Điều 5. Hiệu lực thi hành Quyết định này có hiệu lực kể từ ngày 20 tháng 3 năm 2026. Nơi nhận: - Như Điều 4; - Các Bộ: NN&MT, Tài chính, Tư pháp; (để b/c) - Thường trực: Thành ủy; HĐND Thành phố; (để b/c) - Chủ tịch UBND Thành phố; (để b/c) - Các PCT UBND Thành phố; - Cục KTVB&QLXLVPHC - Bộ Tư pháp; - Cổng TTĐT Chính phủ; - Trung tâm TT, DL và CNS TP Hà Nội; - Các sở, ban, ngành Thành phố; - VP UBTP: CVP, các PCVP, các phòng: TH, KT, ĐT, NNMT; - Lưu: VP, NNMT. TM. ỦY BAN NHÂN DÂN KT. CHỦ TỊCH PHÓ CHỦ TỊCH (Đã ký) Nguyễn Mạnh Quyền PHỤ LỤC: ĐINH MỨC KINH TẾ - KỸ THUẬT GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN ĐỐI VỚI HỆ THỐNG HẠ TẦNG KỸ THUẬT DỊCH VỤ CÔNG NGHỆ THÔNG TIN PHỤC VỤ CÔNG TÁC QUẢN LÝ NHÀ NƯỚC THUỘC LĨNH VỰC TÀI NGUYÊN VÀ MÔI TRƯỜNG (Ban hành kèm theo
Quyết định số 29/2026/QĐ-UBND ngày 10/3/2026 của Ủy ban nhân dân thành phố Hà Nội) Phần I QUY ĐỊNH CHUNG 1. Cơ sở xây dựng định mức kinh tế - kỹ thuật Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 và Luật số 65/VBHN-VPQH . Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13; Căn cứ Luật An ninh mạng số 24/2018/QH14; Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15; Căn cứ
Nghị định số 204/2004/NĐ-CP ngày 14 tháng 12 năm 2004 của Chính phủ về chế độ tiền lương đối với cán bộ, công chức, viên chức và lực lượng vũ trang; Căn cứ
Nghị định số 117/2016/NĐ-CP ngày 21 tháng 7 năm 2016 của Chính phủ sửa đổi bổ sung một số điều
Nghị định số 204/2004/NĐ-CP ngày 14 tháng 12 năm 2004 của Chính phủ về chế độ tiền lương đối với cán bộ, công chức, viên chức và lực lượng vũ trang; Căn cứ
Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ. Căn cứ
Nghị định số 73/2019/NĐ-CP ngày 05 tháng 9 năm 2019 của Chính phủ về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước, được sửa đổi, bổ sung bởi
Nghị định số 82/2024/NĐ-CP ngày 10 tháng 7 năm 2024. Căn cứ
Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng; Căn cứ
Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông về quy định hoạt động giám sát an toàn hệ thống thông tin; Căn cứ
Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của
Nghị định số 85/2016/NĐ-CP ngày 01/7/2016; Căn cứ
Thông tư số 26/2014/TT-BTNMT ngày 28 tháng 5 năm 2014 của Bộ trưởng Bộ Tài nguyên và Môi trường ban hành Quy trình và Định mức kinh tế - kỹ thuật xây dựng cơ sở dữ liệu tài nguyên và môi trường; Căn cứ
Thông tư số 14/2020/TT-BTNMT ngày 27 tháng 11 năm 2020 của Bộ Tài nguyên và Môi trường ban hành Quy trình và Định mức kinh tế - kỹ thuật xây dựng, duy trì, vận hành hệ thống thông tin ngành tài nguyên và môi trường; Căn cứ
Thông tư số 23/2023/TT-BTC ngày 25/4/2023 của Bộ Tài chính hướng dẫn chế độ quản lý, tính hao mòn, khấu hao tài sản cố định tại cơ quan, tổ chức, đơn vị và tài sản cố định do nhà nước giao cho doanh nghiệp quản lý không tính thành phần vốn nhà nước tại doanh nghiệp; Căn cứ Nghị quyết số 16/NQ-HĐND ngày 04/7/2023 của HĐND thành phố Hà Nội ban hành Danh mục dịch vụ sự nghiệp công sử dụng ngân sách nhà nước thuộc lĩnh vực tài nguyên và môi trường. 2. Quy định viết tắt STT Viết tắt Tiếng Anh Giải nghĩa tiếng Việt 1. ATTT Information Security An toàn thông tin 2. CVE Common Vulnerabilities and Exposures Danh mục lỗ hổng bảo mật chuẩn quốc tế 3. Patch Management Patch Management Quản lý bản vá hệ thống 4. IDS/IPS Intrusion Detection/Prevention System Hệ thống phát hiện/ngăn chặn xâm nhập 5. DoS/DDoS Denial of Service / Distributed Denial of Service Tấn công từ chối dịch vụ 6. Pentest Penetration Testing Kiểm thử xâm nhập 7. SQLi SQL Injection Kỹ thuật tấn công chèn lệnh SQL 8. XSS Cross-Site Scripting Kỹ thuật tấn công chèn mã script 9. RCE Remote Code Execution Khai thác thực thi mã từ xa 10. OWASP Top 10 OWASP Top 10 10 lỗ hổng bảo mật web phổ biến nhất 11. CWE Common Weakness Enumeration Danh mục các điểm yếu phần mềm 12. AD Active Directory Dịch vụ quản lý tài khoản/máy tính của Microsoft 13. RBAC Role-Based Access Control Mô hình phân quyền dựa trên vai trò 14. UBA User Behavior Analytics Phân tích hành vi người dùng 15. AuthN Authentication Xác thực người dùng 16. MFA Multi-Factor Authentication Xác thực đa yếu tố 17. IAM Identity and Access Management Quản lý danh tính và quyền truy cập 18. SIEM Security Information and Event Management Hệ thống quản lý sự kiện và thông tin bảo mật 19. SOAR Security Orchestration, Automation, and Response Tự động hóa điều phối và ứng phó sự cố bảo mật 20. DLP Data Loss Prevention Ngăn chặn thất thoát dữ liệu 21. AV Anti-Virus Phần mềm chống virus 22. EDR Endpoint Detection & Response Phát hiện và phản hồi sự cố trên thiết bị đầu cuối 23. WAF Web Application Firewall Tường lửa ứng dụng web 24. Wazuh Wazuh Nền tảng SIEM mã nguồn mở 25. OSSEC OSSEC Hệ thống phát hiện xâm nhập mã nguồn mở 26. Splunk Splunk Công cụ SIEM thương mại 27. QRadar IBM QRadar Giải pháp SIEM của IBM 28. ELK Stack Elasticsearch, Logstash, Kibana Bộ công cụ thu thập và phân tích log 29. ArcSight ArcSight Giải pháp quản lý log và bảo mật 30. Datadog Datadog Nền tảng giám sát và bảo mật hệ thống 31. OpenVAS Open Vulnerability Assessment System Công cụ quét lỗ hổng mã nguồn mở 32. Nessus Nessus Công cụ quét lỗ hổng phổ biến 33. QualysGuard QualysGuard Giải pháp quét lỗ hổng thương mại 34. Snort Snort Hệ thống IDS/IPS mã nguồn mở 35. Suricata Suricata Công cụ IDS/IPS mã nguồn mở 36. ModSecurity ModSecurity Tường lửa ứng