐ-CP ngày 07 tháng 4 năm 2014 của Chính phủ quy định về phòng, chống tội phạm và vi phạm pháp luật khác có sử dụng công nghệ cao;

Nghị định số 85/2016/NĐ-CP ngày 01 tháng 07 năm 2016 của Chính phủ về bảo đảm an toàn thông tin theo cấp độ;

Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;

Thực hiện Nghị quyết 36a/NQ-CP ngày 14 tháng 10 năm 2015 của Chính phủ về Chính phủ điện tử;

Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định hoạt động giám sát an toàn hệ thống thông tin.

QUY ĐỊNH CHUNG

Thông tư này quy định về hoạt động giám sát an toàn hệ thống thông tin (sau đây gọi tắt là giám sát) trên toàn quốc, không bao gồm các hệ thống thông tin do Bộ Quốc phòng và Bộ Công an quản lý.

Thông tư này áp dụng đối với cơ quan, tổ chức, doanh nghiệp, cá nhân trực tiếp tham gia hoặc có liên quan đến hoạt động giám sát trên toàn quốc.

GIÁM SÁT AN TOÀN HỆ THỐNG THÔNG TIN

1. Đảm bảo được thực hiện thường xuyên, liên tục.

3. Đảm bảo hoạt động ổn định, bí mật cho thông tin được cung cấp, trao đổi trong quá trình giám sát.

Điều 4. Phương thức giám sát

2. Giám sát trực tiếp là hoạt động giám sát được tiến hành bằng cách đặt các thiết bị có chức năng phân tích luồng dữ liệu (quan trắc), thu nhận trực tiếp thông tin nhật ký, cảnh báo hệ thống được giám sát để phát hiện ra các dấu hiệu tấn công, rủi ro, sự cố an toàn thông tin mạng. Giám sát trực tiếp bao gồm các hoạt động sau:

- Phân tích, quan trắc an toàn thông tin mạng trên đường truyền mạng/luồng thông tin tại các cổng kết nối Internet bằng các công cụ có khả năng phân tích đường truyền mạng để phát hiện tấn công, rủi ro, sự cố an toàn thông tin mạng như thiết bị phát hiện/ngăn ngừa tấn công phù hợp với đối tượng được giám sát (ví dụ: IDS/IPS/Web Firewall v.v...);

b) Tổng hợp, đồng bộ, xác minh và xử lý các thông tin an toàn thông tin mạng để phát hiện ra các tấn công, rủi ro, sự cố an toàn thông tin mạng hoặc loại bỏ các thông tin không chính xác.

a) Thu thập, phân tích, xác minh các thông tin về tấn công, rủi ro, sự cố an toàn thông tin mạng liên quan đến đối tượng giám sát từ các nguồn thông tin có liên quan;

Điều 5. Yêu cầu giám sát trực tiếp đối với chủ quản hệ thống thông tin

1. Thành phần giám sát trung tâm của chủ quản hệ thống thông tin cần đáp ứng các yêu cầu sau:

b) Phân tích các thông tin thu thập để phát hiện và cảnh báo tấn công, rủi ro, sự cố an toàn thông tin mạng có khả năng ảnh hưởng tới hoạt động hệ thống hoặc khả năng cung cấp các dịch vụ của hệ thống thông tin được giám sát;

d) Thực hiện thu thập và phân tích các thông tin đầu vào tối thiểu sau đây: nhật ký máy chủ web (web server) với các ứng dụng web (ví dụ: cổng thông tin điện tử, dịch vụ công trực tuyến v.v...); cảnh báo/nhật ký của thiết bị quan trắc cơ sở; cảnh báo/nhật ký của thiết bị tường lửa được thiết lập bảo vệ luồng kết nối mạng Internet liên quan đến các đối tượng cần giám sát;

2. Thu thập thông tin an toàn thông tin mạng và quan trắc cơ sở cần đáp ứng các yêu cầu sau:

b) Các thiết bị quan trắc cơ sở đảm bảo các chức năng phát hiện tấn công, rủi ro, sự cố an toàn thông tin mạng; cần được thiết lập để đảm bảo khả năng giám sát bao phủ được tất cả các đường kết nối mạng Internet của đối tượng cần giám sát;

d) Đối với các hệ thống thông tin phục vụ Chính phủ điện tử sử dụng giao thức có mã hóa (ví dụ: https), cần có phương án kỹ thuật đảm bảo thiết bị quan trắc an toàn thông tin mạng có được đầy đủ thông tin để có thể phát hiện được các tấn công, rủi ro, sự cố an toàn thông tin mạng;

