Những điểm nổi bật của quy định mới về an toàn hệ thống thông tin ngân hàng

Những điểm nổi bật của quy định mới về an toàn hệ thống thông tin ngân hàng

Có hiệu lực từ ngày 1/1/2019, Thông tư 18 quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng sẽ thay thế cho Thông tư 31 ngày 28/12/2015 và Quyết định 29 ngày 13/10/2008 của Ngân hàng Nhà nước (Ảnh minh họa. Nguồn: Internet)

Như ICTnews đã đưa tin, ngày 21/8/2018, Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) đã ký ban hành Thông tư 18 quy định về an toàn hệ thống thông tin (HTTT) trong hoạt động ngân hàng, thay thế cho Thông tư 31 ngày 28/12/2015 quy định về đảm bảo an toàn, bảo mật hệ thống CNTT trong hoạt động ngân hàng và Quyết định 29 ngày 13/10/2008 về việc ban hành quy định về bảo trì hệ thống trang thiết bị tin học trong ngành ngân hàng.

NHNN cho hay, được ban hành nhằm cập nhật các quy định mới của Luật An toàn thông tin mạng (ATTTM) và các văn bản hướng dẫn, đồng thời phản ánh đầy đủ, sát thực hơn các yêu cầu về an ninh bảo mật trong tình hình mới, phù hợp với thực tế phát triển nhanh chóng, đa dạng về CNTT, Thông tư 18 sẽ có hiệu lực từ ngày 1/1/2019.

Ngày 18/10/2018, trên trang web của NHNN tại địa chỉ sbv.gov.vn, cơ quan này đã phân tích cụ thể về những điểm mới được bổ sung, sửa đổi trong Thông tư 18 quy định về an toàn HTTT trong hoạt động ngân hàng, đó là: tiêu chí phân loại HTTT theo mức độ quan trọng trên cơ sở loại thông tin mà hệ thống xử lý và yêu cầu đảm bảo an toàn, liên tục HTTT; quản lý sử dụng dịch vụ CNTT bên thứ ba để cung cấp cơ sở pháp lý cho việc sử dụng dịch vụ điện toán đám mây (ĐTĐM); quản lý bảo trì HTTT; đảm bảo hoạt động liên tục HTTT…

Phân loại thông tin và hệ thống thông tin

Theo NHNN, Thông tư 18 bổ sung quy định về phân loại thông tin, theo đó thông tin tại các tổ chức được xếp vào 1 trong 3 nhóm: thông tin công cộng; thông tin nội bộ; thông tin bí mật. Trong 3 nhóm thông tin này, đa số các thông tin phát sinh trong quá trình hoạt động của tổ chức (gồm cả thông tin khách hàng) thuộc loại thông tin nội bộ. Một số ít thông tin tại tổ chức thuộc thông tin bí mật như: số thẻ tín dụng của khách hàng, số PIN thẻ thanh toán, mật mã/mã khóa đăng nhập hệ thống Internet Banking… việc phân loại do tổ chức tự quyết định và các thông tin được xếp loại Mật, Tối mật, Tuyệt mật theo quy định của pháp luật. Với những thông tin được xếp loại thông tin bí mật phải được mã hóa hoặc áp dụng các biện pháp bảo vệ để bảo mật thông tin trong quá trình tạo lập, trao đổi và lưu trữ.

Thông tư cũng bổ sung quy định về phân loại HTTT mức độ quan trọng trên cơ sở tham khảo các quy định tại Nghị định 85 ngày 1/7/2016 của Chính phủ và Thông tư 03 ngày 24/4/2017 của Bộ TT&TT quy định chi tiết và hướng dẫn một số điều của Nghị định 85 với những điều chỉnh để phù hợp với đặc thù của ngành ngân hàng. Theo đó, tổ chức thực hiện lập danh sách tài sản CNTT gắn với từng HTTT để có các biện pháp quản lý, bảo vệ phù hợp.

Trên cơ sở phân loại thông tin, tổ chức chủ động thực hiện phân loại HTTT theo mức độ quan trọng từ mức độ 1 đến 3 theo các quy định tại khoản 2 Điều 4 và áp dụng các quy định, giải pháp kỹ thuật nhằm đảm bảo an toàn và hoạt động liên tục theo quy định chi tiết tại Thông tư.

Cũng theo quy định về phân loại mức độ quan trọng HTTT tại Thông tư 18, các HTTT mức độ 3 là các hệ thống lớn cung cấp dịch vụ cho ngành ngân hàng. Trường hợp các tổ chức sử dụng dịch vụ được cung cấp bởi HTTT mức độ 3, ví dụ hệ thống Thanh toán liên ngân hàng do NHNN quản lý được xếp ở mức độ 3, các tổ chức sử dụng phần mềm CI-TAD (thuộc hệ thống Thanh toán liên ngân hàng) được xếp ở mức độ 2 do chỉ sử dụng trong phạm vi của tổ chức và là đầu cuối khai thác/sử dụng dịch vụ do NHNN cung cấp.

NHNN yêu cầu: “Các tổ chức phải tổ chức phân loại HTTT theo quy định tại Khoản 3, Điều 4 và áp dụng các biện pháp đảm bảo an toàn theo các quy định chi tiết tại Thông tư”.