dụng web mã nguồn mở 37. OWASP ZAP OWASP Zed Attack Proxy Công cụ kiểm thử bảo mật web miễn phí 38. Burp Suite Pro Burp Suite Professional Công cụ pentest ứng dụng web thương mại 39. SonarQube SonarQube Công cụ phân tích mã nguồn và tìm lỗ hổng 40. Checkmarx Checkmarx Giải pháp kiểm tra bảo mật ứng dụng 41. Veracode Veracode Nền tảng kiểm thử bảo mật ứng dụng 42. pgAudit PostgreSQL Audit Extension Công cụ ghi log giám sát CSDL PostgreSQL 43. MySQL Audit MySQL Audit Plugin Công cụ ghi log giám sát MySQL 44. IBM Guardium IBM Guardium Giải pháp bảo mật và giám sát CSDL 45. Imperva Imperva Công cụ bảo mật CSDL thương mại 46. Bacula Bacula Công cụ quản lý sao lưu mã nguồn mở 47. Amanda Amanda Giải pháp sao lưu mã nguồn mở 48. Veeam Veeam Phần mềm sao lưu dữ liệu thương mại 49. Commvault Commvault Giải pháp quản trị sao lưu dữ liệu 50. Varonis Varonis Giải pháp giám sát và bảo mật dữ liệu 51. Okta Okta Giải pháp quản lý danh tính & MFA 52. Ping Identity Ping Identity Nền tảng quản lý truy cập và danh tính 53. CloudTrail AWS CloudTrail Dịch vụ ghi log hoạt động của AWS 54. Prisma Cloud Prisma Cloud Nền tảng bảo mật đa đám mây 55. ScoutSuite ScoutSuite Công cụ kiểm tra cấu hình bảo mật Cloud 56. Prowler Prowler Công cụ kiểm tra cấu hình AWS 57. ntopng ntopng Công cụ phân tích lưu lượng mạng 58. Zeek (Bro) Zeek (Bro) Công cụ phân tích lưu lượng mạng 59. Arbor Arbor Networks Giải pháp chống DDoS 60. Darktrace Darktrace Nền tảng AI an ninh mạng 61. RSA Archer RSA Archer Giải pháp quản trị rủi ro và tuân thủ 62. ServiceNow GRC ServiceNow Governance, Risk, Compliance Giải pháp quản trị rủi ro, tuân thủ 63. ISO/IEC 27001 ISO/IEC 27001 Tiêu chuẩn hệ thống quản lý an toàn thông tin 64. ISO/IEC 27002 ISO/IEC 27002 Hướng dẫn áp dụng kiểm soát ATTT 65. ISO/IEC 27035 ISO/IEC 27035 Tiêu chuẩn quản lý sự cố an toàn thông tin 66. ISO/IEC 27017 ISO/IEC 27017 Hướng dẫn bảo mật cho dịch vụ Cloud 67. ISO/IEC 27018 ISO/IEC 27018 Bảo vệ dữ liệu cá nhân trong môi trường Cloud 3. Giải thích từ ngữ Trong văn bản này, các từ ngữ dưới đây được hiểu như sau: a) Hệ thống phần cứng công nghệ thông tin là tập hợp hạ tầng phần cứng vật lý các thiết bị công nghệ thông tin bao gồm: - Hệ thống máy chủ. - Hệ thống thiết bị mạng. - Hệ thống thiết bị lưu trữ, sao lưu dữ liệu. - Hệ thống cáp mạng. - Hệ thống thiết bị hội nghị truyền hình. - Hệ thống thoại IP. b) Phần mềm hệ thống là phần mềm quản lý điều hành thiết bị phần cứng công nghệ thông tin, các phần mềm phục vụ quản lý người dùng và quản lý các quá trình truy cập của người dùng và các quá trình đòi hỏi cần quản lý trong quá trình khai thác, bao gồm: - Dịch vụ DNS, WINS, LDAP, Directory, Proxy, Cluster, DHCP, CA, Radius, NMS,... và tương đương. - Phần mềm quản lý, giám sát mạng. - Phần mềm dò quét lỗ hổng an ninh mạng, website. - Phần mềm sao lưu, phục hồi. - Phần mềm giám sát mạng không dây. - Phần mềm hỗ trợ người dùng. - Phần mềm thu thập và phân tích logs. - Phần mềm tường lửa, phòng chống tấn công mạng, QoS. - Phần mềm cân bằng tải. - Phần mềm chống tấn công từ chối dịch vụ. - Phần mềm quản lý máy chủ ảo hóa. - Phần mềm mạng riêng ảo VPN. - Phần mềm xử lý dữ liệu không gian (Arc GIS, MapInfo,…). - Phần mềm hệ quản trị cơ sở dữ liệu (Oracle, Microsoft SQL Server,…). - Phần mềm nguồn mở. PHẦN II QUY TRÌNH KỸ THUẬT GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN ĐỐI VỚI HỆ THỐNG HẠ TẦNG KỸ THUẬT DỊCH VỤ CÔNG NGHỆ THÔNG TIN I. Quy trình giám sát đảm bảo an toàn thông tin cho thiết bị mạng (tường lửa - firewall, IDS/IPS, router, switch) 1. Các bước thực hiện 1.1. Chuẩn bị và thiết lập - Lập sơ đồ mạng và danh mục thiết bị (CMDB). - Chuẩn hóa cấu hình log: bật syslog/CEF/JSON, định nghĩa mức log. - Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) kết nối với SIEM. - Thiết lập AAA (TACACS+/RADIUS), tăng cường bảo mật SSH, quản lý mật khẩu/khóa. 1.2. Thu thập và vận hành - Thu log: ACL hits, VPN, firewall accept/deny, cảnh báo IDS/IPS, thay đổi định tuyến. - Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng mạng, gián đoạn kết nối. - Giám sát NetFlow/sFlow/IPFIX để phát hiện lưu lượng bất thường. - Giám sát tuân thủ cấu hình, backup định kỳ, phát hiện thay đổi trái phép. - Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa. 1.3. Phân tích và tương quan (SIEM/SOC) - Xây dựng quy tắc tương quan - Thực hiện phân loại cảnh báo (triage), tìm kiếm mối đe dọa (threat hunting). 1.4. Xác minh và ứng cứu ban đầu - Xác minh nguồn gốc (MAC, p-rt, VLAN), capture gói tin (pcap). - Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule trên firewall. - Ghi lại chuỗi thời gian sự kiện phục vụ điều tra (f-rensic, IS-/IEC 27035). 1.5. Bảo mật dữ liệu giám sát - Mã hóa kênh l-g (TLS), lưu vết truy cập. - Chính sách lưu giữ: l-g chi tiết 90-180 ngày, bản tóm tắt 1-3 năm. 1.6. Đánh giá và cải tiến - Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý. - Diễn tập ứng cứu (tablet-p, kiểm thử xâm nhập). 