Tăng giảm cỡ chữ:

Quy định pháp luật về quản lý sự cố an toàn thông tin trong hoạt động ngân hàng

Quy định pháp luật về quản lý tiếp nhận, phát triển, duy trì hệ thống thông tin trong hoạt động ngân hàng và quản lý sự cố an toàn thông tin trong hoạt động ngân hàng như thế nào? Luật Minh Khuê xin giải đáp vấn đề này trong bài viết dưới đây.

 

1. Cơ sở pháp lý về quản lý hệ thống an toàn an toàn thông tin tại ngân hàng

Luật Ngân hàng nhà nước Việt Nam;

Luật Các tổ chức tín dụng;

Thông tư 09/2020/TT-NHNN

 

2. Quản lý tiếp nhận, phát triển, duy trì hệ thống thông tin trong hoạt động ngân hàng

2.1. Yêu cầu về an toàn, bảo mật các hệ thống thông tin

Khi xây dựng mới hoặc nâng cấp hệ thống thông tin do tổ chức quản lý trực tiếp, tổ chức phải thực hiện phân loại hệ thống thông tin theo cấp độ. Đối với hệ thống thông tin từ cấp độ 2 trở lên, tổ chức thực hiện:

- Xây dựng tài liệu thiết kế, mô tả về các phương án bảo đảm an toàn hệ thống thông tin. Trong đó các yêu cầu về an toàn, bảo mật được xây dựng đồng thời với việc xây dựng các yêu cầu kỹ thuật, nghiệp vụ.

- Xây dựng phương án kiểm tra, xác minh hệ thống được triển khai tuân thủ theo đúng tài liệu thiết kế và yêu cầu bảo đảm an toàn thông tin trước khi nghiệm thu. Kết quả kiểm tra phải lập thành báo cáo và được cấp có thẩm quyền phê duyệt trước khi đưa vào vận hành chính thức.

- Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngoài theo quy định tại Điều 36 Thông tư này.

 

2.2. Bảo đảm an toàn, bảo mật ứng dụng

Các chương trình ứng dụng nghiệp vụ phải đáp ứng các yêu cầu tối thiểu sau:

- Kiểm tra tính hợp lệ của dữ liệu nhập vào các ứng dụng, bảo đảm dữ liệu được nhập vào chính xác và hợp lệ.

- Kiểm tra tính hợp lệ của dữ liệu cần được xử lý tự động trong các ứng dụng nhằm phát hiện thông tin sai lệch do các lỗi trong quá trình xử lý hoặc các hành vi sửa đổi thông tin có chủ ý.

- Có các biện pháp bảo đảm tính xác thực và bảo vệ sự toàn vẹn của dữ liệu được xử lý trong các ứng dụng.

- Kiểm tra tính hợp lệ của dữ liệu xuất ra từ các ứng dụng, bảo đảm quá trình xử lý thông tin của các ứng dụng là chính xác và hợp lệ.

- Mã khóa bí mật của người sử dụng trong các hệ thống thông tin từ cấp độ 2 trở lên phải được mã hóa ở lớp ứng dụng.

 

2.3. Quản lý mã hóa

Tổ chức quản lý mã hóa như sau:

- Quy định và đưa vào sử dụng các biện pháp mã hóa theo quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng hoặc tiêu chuẩn quốc tế đã được công nhận.

- Có biện pháp quản lý khóa mã hóa để bảo vệ thông tin của tổ chức.

 

2.4. An toàn, bảo mật trong quá trình phát triển phần mềm

- Tổ chức thực hiện quản lý quá trình phát triển phần mềm như sau:

a) Quản lý, kiểm soát mã nguồn. Việc truy cập, tiếp cận mã nguồn phải được sự phê duyệt của cấp có thẩm quyền;

b) Quản lý, bảo vệ tệp tin cấu hình hệ thống;

c) Yêu cầu bên thứ ba cung cấp mã nguồn phần mềm đối với các phần mềm thuê ngoài gia công (outsourced software) của các hệ thống thông tin từ cấp độ 2 trở lên.

- Tổ chức phải lựa chọn, kiểm soát đối với dữ liệu kiểm tra, thử nghiệm. Không sử dụng dữ liệu thật của hệ thống thông tin vận hành chính thức cho hoạt động kiểm thử khi chưa thực hiện các biện pháp che giấu hoặc thay đổi đối với dữ liệu chứa thông tin khách hàng và thông tin bí mật.