3. Nội dung thực hiện giám sát:

b) Xây dựng và ban hành các quy chế giám sát an toàn thông tin mạng, trong đó quy định cụ thể về thời hạn định kỳ thống kê kết quả xử lý, lập báo cáo;

d) Lập báo cáo kết quả giám sát hàng tuần để báo cáo chủ quản hệ thống thông tin, nội dung báo cáo tuần bao gồm đầy đủ các thông tin sau: thời gian giám sát; danh mục đối tượng bị tấn công cần chú ý (địa chỉ IP, mô tả dịch vụ cung cấp, thời điểm bị tấn công); kỹ thuật tấn công đã phát hiện được và chứng cứ liên quan; các đối tượng thực hiện tấn công; các thay đổi trong hệ thống được giám sát và hệ thống giám sát; v.v...;

e) Định kỳ thống kê kết quả xử lý nguy cơ, rủi ro, sự cố an toàn thông tin mạng để phục vụ công tác lưu trữ, báo cáo;

- Mô tả đối tượng được giám sát, bao gồm các thông tin cơ bản sau đây: địa chỉ IP, tên miền, dịch vụ cung cấp, tên và phiên bản hệ điều hành, phần mềm ứng dụng web;

h) Năng lực lưu trữ thông tin giám sát tối thiểu đạt mức trung bình 30 ngày hoạt động trong điều kiện bình thường;

k) Báo cáo hoạt động giám sát của chủ quản hệ thống thông tin định kỳ 06 tháng theo mẫu tại Phụ lục 2.

Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin, doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng có trách nhiệm:

2. Cung cấp các thông tin về hạ tầng, kỹ thuật, hệ thống mạng và thực hiện các hỗ trợ kỹ thuật theo yêu cầu của Bộ Thông tin và Truyền thông phục vụ cho hoạt động giám sát của Bộ Thông tin và Truyền thông.

Điều 7. Đầu mối giám sát, cảnh báo

2. Đầu mối giám sát phải đảm bảo khả năng cung cấp, tiếp nhận thông tin kịp thời, liên tục. Đầu mối giám sát có chức năng thực hiện hoạt động giám sát trong phạm vi hệ thống thông tin của mình.

4. Thông tin đầu mối giám sát bao gồm: Họ tên cá nhân, tên bộ phận, chức vụ, địa chỉ, số điện thoại (cố định và di động), địa chỉ thư điện tử, chữ ký số (nếu đã có).

1. Khuyến khích các đầu mối giám sát trao đổi, cung cấp thông tin cho nhau nhằm mục đích phối hợp trong công tác giám sát, cảnh báo, ứng cứu sự cố và tăng tính chủ động đối phó với các nguy cơ, mối đe dọa, phương thức, thủ đoạn tấn công an toàn thông tin mạng của tổ chức, cá nhân.

3. Nguyên tắc trao đổi, cung cấp thông tin

b) Chủ động xác minh thông tin trao đổi nhằm đảm bảo tính xác thực của thông tin;

d) Khi cung cấp, trao đổi thông tin với đơn vị chức năng của Bộ Thông tin và Truyền thông cần thực hiện theo hướng dẫn của Bộ Thông tin và Truyền thông.

1. Tổ chức giao ban, hội thảo định kỳ về hoạt động giám sát.

3. Đôn đốc, kiểm tra việc thực hiện hoạt động giám sát, cảnh báo của các bộ phận chuyên trách về an toàn thông tin mạng.

5. Nghiên cứu, xây dựng các công cụ hỗ trợ hoạt động phối hợp, trao đổi thông tin trong công tác giám sát, cảnh báo, ứng cứu sự cố.

7. Thúc đẩy xây dựng các thỏa thuận hợp tác song phương, đa phương giữa bộ phận chuyên trách về an toàn thông tin mạng nhằm nâng cao năng lực giám sát, cảnh báo.

Chương III

HOẠT ĐỘNG GIÁM SÁT CỦA BỘ THÔNG TIN VÀ TRUYỀN THÔNG

1. Hoạt động giám sát trung tâm:

b) Được thực hiện thông qua các Hệ thống giám sát các sự cố an toàn mạng và Hệ thống xử lý tấn công mạng Internet Việt Nam do các đơn vị chức năng của Bộ Thông tin và Truyền thông quản lý và vận hành trên nguyên tắc chia sẻ dữ liệu, hoạt động liên thông để nâng cao hiệu quả giám sát.