2. Sản phẩm (1). Báo cáo hàng ngày: số lượng cảnh báo, sự kiện quan trọng, thiết bị ngừng hoạt động (theo Mẫu TBM.01). (2). Báo cáo hàng tuần: mức sử dụng băng thông, tình trạng backup cấu hình (theo Mẫu TBM.02). (3). Báo cáo sự cố (theo ISO/IEC 27035): chuỗi thời gian, nguyên nhân gốc, biện pháp xử lý (theo Mẫu TBM.03). (4). Báo cáo hàng tháng: xu hướng tấn công, IOC, baseline lưu lượng (theo Mẫu TBM.04). (5). Báo cáo tuân thủ cấu hình, audit log (theo Mẫu TBM.05). (6). Chỉ số đo lường (KPI): thời gian phát hiện (MTTD), thời gian xử lý (MTTR), tỷ lệ cảnh báo sai (false positives), tỷ lệ thiết bị gửi log (theo Mẫu TBM.06). (Chi tiết tại Phụ lục 1 kèm theo) II. Quy trình giám sát đảm bảo an toàn thông tin cho hạ tầng ảo hóa (cloud, virtualization) 1. Các bước thực hiện 1.1. Chuẩn bị và thiết lập - Kiểm kê host, VM, container, tài nguyên đám mây. - Bật log gốc (AWS CloudTrail, VPC Flow Logs, Azure Monitor, GCP Audit Logs). - Cấu hình audit log cho API call, snapshot, migration, thay đổi IAM. - Quét lỗ hổng image, áp dụng chính sách registry. 1.2. Thu thập và giám sát - Log API: thay đổi quyền, tạo khóa truy cập, thay đổi bucket công khai. - Giám sát lưu lượng mạng trong nội bộ đám mây (flow logs). - Giám sát RBAC trong Kubernetes, hoạt động container. 1.3 Phân tích và xử lý - Tạo IAM key mới + xuất dữ liệu lớn → cảnh báo. - Vô hiệu hóa key, cô lập namespace, chặn bucket. 1.4 Bảo mật dữ liệu - Mã hóa log, lưu giữ theo quy định (GDPR, pháp luật Việt Nam). - Thực hiện quản lý bảo mật đám mây (CSPM). 2. Sản phẩm (1). Báo cáo hàng ngày: sự kiện truy cập IAM, thay đổi cấu hình cloud, cảnh báo bảo mật container/VM (theo Mẫu AH.01). (2). Báo cáo hàng tuần: trạng thái tài nguyên cloud (CPU, storage, network), nhật ký audit API, tình trạng backup snapshot (theo Mẫu AH.02). (3). Báo cáo sự cố: chi tiết sự kiện vi phạm quyền truy cập, rò rỉ dữ liệu, hành vi bất thường trên VM/container, biện pháp khắc phục (theo Mẫu AH.03). (4). Báo cáo hàng tháng: xu hướng tấn công trên hạ tầng ảo hóa, phân tích sử dụng IAM key, thống kê thay đổi cấu hình và baseline bảo mật (theo Mẫu AH.04). (5) Báo cáo tuân thủ: đánh giá chính sách bảo mật cloud (CIS Benchmark, ISO/IEC 27017), kiểm tra lưu giữ log và mã hóa dữ liệu (theo Mẫu AH.05). (6). Chỉ số đo lường (KPI): Thời gian phát hiện và xử lý sự cố (MTTD, MTTR); Tỷ lệ sự kiện bất thường được phân tích tự động (automation rate); Số lượng tài nguyên tuân thủ baseline bảo mật (% compliant); Tỷ lệ VM/container gửi log đầy đủ (theo Mẫu AH.06). (Chi tiết tại Phụ lục 2 kèm theo) III. Quy trình giám sát đảm bảo an toàn thông tin cho máy chủ (hệ điều hành windows, linux) 1. Các bước thực hiện 1.1. Chuẩn bị và thiết lập - Kiểm kê hệ điều hành, phiên bản, bản vá, vai trò. - Tăng cường bảo mật (hardening) theo chuẩn CIS. - Bật audit logging: syslog (Linux), Windows Event Forwarding, audit DB. 1.2. Thu thập và giám sát - Log: đăng nhập thành công/thất bại, sử dụng sudo, lỗi kernel. - Log DB: truy vấn lỗi, thay đổi cấu trúc, xuất dữ liệu. - Giám sát CPU, RAM, I/O, số lượng kết nối. 1.3. Phân tích và xác minh - Tương quan: nhiều lần đăng nhập thất bại trên nhiều server → tấn công ngang. - Kích hoạt điều tra forensic (memory dump, snapshot). 1.4. Ứng cứu ban đầu - Cô lập server, vô hiệu hóa tài khoản, thay đổi mật khẩu. - Tạo snapshot để lưu bằng chứng. 1.5. Bảo mật dữ liệu - Mã hóa log khi lưu trữ, kiểm soát truy cập. - Chính sách lưu giữ log. 1.6. Đánh giá định kỳ Quét lỗ hổng, lập lịch vá lỗi, báo cáo thay đổi cấu hình 2. Sản phẩm (1). Báo cáo hàng ngày: đăng nhập bất thường, lỗi hệ thống, dịch vụ dừng đột ngột, thay đổi quyền hoặc nhóm người dùng (theo Mẫu HĐH.01). (2). Báo cáo hàng tuần: tình trạng CPU/RAM/I/O, số lượng kết nối, trạng thái bản vá và dịch vụ quan trọng (theo Mẫu HĐH.02). (3). Báo cáo sự cố: chi tiết sự kiện xâm nhập, lỗi bảo mật, kết quả forensic (log, memory dump, snapshot), biện pháp khắc phục (theo Mẫu HĐH.03). (4) Báo cáo hàng tháng: thống kê xu hướng sự cố, mức độ tuân thủ hardening, tỷ lệ máy chủ đã vá đầy đủ, thay đổi cấu hình bảo mật (theo Mẫu HĐH.04). (5). Báo cáo tuân thủ: đối chiếu chuẩn CIS, NIST, ISO/IEC 27001; kiểm tra chính sách quản lý tài khoản, lưu trữ và mã hóa log (theo Mẫu HĐH.05). (6). Chỉ số đo lường (KPI): Thời gian phát hiện và xử lý sự cố (MTTD, MTTR); Tỷ lệ máy chủ cập nhật bản vá đúng hạn; Số lượng cảnh báo sai (false positives); Tỷ lệ máy chủ gửi log và tuân thủ baseline bảo mật (theo Mẫu HĐH.06). (Chi tiết tại Phụ lục 3 kèm theo) IV. Quy trình giám sát đảm bảo an toàn thông tin cho ứng dụng (web, erp, crm, api, email) 1. Các bước thực hiện 1.1. Chuẩn bị và thiết lập - Kiểm kê danh mục ứng dụng, phiên bản, môi trường triển khai (dev/test/prod). - Bật log truy cập, xác thực, lỗi ứng dụng, giao dịch API. - Cấu hình tường lửa ứng dụng web (WAF), DLP, bảo vệ API gateway. 1.2. Thu thập và giám sát - Thu thập log request/response, API usage, cảnh báo từ WAF và IDS. - Giám sát truy cập bất thường, tần suất POST/GET cao, lỗi 4xx/5xx, email spam/phishing. - Giám sát hành vi giao dịch nghi ngờ (fraud detection, brute force, SQLi, XSS). 