HỆ THỐNG PHƯƠNG ÁN,

QUY TRÌNH ỨNG PHÓ SỰ CỐ AN TOÀN THÔNG TIN MẠNG

CHO HỆ THỐNG MẠNG NỘI BỘ (LAN) UBND PHƯỜNG NAM HÀ

1. Phân tích và thông báo sự cố

1.1. Tiếp nhận, xác định sự cố:

Đơn vị vận hành hệ thống thông tin chủ trì, phối hợp với Trung tâm CNTT và Truyền thông (Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng tỉnh Hà Tĩnh) và các cơ quan, tổ chức liên quan tiếp nhận, phân tích các cảnh báo, dấu hiệu sự cố từ các nguồn bên trong và bên ngoài (cảnh báo sự cố: Công văn, email. điện thoại, website, facebook, mạng xã hội...; phát hiện sự cố thông qua kiểm tra, rà soát, đánh giá). Khi xác định được sự cố đã xảy ra, cần tổ chức ghi nhận, thu thập chứng cứ, xác định nguồn gốc sự cốnhằm áp dụng phương án đối phó, ứng cứu, khắc phục sự cố phù hợp:

- Sự cố do bị tấn công mạng;

- Sự cố do lỗi của hệ thống, thiết bị, phần mềm, hạ tầng kỹ thuật hoặc do lỗi đường điện, đường truyền, hosting...;

- Sự cố do lỗi của người quản trị, vận hành hệ thống;

- Sự cố liên quan đến các thảm họa tự nhiên như bão, lụt, động đất, hỏa hoạn, v.v...

1.2. Triển khai các bước ưu tiên ứng cứu ban đầu:

Sau khi đã xác định sự cố xảy ra, đơn vị vận hành hệ thống thông tin triển khai các bước ưu tiên ban đầu để xử lý sự cố theo phương án, kế hoạch ứng phó sự cố đã được cấp thẩm quyền phê duyệt/xác nhận hoặc theo tư vấn, hướng dẫn của Đội ứng cứu sự cố an toàn thông tin mạng của tỉnh và Trung tâm CNTT và Truyền thông.

Đội ứng cứu sự cố phải kịp thời phân tích và xác định tình hình sự cố để xác định phạm vi ảnh hưởng. Những phân tích ban đầu sẽ cung cấp thông tin cho các hoạt động tiếp theo.

1.3. Thông báo, báo cáo sự cố:

Sau khi triển khai các bước ưu tiên ứng cứu ban đầu, đơn vị vận hành hệ thống thông tin tổ chức thông báo, báo cáo sự cố đến các tổ chức, cá nhân liên quan bên trong và bên ngoài cơ quan, tổ chức theo quy định. Cụ thể:

- Thông báo sự cố tới cơ quan chủ quản Đội ứng cứu sự cố chậm nhất 3 ngày kể từ khi phát hiện sự cố; trường hợp xác định sự cố có thể vượt khả năng xử lý, đơn vị vận hành hệ thống thông tin phải báo cáo ban đầu sự cố bằng văn bản về Trung tâm CNTT và Truyền thông.

- Hình thức thông báo sự cố: Bằng công văn, fax, thư điện tử, nhắn tin đa phương tiện, phần mềm gửi nhận văn bản, phần mềm điều hành tác nghiệp, hoặc thông qua hệ thống kỹ thuật báo sự cố ATTT mạng của cơ quan điều phối cấp tỉnh.

- Hình thức báo cáo sự cố: Bằng văn bản giấy hoặc văn bản điện tử.

2. Ngăn chặn, xử lý sự cố

2.1. Chọn phương án:

Đơn vị vận hành hệ thống phối hợp với Đội ứng cứu sự cố và các đơn vị liên quan báo cáo, đề xuất cơ quan chủ quản hệ thống thông tin, Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng của tỉnh, Đội ứng cứu sự cố phê duyệt phương án, chiến lược ngăn chặn và xử lý sự cố và đề nghị hỗ trợ từ Cơ quan điều phối quốc gia nếu cần thiết.

Đơn vị vận hành hệ thống phối hợp với Đội ứng cứu sự cố, Trung tâm CNTT và Truyền thông và các đơn vị liên quan tiến hành:

- Phân loại sự cố:

+ Sự cố về tấn công từ chối dịch vụ;

+ Sự cố về tấn công giả mạo;

+ Sự cố về tấn công sử dụng mã độc;

+ Sự cố về tấn công truy cập trái phép, chiếm quyền điều khiển;

+ Sự cố về tấn công thay đổi giao diện;

+ Sự cố về tấn công mã hóa phần mềm, dữ liệu, thiết bị;

+ Sự cố về tấn công phá hoại thông tin, dữ liệu, phần mềm;

+ Sự cố về tấn công nghe trộm, gián điệp, lấy cắp thông tin, dữ liệu;

+ Sự cố về tấn công tổng hợp sử dụng kết hợp nhiều hình thức;

+ Sự cố về các hình thức tấn công mạng khác.

- Báo cáo lãnh đạo đơn vị: Chỉ đạo xử lý và phân công trách nhiệm xử lý.

- Thu thập thông tin để phục vụ phân tích sự cố:

+ Thông tin về đầu mối liên hệ;

+ Thu thập thông tin hệ thống;

+ Thu thập chức năng của hệ thống;

+ Thu thập cấu hình của hệ thống (OS, Servise, version, network...);

+ Thu thập chứng cứ;

+ Thu thập bộ nhớ;

+ Thu thập trạng thái network và các kết nối;

+ Thu thập các tiến trình đang chạy;

+ Thu thập hard drive media;

+ Thu thập log file;

+ Thu thập các cổng đang mở của hệ thống.