 

2.5. Quản lý sự thay đổi hệ thống thông tin

Tổ chức ban hành quy trình, biện pháp quản lý và kiểm soát sự thay đổi hệ thống thông tin, tối thiểu bao gồm:

- Thực hiện ghi chép lại các thay đổi; lập kế hoạch thay đổi; thực hiện kiểm tra, thử nghiệm sự thay đổi, báo cáo kết quả; phê duyệt kế hoạch thay đổi trước khi áp dụng chính thức thay đổi phiên bản phần mềm, cấu hình phần cứng, tham số phần mềm hệ thống, quy trình vận hành. Có phương án dự phòng cho việc phục hồi hệ thống trong trường hợp thực hiện thay đổi không thành công hoặc gặp các sự cố không có khả năng dự tính trước.

- Kiểm tra, đánh giá tác động để bảo đảm hệ thống thông tin hoạt động ổn định, an toàn trên môi trường mới đối với hệ thống thông tin từ cấp độ 3 trở lên khi thay đổi phiên bản hoặc thay đổi hệ điều hành, hệ quản trị cơ sở dữ liệu, phần mềm lớp giữa.

 

2.6. Kiểm tra, đánh giá an toàn thông tin

- Nội dung kiểm tra, đánh giá an toàn thông tin tối thiểu phải bao gồm các nội dung sau:

a) Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ;

b) Đánh giá hiệu quả của biện pháp bảo đảm an toàn hệ thống thông tin;

c) Đánh giá, phát hiện mã độc, lỗ hổng, điểm yếu về mặt kỹ thuật theo quy định tại Điều 43 Thông tư này;

d) Kiểm tra thử nghiệm cấp độ an toàn mạng (Penetration Test), bắt buộc phải thực hiện đối với các hệ thống thông tin có kết nối và cung cấp thông tin, dịch vụ ra Internet, kết nối với khách hàng và bên thứ ba;

đ) Kiểm tra cấu hình các thiết bị bảo mật, các hệ thống cấp quyền truy cập tự động, hệ thống quản lý thiết bị đầu cuối, danh sách tài khoản.

- Tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin đối với hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng theo các nội dung quy định tại khoản 1 Điều này trước khi đưa vào vận hành chính thức.

- Trong quá trình vận hành hệ thống thông tin, tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin theo quy định tại khoản 1 Điều này định kỳ tối thiểu như sau:

a) Sáu tháng một lần đối với hệ thống thông tin cấp độ 5;

b) Một năm một lần đối với các hệ thống thông tin cấp độ 4, cấp độ 3 và các trang thiết bị giao tiếp trực tiếp với môi trường bên ngoài như Internet, kết nối với bên thứ ba;

c) Hai năm một lần thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin tổng thể trong hoạt động của tổ chức.

- Kết quả đánh giá phải được lập thành văn bản báo cáo người đại diện hợp pháp và cấp có thẩm quyền. Đối với các nội dung chưa tuân thủ quy định về an toàn thông tin (nếu có) phải đề xuất biện pháp, kế hoạch, thời hạn xử lý, khắc phục.

 

2.7. Quản lý các điểm yếu về mặt kỹ thuật

Tổ chức quản lý các điểm yếu về mặt kỹ thuật như sau:

- Xây dựng quy định về việc đánh giá, quản lý và kiểm soát các điểm yếu về mặt kỹ thuật của các hệ thống thông tin đang sử dụng.

- Thường xuyên cập nhật thông tin liên quan đến lỗ hổng, điểm yếu về mặt kỹ thuật.

- Thực hiện dò quét lỗ hổng, điểm yếu của các hệ thống thông tin định kỳ hoặc khi tiếp nhận được thông tin liên quan đến lỗ hổng, điểm yếu mới.

- Đánh giá cấp độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện của các hệ thống thông tin đang sử dụng và đưa ra phương án, kế hoạch xử lý.

- Xây dựng, tổ chức triển khai các giải pháp xử lý, khắc phục và báo cáo kết quả xử lý.

 

2.8. Quản lý báo trì hệ thống thông tin

Tổ chức quản lý bảo trì hệ thống thông tin như sau:

- Ban hành quy định bảo trì hệ thống thông tin ngay sau khi đưa vào hoạt động chính thức. Quy định bảo trì tối thiểu bao gồm các nội dung sau:

a) Phạm vi, các đối tượng được bảo trì;

b) Thời điểm, tần suất bảo trì;

c) Quy trình, kịch bản kỹ thuật để thực hiện bảo trì của từng cấu phần và toàn bộ hệ thống thông tin;

d) Khi thực hiện bảo trì nếu phát hiện, phát sinh sự cố phải báo cáo cấp có thẩm quyền để xử lý;

đ) Phân công và xác định trách nhiệm của bộ phận thực hiện bảo trì và giám sát bảo trì.