1.3. Phân tích và tương quan - Tương quan WAF block + login thất bại hàng loạt → tấn công brute force. - Phân tích chuỗi request để phát hiện khai thác API hoặc rò rỉ dữ liệu. - Kết hợp log ứng dụng và hệ thống xác thực (SSO/AD) để xác minh người dùng. 1.4. Ứng cứu ban đầu - Giới hạn tốc độ, tạm khóa tài khoản, reset mật khẩu. - Vá nóng (hotfix), cập nhật chữ ký WAF, chặn IP/ASN tấn công. - Thông báo sự cố và ghi nhận bằng chứng phục vụ điều tra. 1.5. Bảo mật dữ liệu log - Che giấu hoặc ẩn danh dữ liệu cá nhân (PII) trong log. - Mã hóa log khi lưu trữ, kiểm soát quyền truy cập và chính sách lưu giữ. 1.6. Đánh giá và cải tiến - Kiểm thử xâm nhập định kỳ, rà soát quy tắc WAF và API policy. - Cập nhật baseline an toàn ứng dụng và đào tạo đội ngũ vận hành. 2. Sản phẩm (1). Báo cáo hàng ngày: số lượng truy cập, lỗi ứng dụng, cảnh báo WAF/API, đăng nhập bất thường (theo Mẫu UD.01). (2). Báo cáo hàng tuần: trạng thái hoạt động ứng dụng, hiệu suất API, tỷ lệ lỗi và phản hồi chậm (theo Mẫu UD.02). (3). Báo cáo sự cố: chi tiết khai thác lỗ hổng, tấn công brute force, phishing, rò rỉ dữ liệu; biện pháp xử lý (theo Mẫu UD.03). (4). Báo cáo hàng tháng: thống kê xu hướng tấn công, hiệu quả quy tắc WAF, tỷ lệ giao dịch nghi ngờ, đánh giá bảo mật API (theo Mẫu UD.04). (5). Báo cáo tuân thủ: đối chiếu OWASP Top 10, ISO/IEC 27034, GDPR (nếu có), kiểm tra chính sách PII và mã hóa log (theo Mẫu UD.05). (6). Chỉ số đo lường (KPI): MTTD/MTTR (thời gian phát hiện và khắc phục); Số lượng lỗ hổng được vá đúng hạn; Tỷ lệ cảnh báo đúng (true positives); Tỷ lệ log ứng dụng được thu thập và phân tích đầy đủ (theo Mẫu UD.06). (Chi tiết tại Phụ lục 4 kèm theo) V. Quy trình giám sát đảm bảo an toàn thông tin cho cơ sở dữ liệu 1. Các bước thực hiện 1.1. Chuẩn bị và thiết lập - Kiểm kê hệ quản trị cơ sở dữ liệu (DBMS), phiên bản, vai trò, và người quản trị. - Bật audit log, query log, slow query log. - Cấu hình giám sát kết nối, phân quyền, thay đổi cấu trúc bảng/lược đồ. - Áp dụng hardening theo chuẩn CIS/OWASP Database Security. 1.2. Thu thập và giám sát - Thu thập log truy cập, đăng nhập, truy vấn lỗi, hành vi thao tác dữ liệu (INSERT/UPDATE/DELETE). - Giám sát thay đổi quyền truy cập, tạo tài khoản mới, hoặc cấp quyền DBA. - Theo dõi hiệu năng DB: CPU, I/O, deadlock, kết nối bất thường. - Giám sát backup/restore, lịch trình và trạng thái sao lưu. 1.3. Phân tích và tương quan - Tương quan các hành vi bất thường: DROP table + đăng nhập ngoài giờ + truy cập từ IP lạ. - Phát hiện truy vấn khối lượng lớn hoặc quét dữ liệu nhạy cảm (data exfiltration). - Đối chiếu nhật ký DB với log ứng dụng và hệ điều hành để xác minh hành vi. 1.4. Ứng cứu ban đầu - Cô lập tài khoản nghi ngờ, thu hồi quyền truy cập, khóa session đang hoạt động. - Khôi phục dữ liệu từ bản sao lưu, ghi nhận log phục vụ điều tra. - Vá lỗi hoặc điều chỉnh cấu hình bảo mật (role, GRANT/REVOKE). 1.5. Bảo mật dữ liệu và log - Mã hóa dữ liệu nhạy cảm (at rest, in transit), ẩn danh dữ liệu khi test. - Mã hóa log, kiểm soát quyền truy cập, lưu trữ an toàn và tuân thủ chính sách retention. 1.6. Đánh giá và cải tiến - Rà soát quyền tài khoản, kiểm tra chính sách backup và mã hóa định kỳ. - Kiểm thử xâm nhập database, cập nhật baseline bảo mật. 2. Sản phẩm (1). Báo cáo hàng ngày: đăng nhập bất thường, truy vấn lỗi, thay đổi cấu trúc hoặc quyền truy cập (theo Mẫu CSDL.01). (2). Báo cáo hàng tuần: tình trạng hiệu năng DB, lịch backup/restore, log audit (theo Mẫu CSDL.02). (3). Báo cáo sự cố: chi tiết truy vấn phá hoại (DROP/DELETE), rò rỉ dữ liệu, biện pháp khôi phục (theo Mẫu CSDL.03). (4). Báo cáo hàng tháng: xu hướng truy cập, thay đổi quyền, thống kê hiệu năng, kiểm tra tuân thủ chính sách lưu trữ (theo Mẫu CSDL.04). (5). Báo cáo tuân thủ: đối chiếu chuẩn bảo mật cơ sở dữ liệu (CIS Benchmark, ISO/IEC 27001, PCI DSS), đánh giá trạng thái mã hóa và quản lý quyền (theo Mẫu CSDL.05). (6). Chỉ số đo lường (KPI): Thời gian phát hiện và xử lý sự cố (MTTD, MTTR); Tỷ lệ backup thành công và khôi phục thử nghiệm; Tỷ lệ phát hiện truy vấn bất thường; Tỷ lệ cơ sở dữ liệu tuân thủ baseline bảo mật và mã hóa (theo Mẫu CSDL.06). (Chi tiết tại Phụ lục 5 kèm theo) VI. Quy trình giám sát đảm bảo an toàn thông tin cho người dùng 1. Các bước thực hiện 1.1. Chuẩn bị và thiết lập - Kiểm kê danh sách tài khoản người dùng, vai trò, nhóm, và các đặc quyền. - Thiết lập hệ thống quản lý danh tính và truy cập (IAM) và bật audit log cho các sự kiện xác thực (Active Directory/SSO). - Cấu hình giám sát truy cập từ xa (VPN, VDI) và các dịch vụ chia sẻ tài nguyên. - Áp dụng chính sách mật khẩu và xác thực đa yếu tố (MFA). 1.2. Thu thập và giám sát - Thu thập log đăng nhập/đăng xuất thành công/thất bại, thay đổi mật khẩu, thay đổi vai trò. - Giám sát đăng nhập bất thường (từ IP lạ, ngoài giờ hành chính, tốc độ di chuyển không thể lý giải). - Giám sát hành vi người dùng đặc quyền (Admin, Root, DBA) trong việc truy cập tài nguyên. - Thu thập log truy cập vào dữ liệu nhạy cảm (qua DLP, file share audit). 1.3. Phân tích và tương quan - Xây dựng baseline hành vi cho từng nhóm người dùng (giờ làm việc, tài nguyên truy cập, khối lượng download/upload). - Tương quan đăng nhập thành công bất thường + truy cập tệp nhạy cảm + download khối lượng lớn → rò rỉ dữ liệu nội bộ. - Phân tích chuỗi sự kiện để phát hiện tấn công chiếm quyền tài khoản (account takeover). 