- Phân tích sự cố:

+ Phân tích dòng thời gian;

+ Thời gian bị sửa đổi, truy cập, tạo hoặc thay đổi.

+ Thời gian thực hiện các cập nhật lớn đối với hệ thống;

+ Thời điểm mà hệ thống sử dụng lần cuối cùng;

+ Phân tích dữ liệu ...

- Xử lý sự cố:

+ Gỡ bỏ sự cố;

+ Xác định và gỡ bỏ các backdoors;

+ Phân tích và kiểm tra lỗ hổng sau khi thực hiện các bản vá lỗi;

+ Khôi phục;

+ Phân tích và kiểm tra lỗ hổng sau khi thực hiện các bản vá lỗi;

+ Khôi phục dữ liệu;

+ Thu thập các tệp tin, hình ảnh, email,... bị xóa, thời gian bị xóa;

+ Tìm kiếm các tệp tin không thể khôi phục;

+ Khôi phục các tệp tin phù hợp.

- Tổng hợp báo cáo Lãnh đạo đơn vị và Trung tâm CNTT và Truyền thông:

+ Báo cáo kết quả phân tích sự cố: Mô tả chi tiết các bước quan trọng khi thực hiện xử lý sự cố;

+ Tổng hợp báo cáo gửi lãnh đạo cơ quan, tổ chức và các bên liên quan đến sự cố;

+ Rút kinh nghiệm và ứng dụng cho các sự cố tương tự.

2.2. Triển khai thu thập chứng cứ:

Trên cơ sở phương án, nguồn lực đã được phê duyệt, đơn vị được giao hoặc Đội ứng cứu sự cố tổ chức thu thập chứng cứ, phạm vi, đối tượng bị ảnh hưởng,...

2.3. Xác định nguồn gốc tấn công:

Đơn vị được giao hoặc Đội ứng cứu sự cố triển khai phân tích, xác định nguồn gốc tấn công để ngăn chặn, giảm thiểu tác động, thiệt hại đến hệ thống thông tin.

3. Khắc phục, gỡ bỏ và khôi phục

3.1. Khắc phục, gỡ bỏ sự cố:

Sau khi đã triển khai ngăn chặn sự cố, phải tiến hành tiêu diệt các mã độc, phần mềm độc hại, khắc phục các điểm yếu ATTT của hệ thống (xây dựng lại hệ thống, thay thế các tệp tin bị lỗi, cài đặt các bản vá lỗi, thay đổi mật khẩu và rà soát các chính sách ATTT).

3.2. Khôi phục:

Đơn vị vận hành hệ thống triển khai các hoạt động khôi phục hệ thống, dữ liệu và kết nối (phải khôi phục từ các bản sao lưu hệ thống “sạch”); cấu hình hệ thống an toàn; bổ sung các thiết bị, phần cứng, phần mềm bảo đảm ATTT cho hệ thống thông tin và kiểm tra thử toàn bộ hệ thống sau khi khắc phục sự cố.

Trong quá trình ứng cứu sự cố, đơn vị vận hành hệ thống phải chủ trì, phối hợp với các cơ quan, đơn vị liên quan xây dựng và duy trì thực hiện các báo cáo ứng cứu sự cố gồm:

+ Báo cáo ban đầu;

+ Báo cáo diễn biến tình hình;

+ Báo cáo phương án ứng cứu cụ thể;

+ Báo cáo xin ý kiến chỉ đạo, chỉ huy;

+ Báo cáo đề nghị hỗ trợ, phối hợp;

+ Báo cáo kết thúc ứng phó sự cố.

4. Tổng kết, đánh giá

4.1. Tổng kết, đúc rút kinh nghiệm:

Đơn vị vận hành hệ thống bị sự cố phối hợp với Đội ứng cứu sự cố và Trung tâm CNTT và Truyền thông triển khai tổng hợp tất cả các thông tin, báo cáo, phân tích có liên quan đến sự cố, công tác triển khai phương án ứng cứu khẩn cấp bảo đảm ATTT mạng, báo cáo Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng tỉnh; tổ chức phân tích nguyên nhân, rút kinh nghiệm trong hoạt động xử lý sự cố và đề xuất các biện pháp bổ sung nhằm phòng ngừa, ứng cứu đối với các sự cố tương tự trong tương lai...

4.2. Xây dựng báo cáo kết thúc ứng phó sự cố:

Đơn vị vận hành hệ thống thông tin bị sự cố, Đội ứng cứu sự cố, Trung tâm CNTT và Truyền thông chịu trách nhiệm chủ trì ứng cứu sự cố triển khai tổng hợp và xây dựng báo cáo kết thúc ứng phó sự cố, trong đó trình bày chi tiết quá trình xử lý sự cố, tóm tắt tổng quát về tình hình sự cố và đề xuất cách thức triển khai điều phối, ứng cứu sự cố nhằm xử lý nhanh, giảm nhẹ rủi ro và thiệt hại đối với sự cố tương tự.

Sau khi kết thúc ứng cứu sự cố, trong vòng 10 ngày đơn vị vận hành hệ thống thông tin, đơn vị được giao chủ trì ứng cứu hệ thống thông tin bị sự cố phải xây dựng báo cáo kết thúc ứng phó sự cố, gửi về Đội ứng cứu sự cố, Trung tâm CNTT và Truyền thông.

I. Quy trình điều phối, ứng cứu sự cố an toàn thông tin mạng

II. Quy trình tổng thế phương án ứng cứu sự cố An toàn thông tin mạng

III. Quy trình ứng cứu khẩn cấp sự cố An toàn thông tin mạng quan trọng