a) Là tập hợp các thiết bị, phần mềm có khả năng theo dõi, thu thập, phân tích, cung cấp thông tin nhật ký, trạng thái, cảnh báo cho hoạt động giám sát trung tâm phục vụ cho việc phân tích, phát hiện các sự cố, điểm yếu, nguy cơ, lỗ hổng an toàn thông tin mạng;

c) Do đơn vị chức năng của Bộ Thông tin và Truyền thông chủ trì, phối hợp với chủ quản hệ thống thông tin xây dựng, thiết lập, quản lý và vận hành theo quy định pháp luật;

Điều 11. Hoạt động giám sát của Bộ Thông tin và Truyền thông

2. Theo đề nghị của chủ quản hệ thống thông tin, Bộ Thông tin và Truyền thông tổ chức thực hiện giám sát đối với hệ thống thông tin thuộc lĩnh vực quan trọng cần ưu tiên đảm bảo an toàn thông tin mạng phù hợp với nguồn lực thực tế.

4. Hoạt động giám sát của Bộ Thông tin và Truyền thông bao gồm:

b) Theo dõi, trực trung tâm giám sát, lập báo cáo phân tích giám sát; kiểm tra, đôn đốc công tác theo dõi, trực giám sát;

d) Thực hiện kiểm tra, phân tích chứng cứ, dữ liệu để phát hiện các dấu hiệu bất thường, nguy cơ mất an toàn thông tin mạng. Trong trường hợp chưa xác minh rõ nguy cơ, sự cố xảy ra, thực hiện các giải pháp bổ sung nhằm thu thập thêm các thông tin, dữ liệu cần thiết để tăng tính chính xác của kết quả phân tích và thông tin cảnh báo;

e) Hướng dẫn việc triển khai giám sát của chủ quản hệ thống thông tin; tổ chức thiết lập và hướng dẫn kết nối từ hệ thống giám sát của chủ quản hệ thống thông tin đến các hệ thống phục vụ giám sát trung tâm của Bộ Thông tin và Truyền thông. Bảo mật dữ liệu an toàn thông tin mạng trong quá trình thu thập và phân tích;

h) Hướng dẫn, hỗ trợ đơn vị vận hành hệ thống thông tin, chủ quản hệ thống thông tin thực hiện ứng cứu, xử lý các tấn công, rủi ro, sự cố an toàn thông tin mạng trong trường hợp cần thiết;

k) Các đơn vị chức năng của Bộ Thông tin và Truyền thông hàng năm lập dự toán và phê duyệt, phân bổ kinh phí thực hiện nhiệm vụ giám sát từ nguồn ngân sách nhà nước và các nguồn vốn hợp pháp khác theo quy định của pháp luật và hướng dẫn của cơ quan chức năng để trình Bộ trưởng hoặc trình cấp có thẩm quyền phê duyệt.

TRÁCH NHIỆM CỦA CÁC CƠ QUAN, TỔ CHỨC

1. Quản lý và vận hành Hệ thống xử lý tấn công mạng Internet Việt Nam để thực hiện hoạt động giám sát trung tâm.

3. Đôn đốc việc thực hiện các yêu cầu cơ bản về bảo đảm an toàn hệ thống thông tin và giám sát theo quy định pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ.

5. Phối hợp hoặc chủ trì giám sát các hệ thống thông tin thuộc lĩnh vực quan trọng cần ưu tiên đảm bảo an toàn thông tin mạng theo đề nghị của chủ quản hệ thống thông tin.

1. Quản lý và vận hành Hệ thống giám sát các sự cố an toàn mạng để thực hiện hoạt động giám sát trung tâm.

3. Chủ trì, phối hợp với Cục An toàn thông tin xây dựng hướng dẫn quy trình giám sát; tổ chức triển khai các hoạt động nâng cao năng lực giám sát; đôn đốc, theo dõi, kiểm tra hoạt động giám sát, cảnh báo an toàn thông tin mạng theo phân công của Bộ trưởng Bộ Thông tin và Truyền thông.

5. Chủ trì thực hiện giám sát, cảnh báo an toàn thông tin mạng đối với các hệ thống thông tin, dịch vụ công nghệ thông tin phục vụ Chính phủ điện tử. Phối hợp hoặc chủ trì giám sát các hệ thống thông tin thuộc lĩnh vực quan trọng cần ưu tiên đảm bảo an toàn thông tin mạng theo đề nghị của chủ quản hệ thống thông tin.

Điều 14. Chủ quản các hệ thống thông tin

2. Thực hiện theo các hướng dẫn và phối hợp chặt chẽ với đơn vị chức năng của Bộ Thông tin và Truyền thông trong hoạt động giám sát.

