パスワードを忘れた? アカウント作成
15642812 story
情報漏洩

インド政府、企業や政府機関にサイバーインシデント認識後 6 時間以内の報告義務付けへ 9

ストーリー by headless
義務 部門より
インド政府のサイバーセキュリティ当局 CERT-In は 4 月 28 日、サイバーインシデント発生を認識後 6 時間以内に報告するよう企業や政府組織に義務付ける指令を発表した (プレスリリースThe Register の記事指令: PDF)。

報告が義務付けられるインシデントとしては、不正アクセスやマルウェア攻撃、DoS/DDoS、データ侵害、データ漏洩、ウェブサイト改変、偽モバイルアプリなど20 種類が挙げられている。報告には電子メールや電話、Fax が利用できる。6 時間以内の報告義務付けは EU (72 時間) や米国 (24 時間) と比べて大幅に短い。CERT-In ウェブサイトのインシデント報告に関するページには報告書式の PDF も用意されているが、書式で挙げられているインシデントの種類は報告が義務付けられるインシデントの種類とは異なる。指令は 60 日後に発効する。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年05月03日 16時44分 (#4243451)

    認識しなければ報告する必要はない

    (関連)みずほFG、今は障害認知から1時間以内に対応できる
    https://srad.jp/story/22/04/27/1551210/ [srad.jp]
    > 「今は(障害認知から)1時間以内に連絡が来る。部長レベルの会議もやる」

    • by Kitune_Udon (39109) on 2022年05月03日 17時17分 (#4243461) 日記

      記事を見る限り、通報義務があるのは外部攻撃によって引き起こされるインシデントなので、
      単純なシステム障害や人的障害であるみずほの場合は報告しなくてヨシ!

      親コメント
      • by Anonymous Coward on 2022年05月03日 17時58分 (#4243483)

        そうやって嘲笑するのは簡単だが、
        ほとんど全ての企業、環境庁、大学、その他法人はみずほ未満のレベルだということを認識すべき。

        「ウチは中小だから関係ない(関係なくない)」「うちの研究室は学生、教員向けだから関係ない(インターネットからアクセスできるなら関係なくない)」とか思ってて、いざサイト改ざんされたら、一次対応何するかも決めてないし、どこに連絡すべきかもわかってないでしょ。

        親コメント
        • by Anonymous Coward
          環境庁以外の官公庁は問題ないのでしょうか。
          • by Anonymous Coward

            環境省(外局の原子力規制)庁がみずほ未満なのは羞恥の事実だから...

            ひと月前にサイバー攻撃を受けた原子力規制委員会、いまだに電話かFAXでしか連絡取れず
            https://srad.jp/story/20/11/26/1743254/ [srad.jp]

        • by Anonymous Coward

          例えば4月末にバリュードメイン管理の共有サーバーが丸ごとクラックされてるけど、これアナウンスしてないよね。こんなのばっかり。
          http://zone-h.org/archive/ip=183.90.183.154 [zone-h.org]

  • by Anonymous Coward on 2022年05月03日 19時29分 (#4243511)

    パキスタン軍や中国軍(人民解放軍w)と軍事衝突が発生した場合、6時間以内の政府(国防省・首相・大統領)への報告ができるのかね?

    • by Anonymous Coward

      常世から報告はキツイなぁ…

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...