1.4. Ứng cứu ban đầu - Vô hiệu hóa hoặc tạm khóa tài khoản bị chiếm quyền. - Buộc đăng xuất (force logoff) và reset mật khẩu cho người dùng. - Cô lập thiết bị đầu cuối của người dùng có hành vi bất thường. - Thông báo và phối hợp với phòng ban nhân sự/quản lý để xác minh. 1.5. Bảo mật dữ liệu và log - Đảm bảo log xác thực được mã hóa và lưu trữ an toàn, tách biệt khỏi log hệ thống. - Tuân thủ chính sách lưu giữ log theo quy định pháp luật. - Thực hiện ẩn danh (anonymization) hoặc che giấu (masking) thông tin nhận dạng cá nhân (PII) trong log. 1.6. Đánh giá và cải tiến - Rà soát định kỳ các tài khoản không hoạt động (idle accounts) và đặc quyền. - Thực hiện các chiến dịch kiểm tra phishing và đào tạo nhận thức bảo mật cho người dùng. - Cập nhật baseline hành vi UEBA dựa trên các sự cố đã xảy ra. 2. Sản phẩm (1). Báo cáo hàng ngày: Đăng nhập bất thường (khác vị trí, ngoài giờ), thất bại đăng nhập/MFA liên tục, thay đổi mật khẩu/đặc quyền người dùng (theo Mẫu USER.01). (2). Báo cáo hàng tuần: Thống kê hành vi người dùng đặc quyền, tổng hợp truy cập dữ liệu nhạy cảm, trạng thái xác thực MFA/SSO, tài khoản không hoạt động (theo Mẫu USER.02). (3). Báo cáo sự cố: Chi tiết sự kiện chiếm quyền tài khoản, vi phạm chính sách truy cập, rò rỉ dữ liệu nội bộ do người dùng; biện pháp khắc phục (theo Mẫu USER.03). (4). Báo cáo hàng tháng: Xu hướng hành vi bất thường (UEBA), đánh giá tài khoản đặc quyền, thống kê kết quả kiểm tra phishing, rà soát tài khoản không hoạt động (theo Mẫu USER.04). (5). Báo cáo tuân thủ: Đối chiếu chính sách IAM với ISO/IEC 27001 (A.9, A.11), NIST CSF; kiểm tra việc áp dụng MFA, và chính sách quản lý mật khẩu (theo Mẫu USER.05). (6). Chỉ số đo lường (KPI): Thời gian phát hiện và xử lý sự cố (MTTD, MTTR); Tỷ lệ tài khoản có MFA; Tỷ lệ người dùng vi phạm chính sách mật khẩu; Tỷ lệ hành vi bất thường được UEBA phát hiện chính xác (theo Mẫu USER.06). (Chi tiết tại Phụ lục 6 kèm theo) VII. Quy trình giám sát đảm bảo an toàn thông tin cho toàn bộ hệ thống (SOC - Trung tâm điều hành an ninh mạng) 1. Các bước thực hiện 1.1. Chuẩn bị và thiết lập - Triển khai và cấu hình hệ thống SIEM/SOAR, tích hợp log từ các nguồn: mạng, máy chủ, ứng dụng, cơ sở dữ liệu, endpoint, cloud. - Xây dựng thư viện tình huống (use-case library) theo mô hình MITRE ATT&CK. - Xác định ngưỡng cảnh báo, mức độ ưu tiên (severity), quy trình phân quyền xử lý. 1.2. Giám sát và phân tích - Giám sát liên tục 24/7 các sự kiện an ninh trên toàn hệ thống. - Thực hiện phân loại (triage), làm giàu dữ liệu (enrichment), tương quan cảnh báo (correlation). - Phát hiện hành vi tấn công (brute force, phishing, privilege escalation, lateral movement). 1.3. Ứng cứu và xử lý sự cố - Thực hiện playbook phản ứng: DDoS, ransomware, khai thác lỗ hổng, lạm dụng đặc quyền. - Kích hoạt quy trình escalation đến đội chuyên trách, cô lập hệ thống hoặc tài khoản nghi ngờ. - Ghi nhận và lưu trữ toàn bộ chuỗi sự kiện phục vụ điều tra. 1.4. Săn tìm mối đe dọa - Phân tích hành vi ẩn, IOC, log lịch sử để phát hiện tấn công chưa được cảnh báo. - Sử dụng nguồn threat intelligence nội bộ và bên thứ ba (MISP, VirusTotal, AlienVault OTX). - Cập nhật danh sách IOC, YARA rule, pattern nhận diện tấn công mới. 1.5. Rà soát và cải tiến - Thực hiện đánh giá sau sự cố (post-incident review), cập nhật quy tắc SIEM và playbook. - Đánh giá năng lực phản ứng của đội SOC, đề xuất đào tạo và nâng cấp công cụ. - Báo cáo định kỳ kết quả vận hành và cải thiện khả năng phát hiện. 2. Sản phẩm (1). Báo cáo hàng ngày: số lượng cảnh báo, sự kiện nghi ngờ, tình trạng thiết bị/nguồn log, hành vi đáng chú ý (theo Mẫu SOC.01). (2). Báo cáo hàng tuần: thống kê mức độ cảnh báo, top 10 mối đe dọa, hiệu quả quy tắc phát hiện, tình trạng phản ứng sự cố (theo Mẫu SOC.02). (3). Báo cáo sự cố: chi tiết chuỗi sự kiện, phân tích nguyên nhân gốc (root cause), tác động và biện pháp khắc phục theo ISO/IEC 27035 (theo Mẫu SOC.03). (4). Báo cáo hàng tháng: xu hướng tấn công, thống kê IOC, hiệu quả threat hunting, tỷ lệ cảnh báo chính xác (theo Mẫu SOC.04). (5) Báo cáo tuân thủ: đối chiếu tiêu chuẩn vận hành SOC (ISO/IEC 27035, NIST 800-61, MITRE ATT&CK), kiểm tra đầy đủ nguồn log (theo Mẫu SOC.05). (6). Chỉ số đo lường (KPI): MTTD, MTTR (thời gian phát hiện và xử lý); Tỷ lệ cảnh báo chính xác (true positive rate); Số lượng sự cố được phát hiện chủ động qua threat hunting; Tỷ lệ hệ thống/thiết bị gửi log đầy đủ về SIEM (theo Mẫu SOC.06). (Chi tiết tại Phụ lục 7 kèm theo) PHẦN III ĐỊNH MỨC KINH TẾ - KỸ THUẬT GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN ĐỐI VỚI HỆ THỐNG HẠ TẦNG KỸ THUẬT DỊCH VỤ CÔNG NGHỆ THÔNG TIN
CHƯƠNG I GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN CHO THIẾT BỊ MẠNG (TƯỜNG LỬA - FIREWALL, IDS/IPS, ROUTER, SWITCH) I. Chuẩn bị và thiết lập 1. Định mức lao động 1.1. Nội dung công việc a) Lập sơ đồ mạng và danh mục thiết bị (CMDB). b) Chuẩn hóa cấu hình log: bật syslog/CEF/JSON, định nghĩa mức log. c) Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) kết nối với SIEM. d) Thiết lập AAA (TACACS+/RADIUS), tăng cường bảo mật SSH, quản lý mật khẩu/khóa. 1.2. Phân loại khó khăn Các yếu tố ảnh hưởng STT Các yếu tố ảnh hưởng Giải thích Điểm tối đa Quy tắc tính điểm 1 Số lượng thiết bị/host cần giám sát (m) Tổng số thiết bị mạng, máy chủ, endpoint phải thu log 40 m ≤ 50 → 10 50 < m ≤ 200 → 25 m > 200 → 40 2 Số lượng hệ thống log/ứng dụng khác loại Độ đa dạng nguồn log (Firewall, Web, DB, AD, Cloud...) 15 ≤3 loại → 5 4-6 loại → 10 >6 loại → 15 3 Mức độ phức tạp cấu trúc mạng Số vùng mạng (LAN, DMZ, Cloud, VPN, OT…) 30 ≤3 vùng → 10 4-6 vùng → 20 > 6 vùng → 30 4 Yêu cầu tuân thủ và tiêu chuẩn bảo mật Có yêu cầu ISO 27001, NIST, hay quy định chuyên ngành 15 Không yêu cầu → 0 Yêu cầu nội bộ → 10 Yêu cầu theo chuẩn quốc tế → 15 Phân loại khó khăn STT Mức độ khó khăn Khoảng điểm Ký hiệu 1 Dễ K ≤ 50 KK1 2 Trung bình 50 < K < 80 KK2 3 Khó K ≥ 80 KK3 1.3. Định biên STT Danh mục công việc KS2 KS3 KS4 Nhóm 1 Lập sơ đồ mạng và danh mục thiết bị (CMDB) 2 2 2 Chuẩn hóa cấu hình log (syslog/CEF/JSON, định nghĩa mức log) 1 1 2 3 Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash, SIEM) 1 1 2 4 Thiết lập AAA (TACACS+/RADIUS), bảo mật SSH, quản lý mật khẩu/khóa 1 1 2 1.4. Định mức Công nhóm/ĐVT STT Danh mục công việc Đơn vị tính KK1 KK2 KK3 1 Lập sơ đồ mạng và danh mục thiết bị (CMDB) Hệ thống 1,8 2,3 3,1 2 Chuẩn hóa cấu hình log (syslog/CEF/JSON, định nghĩa mức log) Thiết bị 2,5 3,2 4,1 3 Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) Nguồn log 3,0 3,8 5,0 4 Thiết lập AAA, bảo mật SSH, quản lý mật khẩu/khóa Thiết bị 2,0 2,6 3,4 2. Định mức thiết bị Ca/01 hệ thống STT Thiết bị ĐVT Thời hạn (tháng) Lập sơ đồ mạng và danh mục thiết bị (CMDB) Chuẩn hóa cấu hình log (syslog/CEF/J SON, định nghĩa mức log) Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) Thiết lập AAA, bảo mật SSH, quản lý mật khẩu/khóa 1 Máy tính để bàn Bộ 60 4,027 4,027 24,160 24,160 2 Máy in laser Cái 60 - - 3 Điều hoà nhiệt độ Cái 96 0,705 0,705 4,228 4,228 4 Máy photocopy Cái 96 - - - - 5 Điện năng (kw) kW 15,644 15,644 93,862 93,862 Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau: KK1 = 0,8 x KK2. KK3 = 1,3 x KK2. 3. Định mức dụng cụ Ca/01 hệ thống STT Dụng cụ ĐVT Thời hạn (tháng) Lập sơ đồ mạng và danh mục thiết bị (CMDB) Chuẩn hóa cấu hình log (syslog/CE F/JSON, định nghĩa mức log) Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) Thiết lập AAA, bảo mật SSH, quản lý mật khẩu/khóa 1 Ghế Cái 96 5,033 5,033 30,200 30,200 2 Bàn làm việc Cái 96 5,033 5,033 30,200 30,200 3 Quạt trần 0,1 kW Cái 60 0,881 0,881 5,285 5,285 4 Đèn neon 0,04 kW Bộ 36 2,517 2,517 15,100 15,100 5 Điện năng (kw) kW 1,586 1,586 9,513 9,513 Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau: KK1 = 0,8 x KK2. KK3 = 1,3 x KK2. 4. Định mức vật liệu STT Vật liệu ĐVT Lập sơ đồ mạng và danh mục thiết bị (CMDB) Chuẩn hóa cấu hình log (syslog/CEF/JS ON, định nghĩa mức log) Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) Thiết lập AAA, bảo mật SSH, quản lý mật khẩu/khóa 1 Giấy in A4 Gram - - - - 2 Mực in laser Hộp - - - - 3 Mực máy photocopy Hộp - - - - 4 Cặp để tài liệu Cái - - - - II. Thu thập và vận hành 1. Định mức lao động 1.1. Nội dung công việc a) Thu log: ACL hits, VPN, firewall accept/deny, cảnh báo IDS/IPS, thay đổi định tuyến. b) Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng mạng, gián đoạn kết nối. c) Giám sát NetFlow/sFlow/IPFIX để phát hiện lưu lượng bất thường. d) Giám sát tuân thủ cấu hình, backup định kỳ, phát hiện thay đổi trái phép. đ) Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa. 1.2. Phân loại khó khăn Các yếu tố ảnh hưởng STT Các yếu tố ảnh hưởng Giải thích Điểm tối đa Quy tắc tính điểm 1 Số lượng thiết bị/nguồn log cần giám sát (m) Tổng số firewall, router, switch, server, ứng dụng, endpoint gửi log 40 m ≤ 100 → 10 100 < m ≤ 300 → 25 m > 300 → 40 2 Tốc độ tạo log trung bình (log/s) Lưu lượng log ảnh hưởng trực tiếp đến công suất thu thập & xử lý 15 ≤1.000 log/s → 5 1.000-10.000 → 10 >10.000 → 15 3 Độ phức tạp cảnh báo & phân loại sự kiện Số rule/alert, mức độ liên kết, tương quan IOC 30 ≤200 rule → 10 200-500 → 20 >500 → 30 4 Yêu cầu trực giám & thời gian phản ứng (SLA) Có SOC 24/7, yêu cầu phản ứng nhanh hoặc định kỳ 15 Ca hành chính → 5 2 ca/ngày → 10 24/7 → 15 Phân loại khó khăn STT Mức độ khó khăn Khoảng điểm Ký hiệu 1 Dễ K ≤ 50 KK1 2 Trung bình 50 < K < 80 KK2 3 Khó K ≥ 80 KK3 1.3. Định biên STT Danh mục công việc KS2 KS3 KS4 Nhóm 1 Thu log: ACL hits, VPN, firewall accept/ deny, cảnh báo IDS/IPS, thay đổi định tuyến 2 2 2 Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng mạng, gián đoạn kết nối 1 1 2 3 Giám sát NetFlow/sFlow/IPFIX để phát hiện lưu lượng bất thường 1 1 2 4 Giám sát tuân thủ cấu hình, backup định kỳ, phát hiện thay đổi trái phép 1 1 2 5 Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa 1 1 2 1.4. Định mức STT Danh mục công việc Đơn vị tính KK1 KK2 KK3 1 Thu log: ACL hits, VPN, firewall accept/ deny, IDS/IPS alert, thay đổi định tuyến Nguồn log 1,8 2,3 3,0 2 Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng, gián đoạn kết nối Thiết bị 2,4 3,0 3,9 3 Giám sát NetFlow/sFlow/IPFIX, phát hiện lưu lượng bất thường Hệ thống 3,2 4,0 5,3 4 Giám sát tuân thủ cấu hình, backup, phát hiện thay đổi trái phép Thiết bị 2,2 2,8 3,6 5 Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa Nguồn log 3,0 3,8 5,0 2. Định mức thiết bị Ca/01 thiết bị STT Thiết bị ĐVT Công suất (Kw) Thu log: ACL hits, VPN, firewall accept/deny, IDS/IPS alert, thay đổi định tuyến Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng, gián đoạn kết nối Giám sát NetFlow/ sFlow/IP FIX, phát hiện lưu lượng bất thường Giám sát tuân thủ cấu hình, backup, phát hiện thay đổi trái phép Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa 1 Máy tính để bàn Cái 0,4 0,033 0,067 0,067 0,2 0,1 2 Máy in laser Cái 0,6 0 0 0 0 0 3 Điều hoà nhiệt độ Cái 2,2 0,006 0,011 0,011 0,034 0,017 4 Điện năng Kw 0,215 0,43 0,43 1,291 0,646 3. Định mức dụng cụ Ca/01 thiết bị STT Dụng cụ ĐVT Thời hạn (tháng) Thu log: ACL hits, VPN, firewall accept/deny, IDS/IPS alert, thay đổi định tuyến Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng, gián đoạn kết nối Giám sát NetFlow/ sFlow/IP FIX, phát hiện lưu lượng bất thường Giám sát tuân thủ cấu hình, backup, phát hiện thay đổi trái phép Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa 1 Ghế Cái 96 0,067 0,2 0,1 0,2 0,4 2 Bàn làm việc Cái 96 0,067 0,2 0,1 