4. Thực hiện báo cáo kết quả giám sát định kỳ 6 tháng theo mẫu tại Phụ lục 2 hoặc khi có yêu cầu của của Bộ Thông tin và Truyền thông.

6. Chủ quản hệ thống thông tin do Bộ Thông tin và Truyền thông thực hiện giám sát có trách nhiệm:

b) Tiến hành triển khai hệ thống giám sát của chủ quản hệ thống thông tin theo quy định tại Thông tư này và quy định pháp luật có liên quan; phối hợp cung cấp các thông tin về hạ tầng, hệ thống thông tin cần giám sát và thực hiện các hỗ trợ kỹ thuật theo yêu cầu của các đơn vị chức năng của Bộ Thông tin và Truyền thông;

d) Định kỳ thống kê kết quả xử lý tấn công, rủi ro, sự cố an toàn thông tin mạng phục vụ công tác lưu trữ, báo cáo.

Chương V

TỔ CHỨC THỰC HIỆN

1. Thông tư này có hiệu lực thi hành kể từ ngày 15 tháng 01 năm 2018.

PHỤ LỤC 1:

MẪU PHIẾU CUNG CẤP THÔNG TIN PHỤC VỤ GIÁM SÁT

PHIẾU CUNG CẤP/CẬP NHẬT THÔNG TIN
VỀ HỆ THỐNG THÔNG TIN CẦN THỰC HIỆN GIÁM SÁT AN TOÀN THÔNG TIN MẠNG

Kính gửi: Bộ Thông tin và Truyền thông

- Tên cơ quan/đơn vị quản lý vận hành hệ thống thông tin: ...............................................

- Tên người/đầu mối cung cấp thông tin: ...........................................................................

- Số điện thoại: ...................................................................................................................

II. Các hệ thống thông tin cần giám sát

□ Cổng thông tin điện tử: ...................................................................................................

□ Hệ thống thư điện tử: ......................................................................................................

□ Hệ thống cơ sở dữ liệu: ...................................................................................................

B. Thông tin cụ thể các hệ thống thông tin cần giám sát

1.1. Tên hệ thống thông tin: ................................................................................................

............................................................................................................................................

1.4. Hệ thống thông tin được đặt tại:...................................................................................

được quản lý bởi (tên đơn vị quản lý, vận hành trung tâm dữ liệu): ...................................

tại (địa chỉ trung tâm dữ liệu): ..............................................................................................

1.6. Các (dải) địa chỉ IP Internet sử dụng trong hệ thống thông tin:

1.7. Thiết bị hạ tầng mạng phục vụ cho hệ thống thông tin:

□ Router (chủng loại, model): ..............................................................................................

□ Tường lửa, Firewall (chủng loại, model): .........................................................................

1.8. Các phần mềm nền tảng, phần mềm hệ thống, công cụ (PMNT), hệ điều hành (HĐH) sử dụng trong hệ thống thông tin

□ Các PMNT ứng dụng: ......................................................................................................

□ Các phần mềm nền tảng, hệ thống, công cụ, hệ điều hành khác (ghi rõ): ......................

.............................................................................................................................................

□ Đã có (ghi rõ các thông tin dưới đây)    □ Chưa có

□ Tự thực hiện.

- Hình thức giám sát (trực tiếp hay gián tiếp): ....................................................................

............................................................................................................................................

- Dung lượng ổ cứng lưu trữ sự kiện an toàn mạng /ngày (GB/day): .................. GB/Day.

- Mức độ giám sát (Chọn các mức độ dưới đây):

□ Giám sát mức lớp hệ điều hành: có thu thập và phân tích nhật ký của hệ điều hành.

□ Giám sát lớp cơ sở dữ liệu: có thu thập, phân tích, giám sát nhật ký dịch vụ cơ sở dữ liệu.

□ Thành phần quan trắc cơ sở (như các Sensor thu thập thông tin, thiết bị IDS/IPS, thiết bị Firewall...)

□ Thành phần lưu trữ dữ liệu giám sát (Logger)

- Mô tả các thiết bị quan trắc cơ sở: .................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

- Đề nghị Bộ Thông tin và Truyền thông:

□ Chưa đề nghị thực hiện;

- Đề nghị hỗ trợ giám sát của chủ quản hệ thống thông tin:

□ Không

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

1. Lãnh đạo chỉ đạo công tác giám sát của đơn vị (ghi rõ họ tên, chức vụ, điện thoại, email):......

...........................................................................................................................................

...........................................................................................................................................

3. Danh sách cán bộ giám sát của đơn vị: