Quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng

Chiến lược An toàn thông tin trong ngành Ngân hàng

Ngân hàng Nhà nước vừa ban hành Thông tư 18/2018/TT-NHNN (Thông tư 18) quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng.

Hình minh họa

Theo đó, Thông tư 18 đã liệt các loại tài sản công nghệ thông tin bao gồm: Tài sản thông tin là các dữ liệu, thông tin ở dạng số được xử lý, lưu trữ thông qua hệ thống thông tin; Tài sản vật lý: các thiết bị công nghệ thông tin, phương tiện truyền thông, vật mang tin và các thiết bị phục vụ cho hoạt động của hệ thống thông tin;

Và tài sản phần mềm: các phần mềm hệ thống, phần mềm tiện ích, phần mềm lớp giữa, cơ sở dữ liệu, chương trình ứng dụng, mã nguồn và công cụ phát triển.

Về quản lý tài sản phần mềm theo Điều 9, Thông tư 18, với mỗi hệ thống thông tin phải lập danh sách tài sản phần mềm với các thông tin cơ bản gồm: tên tài sản, giá trị, mục đích sử dụng, phạm vi sử dụng, chủ thể quản lý, thông tin về bản quyền, phiên bản, hệ thống thông tin tương ứng. Tài sản phần mềm phải được gán trách nhiệm cho cá nhân hoặc bộ phận quản lý. Tài sản phần mềm phải được định kỳ rà soát và cập nhật các bản vá lỗi về an ninh bảo mật. Tài sản phần mềm khi lưu trữ trên vật mang tin phải tuân thủ các quy định tại Điều 11 Thông tư này.

Đối với quản lý sử dụng thiết bị di động, Thông tư 18 nêu rõ: Các thiết bị di động khi kết nối vào hệ thống mạng nội bộ của tổ chức phải được đăng ký để kiểm soát. Và phải tuân thủ giới hạn phạm vi kết nối từ thiết bị di động đến các dịch vụ, hệ thống thông tin của tổ chức; kiểm soát các kết nối từ thiết bị di động tới các hệ thống thông tin được phép sử dụng tại tổ chức. Quy định trách nhiệm của cá nhân trong tổ chức khi sử dụng thiết bị di động để phục vụ công việc.

Đặc biệt, thiết bị di động được sử dụng để phục vụ công việc phải áp dụng các biện pháp kỹ thuật tối thiểu sau: Thiết lập chức năng vô hiệu hóa, khóa thiết bị hoặc xóa dữ liệu từ xa trong trường hợp thất lạc hoặc bị mất cắp; Sao lưu dữ liệu trên thiết bị di động nhằm bảo vệ, khôi phục dữ liệu khi cần thiết; Thực hiện các biện pháp bảo vệ dữ liệu khi bảo hành, bảo trì, sửa chữa thiết bị di động.

Với thiết bị di động là tài sản của tổ chức, ngoài việc áp dụng các quy định tại khoản 4 Điều này, phải áp dụng các biện pháp kỹ thuật tối thiểu: Kiểm soát các phần mềm được cài đặt; cập nhật các phiên bản phần mềm và các bản vá lỗi trên thiết bị di động; Sử dụng các tính năng bảo vệ thông tin nội bộ, thông tin bí mật (nếu có); thiết lập mã khóa bí mật; cài đặt phần mềm phòng chống mã độc và các lỗi bảo mật khác.

Thông tư 18 cũng quy định hoạt động ứn cứu sự cố an ninh mạng, trong đó, mạng lưới ứng cứu sự cố an ninh mạng trong ngành Ngân hàng (Mạng lưới) có nhiệm vụ phối hợp các nguồn lực trong và ngoài ngành ứng phó hiệu quả sự cố an ninh mạng, góp phần bảo đảm hệ thống ngân hàng hoạt động an toàn. Mạng lưới bao gồm: Ban điều hành mạng lưới do Thống đốc Ngân hàng Nhà nước thành lập; Cơ quan điều phối là Cục Công nghệ thông tin (Ngân hàng Nhà nước); Các thành viên mạng lưới: Cục Công nghệ thông tin (Ngân hàng Nhà nước), tổ chức tín dụng (bộ phận chuyên trách an toàn thông tin) và thành viên tự nguyện tham gia mạng lưới là các cơ quan, tổ chức tự nguyện tham gia.

Thông tư 18 gồm 3 chương, 55 điều và có hiệu lực thi hành kể từ ngày 1/1/2019.