0,2 0,4 3 Quạt trần Cái 96 0,012 0,035 0,018 0,035 0,07 4 Đèn neon Bộ 24 0,033 0,1 0,05 0,1 0,2 5 Điện năng kW 0,021 0,063 0,031 0,063 0,126 6 Đồng hồ đo điện vạn năng Cái 60 0 0 0 0 0 7 Máy hút bụi Cái 60 0 0 0 0 0 4. Định mức vật liệu STT Nội dung ĐVT Thu log: ACL hits, VPN, firewall accept/deny, IDS/IPS alert, thay đổi định tuyến Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng, gián đoạn kết nối Giám sát NetFlow/s Flow/IPFI X, phát hiện lưu lượng bất thường Giám sát tuân thủ cấu hình, backup, phát hiện thay đổi trái phép Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa 1 Giấy in A4 Gram - - - 0,01 0,01 2 Mực in laser Hộp - - - 0,002 0,002 III. Phân tích & tương quan (SIEM/SOC) 1. Định mức lao động 1.1. Nội dung công việc a) Xây dựng quy tắc tương quan. b) Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting). 1.2. Phân loại khó khăn Các yếu tố ảnh hưởng STT Các yếu tố ảnh hưởng Giải thích Điểm tối đa Quy tắc tính điểm 1 Số lượng nguồn log/hệ thống đầu vào (m) Số lượng nguồn dữ liệu được đưa vào SIEM để tương quan 40 m ≤ 50 → 10 50 < m ≤ 200 → 25m > 200 → 40 2 Số lượng quy tắc tương quan cần xây dựng /bảo trì Mức độ đa dạng và phức tạp của rule 15 ≤50 rule → 5 50-150 → 10 >150 → 15 3 Độ phức tạp mô hình tấn công và phân tích hành vi Cần mô hình hóa chuỗi hành vi (kill chain), mapping MITRE ATT&CK 30 Chỉ theo signature đơn → 10 Có mapping MITRE → 20 Có hành vi đa tầng (multi-step correlation) → 30 4 Nguồn dữ liệu threat intelligence và IOC tích hợp Số lượng nguồn và mức độ cập nhật 15 Không có → 0 1-2 nguồn → 10 ≥3 nguồn tự động cập nhật → 15 Phân loại khó khăn STT Mức độ khó khăn Khoảng điểm Ký hiệu 1 Dễ K ≤ 50 KK1 2 Trung bình 50 < K < 80 KK2 3 Khó K ≥ 80 KK3 1.3. Định biên STT Danh mục công việc KS3 KS4 Nhóm 1 Xây dựng quy tắc tương quan 1 1 2 2 Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting) 1 1 2 1.4. Định mức STT Danh mục công việc Đơn vị tính KK1 KK2 KK3 1 Xây dựng quy tắc tương quan Rule 2,0 2,8 3,8 2 Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting) Phiên làm việc 3,0 3,9 5,2 2. Định mức thiết bị Ca/01 Phiên làm việc STT Thiết bị ĐVT Thời hạn (tháng) Xây dựng quy tắc tương quan Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting) 1 Máy tính để bàn Bộ 60 0,080 0,160 2 Máy in laser Cái 60 0,002 3 Điều hoà nhiệt độ Cái 96 0,014 0,028 4 Điện năng (kw) kW 0,313 0,622 Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau: KK1 = 0,8 x KK2. KK3 = 1,3 x KK2. 3. Định mức dụng cụ Ca/01 Phiên làm việc ST T Dụng cụ ĐVT Thời hạn (tháng) Xây dựng quy tắc tương quan Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting) 1 Ghế Cái 96 0,100 0,200 2 Bàn làm việc Cái 96 0,100 0,200 3 Quạt trần 0,1 kW Cái 60 0,018 0,035 4 Đèn neon 0,04 kW Bộ 36 0,050 0,100 5 Điện năng (kw) kW 0,032 0,063 Ghi chú: Mức dụng cụ trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau: KK1 = 0,8 x KK2. KK3 = 1,3 x KK2. 4. Định mức vật liệu STT Vật liệu ĐVT Xây dựng quy tắc tương quan Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting) 1 Giấy in A4 Gram - 0,0040 2 Mực in laser Hộp - 0,0011 3 Cặp để tài liệu Cái - 0,0040 IV. Xác minh & ứng cứu ban đầu 1. Định mức lao động 1.1. Nội dung công việc a) Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap). b) Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule trên firewall. c) Ghi lại chuỗi thời gian sự kiện phục vụ điều tra (forensic, ISO/IEC 27035). 1.2. Phân loại khó khăn Các yếu tố ảnh hưởng STT Các yếu tố ảnh hưởng Điểm tối đa Mức thấp Mức trung bình Mức cao 1 Số lượng thiết bị mạng trong phạm vi giám sát và xử lý sự cố 40 ≤10: 10 10-50: 25 >50: 40 2 Mức độ phân tán hệ thống mạng (site, VLAN, DMZ, chi nhánh) 20 1 site hoặc VLAN: 5 2-3 site hoặc VLAN: 10 Nhiều vùng mạng, DMZ hoặc kết nối liên vùng: 20 3 Mức độ phức tạp trong cấu hình và chính sách bảo mật 25 Cấu hình đơn giản, rule ít: 5 Có nhiều rule, ACL trung bình: 15 ACL/NAT phức tạp, nhiều rule và nhóm chính sách: 25 4 Mức độ hỗ trợ công cụ giám sát và quản lý tập trung 15 Có SIEM/N MS tích hợp: 5 Có syslog nhưng không đồng bộ: 10 Không có quản lý tập trung, thao tác thủ công: 15 Phân loại khó khăn STT Mức độ khó khăn Khoảng điểm (K) 1 KK1 K ≤ 50 2 KK2 50 < K < 80 3 KK3 K ≥ 80 1.3. Định biên STT Danh mục công việc KS2 KS3 KS4 Nhóm 1 Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap) 1 1 2 2 Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule trên firewall 2 1 3 3 Ghi lại chuỗi thời gian sự kiện phục vụ điều tra (forensic, ISO/IEC 27035) 1 1 2 1.4. Định mức STT Danh mục công việc ĐVT KK1 KK2 KK3 1 Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap) Sự cố 1,4 1,9 2,6 2 Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule trên firewall Sự cố 1,8 2,6 3,5 3 Ghi lại chuỗi thời gian sự kiện phục vụ điều tra (forensic, ISO/IEC 27035) Sự cố 1,5 2,2 3,1 2. Định mức thiết bị Ca/01 sự cố STT Thiết bị ĐVT Thời hạn (tháng) Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap) Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule firewall Ghi lại chuỗi thời gian sự kiện (forensic, ISO/IEC 27035) 1 Máy tính để bàn Bộ 60 0,480 2,880 0,240 2 Máy in laser Cái 60 3 Điều hoà nhiệt độ Cái 96 0,084 0,504 0,042 4 Máy photocopy Cái 96 - - - 5 Điện năng (kw) kW 1,865 11,189 0,932 Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau: KK1 = 0,8 x KK2. KK3 = 1,3 x KK2. 