- Thực hiện bảo trì theo quy định tại khoản 1 Điều này đối với hệ thống thông tin do tổ chức quản lý trực tiếp.

- Rà soát quy định bảo trì tối thiểu một năm một lần hoặc khi hệ thống thông tin có sự thay đổi.

 

3. Quản lý sự cố an toàn thông tin trong hoạt động ngân hàng

3.1. Quy trình xử lý sự cố

Tổ chức quản lý sự cố như sau:

- Ban hành quy trình xử lý sự cố an toàn thông tin bao gồm những nội dung tối thiểu sau:

a) Tiếp nhận thông tin về sự cố phát sinh;

b) Đánh giá cấp độ, phạm vi ảnh hưởng của sự cố đến hoạt động của hệ thống thông tin. Tùy theo cấp độ, phạm vi ảnh hưởng của sự cố phải báo cáo đến các cấp quản lý tương ứng để chỉ đạo xử lý;

c) Thực hiện các biện pháp xử lý, khắc phục sự cố;

d) Ghi nhận hồ sơ và báo cáo kết quả xử lý sự cố.

- Quy định trách nhiệm của cá nhân, tập thể trong việc báo cáo, tiếp nhận, xử lý các sự cố an toàn thông tin.

- Xây dựng các mẫu biểu để ghi nhận, lưu trữ hồ sơ xử lý sự cố.

 

3.2. Kiểm soát và khắc phục sự cố

Tổ chức kiểm soát và khắc phục sự cố như sau:

- Lập danh sách sự cố an toàn thông tin và phương án xử lý sự cố đối với các hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng; tối thiểu 6 tháng một lần thực hiện rà soát, cập nhật danh sách, phương án ứng cứu sự cố.

- Báo cáo ngay đến cấp có thẩm quyền và những người có liên quan khi phát sinh sự cố an toàn thông tin để có biện pháp khắc phục trong thời gian sớm nhất.

- Trong quá trình kiểm tra, xử lý, khắc phục sự cố thu thập, ghi chép, bảo vệ chứng cứ và lưu trữ tại tổ chức.

- Đánh giá xác định nguyên nhân và thực hiện các biện pháp phòng ngừa tránh sự cố tái diễn sau khi khắc phục sự cố.

- Trong trường hợp sự cố an toàn thông tin có liên quan đến các vi phạm pháp luật, tổ chức có trách nhiệm thu thập và cung cấp chứng cứ cho cơ quan có thẩm quyền đúng theo quy định của pháp luật.

- Định kỳ hàng năm tổ chức diễn tập phương án xử lý sự cố bảo đảm an toàn thông tin cho tối thiểu một trong các hệ thống thông tin từ cấp độ 3 trở lên và thực hiện luân phiên nếu có từ 02 hệ thống thông tin từ cấp độ 3 trở lên.

 

3.3. Trung tâm Điều hành an ninh mạng

- Tổ chức quản lý trực tiếp hệ thống thông tin từ cấp độ 3 trở lên phải thành lập hoặc chỉ định bộ phận chuyên trách để quản lý vận hành Trung tâm Điều hành an ninh mạng (không áp dụng với chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức tín dụng phi ngân hàng, tổ chức tài chính vi mô, quỹ tín dụng nhân dân cơ sở, công ty thông tin tín dụng, Công ty Quản lý tài sản của các tổ chức tín dụng Việt Nam, Nhà máy in tiền quốc gia).

- Trung tâm Điều hành an ninh mạng thực hiện các nhiệm vụ sau:

a) Chủ động theo dõi, thu thập, tiếp nhận các thông tin, cảnh báo về các nguy cơ, rủi ro an toàn thông tin từ bên trong và bên ngoài.

b) Xây dựng hệ thống quản lý và phân tích sự kiện an toàn thông tin (SIEM), thực hiện thu thập và lưu trữ tập trung tối thiểu các thông tin: nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng; cảnh báo, nhật ký của trang thiết bị an ninh mạng (tường lửa, 4 IPS/IDS).

c) Phân tích thông tin để phát hiện và cảnh báo về các rủi ro và các nguy cơ tấn công mạng, sự cố an toàn thông tin và phải gửi cảnh báo đến người quản trị hệ thống khi phát hiện sự cố liên quan đến các hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng.

d) Tổ chức điều phối ứng cứu sự cố và khoanh vùng, ngăn chặn, giảm thiểu tác động, thiệt hại đến hệ thống thông tin khi sự cố phát sinh.

đ) Điều tra, xác định nguồn gốc, cách thức, phương pháp tấn công và thực hiện các biện pháp phòng ngừa tránh sự cố tái diễn.

e) Cung cấp thông tin theo yêu cầu của Ngân hàng Nhà nước để phục vụ giám sát an ninh mạng ngành Ngân hàng.

 

3.4. Hoạt động ứng cứu sự cố an toàn thông tin

- Mạng lưới ứng cứu sự cố an toàn thông tin trong ngành Ngân hàng (mạng lưới) bao gồm:

a) Ban điều hành mạng lưới do Thống đốc Ngân hàng Nhà nước thành lập;

b) Cơ quan điều phối là Cục Công nghệ thông tin (Ngân hàng Nhà nước);

c) Các thành viên mạng lưới: Cục Công nghệ thông tin (Ngân hàng Nhà nước), tổ chức tín dụng (bộ phận chuyên trách an toàn thông tin) và thành viên tự nguyện tham gia mạng lưới là các cơ quan, tổ chức tự nguyện tham gia.

- Mạng lưới có nhiệm vụ phối hợp các nguồn lực trong và ngoài ngành ứng phó hiệu quả sự cố an toàn thông tin, góp phần bảo đảm hệ thống ngân hàng hoạt động an toàn.

- Nguyên tắc trong hoạt động điều phối và ứng cứu sự cố

a) Ban điều hành mạng lưới có nhiệm vụ: (i) Phê duyệt chiến lược và kế hoạch hoạt động hàng năm của mạng lưới; (ii) Điều hành hoạt động mạng lưới (ứng cứu sự cố, diễn tập và đào tạo, tập huấn ứng cứu sự cố); (iii) Đánh giá kết quả hoạt động của mạng lưới, báo cáo Thống đốc Ngân hàng Nhà nước hàng năm;

b) Các tổ chức theo quy định tại điểm c khoản 2 Điều này phải có trách nhiệm cung cấp nguồn lực và tham gia làm thành viên mạng lưới;

c) Khi gặp sự cố an toàn thông tin, các thành viên phải báo cáo Cơ quan điều phối theo quy định tại khoản 1 Điều 54 Thông tư này;

d) Khi gặp sự cố nghiêm trọng không tự khắc phục được, các thành viên phải gửi yêu cầu hỗ trợ đến Cơ quan điều phối;

đ) Căn cứ vào từng sự cố, Cơ quan điều phối sẽ báo cáo Ban điều hành mạng lưới và đề nghị các thành viên mạng lưới hỗ trợ hoặc các cơ quan nhà nước có thẩm quyền hỗ trợ, ứng cứu.

- Nguyên tắc quản lý, sử dụng thông tin trong hoạt động điều phối và ứng cứu sự cố:

a) Thông tin được trao đổi, cung cấp trong quá trình điều phối và ứng cứu sự cố là thông tin bí mật;

b) Nghiêm cấm tổ chức, cá nhân sử dụng thông tin trao đổi trong quá trình điều phối và ứng cứu sự cố để làm ảnh hưởng đến uy tín, hình ảnh của tổ chức cung cấp thông tin.

Mọi vướng mắc bạn vui lòng trao đổi trực tiếp với bộ phận luật sư tư vấn pháp luật trực tuyến qua tổng đài gọi số: 1900.6162 hoặc liên hệ văn phòng để nhận được sự tư vấn, hỗ trợ từ Luật Minh Khuê. Rất mong nhận được sự hợp tác!

5 sao của 1 đánh giá

Bạn thấy nội dung này thực sự hữu ích?

Bạn thấy nội dung này chưa ổn ở đâu?

Cảm ơn bạn đã nhận xét!

Like fanpage Luật Minh Khuê để nhận tin mới mỗi ngày
Liên hệ để được hỗ trợ tốt nhất
Chat zalo Liên hệ theo Zalo Liên hệ theo SĐT Liên hệ qua Facebook Messenger Liên hệ qua Email
Mở Đóng