3. Định mức dụng cụ Ca/01 sự cố STT Dụng cụ ĐVT Thời hạn (tháng) Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap) Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule firewall Ghi lại chuỗi thời gian sự kiện (forensic, ISO/IEC 27035) 1 Ghế Cái 96 0,600 3,600 0,300 2 Bàn làm việc Cái 96 0,600 3,600 0,300 3 Quạt trần 0,1 kW Cái 60 0,105 0,630 0,053 4 Đèn neon 0,04 kW Bộ 36 0,300 1,800 0,150 5 Điện năng (kw) kW 0,189 1,134 0,095 Ghi chú: Mức dụng cụ trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau: KK1 = 0,8 x KK2. KK3 = 1,3 x KK2. 4. Định mức vật liệu ST T Vật liệu ĐVT Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap) Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule firewall Ghi lại chuỗi thời gian sự kiện (forensic, ISO/IEC 27035) 1 Giấy in A4 Gram - - - 2 Mực in laser Hộp - - - 3 Mực máy photocopy Hộp - - - 4 Cặp để tài liệu Cái - - - V. Bảo mật dữ liệu giám sát 1. Định mức lao động 1.1. Nội dung công việc a) Mã hóa kênh log (TLS), lưu vết truy cập. b) Chính sách lưu giữ: log chi tiết 90-180 ngày, log tóm tắt 1-3 năm. 1.2. Phân loại khó khăn Các yếu tố ảnh hưởng STT Các yếu tố ảnh hưởng Điểm tối đa Mức thấp Mức trung bình Mức cao 1 Số lượng thiết bị mạng gửi log (firewall, IDS/IPS, router, switch) 40 ≤10: 10 10-50: 25 >50: 40 2 Kiến trúc truyền log và mã hóa (tập trung, phân tán, multi-site) 20 Truyền nội bộ 1 site: 5 2-3 site: 10 Nhiều vùng mạng/DMZ/cloud: 20 3 Mức độ tuân thủ chuẩn bảo mật dữ liệu log (TLS, ISO/IEC 27035, 27001) 25 TLS mặc định, lưu log nội bộ: 5 Có tuân thủ cơ bản: 15 Yêu cầu nghiêm ngặt theo chuẩn ISO/CIS: 25 4 Mức độ phức tạp trong lưu trữ và chính sách retention 15 Lưu log 1-3 tháng, không phân tầng: 5 Lưu 6-12 tháng, có nén hoặc tóm tắt: 10 Lưu nhiều năm, phân cấp dữ liệu, có backup ngoại vi: 15 Phân loại khó khăn STT Mức độ khó khăn Khoảng điểm (K) 1 KK1 K ≤ 50 2 KK2 50 < K < 80 3 KK3 K ≥ 80 1.3. Định biên STT Danh mục công việc KS2 KS3 KS4 Nhóm 1 Mã hóa kênh log (TLS), lưu vết truy cập 1 1 2 2 Chính sách lưu giữ: log chi tiết 90-180 ngày, log tóm tắt 1-3 năm 2 1 3 1.4. Định mức STT Danh mục công việc ĐVT KK1 KK2 KK3 1 Mã hóa kênh log (TLS), lưu vết truy cập Thiết bị 1,5 2,1 2,9 2 Chính sách lưu giữ: log chi tiết 90-180 ngày, log tóm tắt 1-3 năm Hệ thống 1,8 2,6 3,5 2. Định mức thiết bị Ca/01 thiết bị STT Vật tư, thiết bị ĐVT Thời hạn (tháng) Mã hóa kênh log (TLS), lưu vết truy cập Chính sách lưu giữ 1 Máy tính để bàn Bộ 60 0,160 2,400 2 Máy in laser Cái 60 3 Điều hoà nhiệt độ Cái 96 0,028 0,420 4 Máy photocopy Cái 96 - - 5 Điện năng (kw) kW 0,622 9,324 Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau: KK1 = 0,8 x KK2. KK3 = 1,3 x KK2. 3. Định mức dụng cụ Ca/01 thiết bị STT Dụng cụ ĐVT Thời hạn (tháng) Mã hóa kênh log (TLS), lưu vết truy cập Chính sách lưu giữ 1 Ghế Cái 96 0,200 3,000 2 Bàn làm việc Cái 96 0,200 3,000 3 Quạt trần 0,1 kW Cái 60 0,035 0,525 4 Đèn neon 0,04 kW Bộ 36 0,100 1,500 5 Điện năng (kw) kW 0,063 0,945 Ghi chú: Mức dụng cụ trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau: KK1 = 0,8 x KK2. KK3 = 1,3 x KK2. 4. Định mức vật liệu STT Vật liệu ĐVT Mã hóa kênh log (TLS), lưu vết truy cập Chính sách lưu giữ 1 Giấy in A4 Gram - - 2 Mực in laser Hộp - - 3 Mực máy photocopy Hộp - - 4 Cặp để tài liệu Cái - - VI. Đánh giá và cải tiến 1. Định mức lao động 1.1. Nội dung công việc a) Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý. b) Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập). 1.2. Phân loại khó khăn Các yếu tố ảnh hưởng STT Các yếu tố ảnh hưởng Điểm tối đa Mức thấp Mức trung bình Mức cao 1 Số lượng thiết bị mạng giám sát 40 ≤10: 10 10-50: 25 >50: 40 2 Mức độ phân tán hệ thống 20 1 mạng nội bộ: 5 2-3 mạng con: 10 Nhiều vùng/DMZ/cloud: 20 3 Mức độ tùy biến cấu hình & quy tắc ATTT 25 Áp dụng rule/chữ ký chuẩn: 5 Điều chỉnh nhẹ: 15 Quy tắc tùy biến chuyên sâu: 25 4 Tích hợp hệ thống giám sát tập trung 15 Có SIEM/log tập trung: 5 Có syslog rời rạc: 10 Chưa có hệ thống, cần triển khai mới: 15 Phân loại khó khăn STT Mức độ khó khăn Khoảng điểm (K) 1 KK1 K ≤ 50 2 KK2 50 < K < 80 3 KK3 K ≥ 80 1.3. Định biên STT Danh mục công việc KS2 KS3 KS4 Nhóm 1 Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý 1 1 2 2 Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập) 2 1 3 1.4. Định mức STT Danh mục công việc ĐVT KK1 KK2 KK3 1 Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý Thiết bị 1,4 2,0 2,8 2 Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập) Buổi diễn tập 3,0 4,2 5,8 2. Định mức thiết bị Ca/01 thiết bị STT Thiết bị ĐVT Thời hạn (tháng) Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập) 1 Máy tính để bàn Bộ 60 0,005 0,032 2 Máy in laser Cái 60 3 Điều hoà nhiệt độ Cái 96 0,001 0,006 4 Máy photocopy Cái 96 - - 5 Điện năng (kw) kW 0,021 0,124 Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau: KK1 = 0,8 x KK2. KK3 = 1,3 x KK2. 3. Định mức dụng cụ Ca/01 thiết bị STT Dụng cụ ĐVT Thời hạn (tháng) Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập) 1 Ghế Cái 96 0,007 0,040 2 Bàn làm việc Cái 96 0,007 0,040 3 Quạt trần 0,1 kW Cái 60 0,001 0,007 4 Đèn neon 0,04 kW Bộ 36 0,003 0,020 5 Điện năng (kw) kW 0,002 0,013 Ghi chú: Mức dụng cụ trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau: KK1 = 0,8 x KK2. KK3 = 1,3 x KK2. 4. Định mức vật liệu STT Vật liệu ĐVT Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập) 1 Giấy in A4 Gram - - 2 Mực in laser Hộp - - 3 Mực máy photocopy Hộ