Quản lý sử dụng dịch vụ CNTT của bên thứ ba

NHNN cho biết, các quy định về quản lý sử dụng dịch vụ CNTT của bên thứ ba tạo điều kiện cho các tổ chức sử dụng các dịch vụ mới như dịch vụ ĐTĐM. Thông tư 18 tiếp cận theo nguyên tắc tuân thủ các quy định hiện hành, giảm thiểu những rủi ro cho hệ thống ngân hàng tài chính, phù hợp với thông lệ quốc tế, thuận lợi cho tổ chức trong việc áp dụng. Theo giải thích từ ngữ tại Thông tư 18, bên thứ ba không gồm các cơ quan quản lý nhà nước, ngân hàng mẹ của chi nhánh ngân hàng nước ngoài.

Điều 31 Thông tư nêu các nguyên tắc chung khi sử dụng dịch vụ của bên thứ ba, bao gồm cả dịch vụ ĐTĐM. Khi tổ chức sử dụng dịch vụ ĐTĐM cần phải tuân thủ các quy định tại Mục 6 của Thông tư, trong đó lưu ý một số điểm được quy định riêng cho dịch vụ ĐTĐM, đó là: Trước khi dùng dịch vụ ĐTĐM, cần xây dựng tiêu chí lựa chọn bên thứ ba cung cấp dịch vụ ĐTĐM đáp ứng quy định bên thứ ba phải là doanh nghiệp; có hạ tầng CNTT tương ứng với dịch vụ mà tổ chức sử dụng đáp ứng các quy định của pháp luật Việt Nam và có chứng nhận quốc tế còn hiệu lực về bảo đảm ATTT; Thực hiện đánh giá rủi ro và gửi báo cáo đánh giá rủi ro cho NHNN khi thuê ngoài thực hiện toàn bộ công việc quản trị HTTT từ mức độ 2 trở lên trước thời điểm triển khai tối thiểu 10 ngày làm việc; Hợp đồng sử dụng dịch vụ ĐTĐM bổ sung các nội dung để đảm bảo an toàn, bảo mật trong quá trình sử dụng dịch vụ.

Bổ sung quy định quản lý bảo trì HTTT, quản lý sự cố ATTT

Theo phân tích của NHNN, Thông tư 18 bổ sung quy định về quản lý bảo trì HTTT tại Điều 43 thay thế cho Quyết định 29 ngày 13/10/2008 của NHNN quy định về bảo trì hệ thống trang thiết bị tin học trong ngành Ngân hàng. Theo đó, tổ chức thực hiện bảo trì đối với HTTT do tổ chức quản lý trực tiếp.

Cùng với đó, tại các Điều 44, 45, Thông tư 18 của NHNN hướng dẫn quy trình xử lý, kiểm soát và khắc phục các sự cố chung về ATTT, bao gồm tất cả các sự cố ảnh hưởng đến tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin.

NHNN cho biết, khoản 1 Điều 6 Quyết định 05 ngày 16/3/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm ATTTM quốc gia đã quy định: “... các cơ quan, tổ chức, doanh nghiệp chủ quản HTTT lớn thành lập hoặc chỉ định đơn vị chuyên trách ứng cứu sự cố an toàn thông tin mạng tại cơ quan, tổ chức mình”. Trên cơ sở Quyết định số 05 của Thủ tướng Chính phủ và tham khảo Thông tư 31 ngày 15/11/2017 của Bộ TT&TT quy định hoạt động giám sát an toàn HTTT, Thông tư 18 đã bổ sung nội dung về Trung tâm điều hành an ninh mạng và Hoạt động ứng cứu sự cố an ninh mạng nhằm tạo cơ sở pháp lý và nâng cao hiệu quả hoạt động giám sát an ninh mạng ngành ngân hàng.

NHNN cũng lưu ý thêm, những quy định tại Điều 46, 47 chỉ quản lý những sự cố là sự cố an ninh mạng theo quy định tại khoản 3 Điều 2 (sự cố an ninh mạng là việc thông tin số, HTTT bị tấn công hoặc bị gây nguy hại, ảnh hưởng tới tính bí mật, tính toàn vẹn, tính sẵn sàng). Các sự cố về ATTT nói chung (ví dụ như sự cố kỹ thuật tác động đến HTTT như lỗi kỹ thuật về phần mềm làm sai lệch kết quả xử lý; lỗi quá tải hiệu năng làm ngừng hoạt động; lỗi thiết bị vật lý: máy chủ, tủ đĩa, thiết bị mạng, thiết bị an ninh bảo mật…; lỗi do sai sót trong quy trình vận hành, quản trị) gây gián đoạn hoạt động của tổ chức sẽ không thuộc phạm vi hoạt động của Mạng lưới ứng cứu sự cố an ninh mạng ngành ngân hàng.

Ngoài ra, Điều 12 Thông tư 18 quy định, tổ chức quản lý trực tiếp HTTT mức độ 2 trở lên phải thành lập hoặc chỉ định bộ phận chuyên trách về ATTT tại mỗi tổ chức nhằm đảm bảo nhân sự cho công tác bảo đảm ATTT và ứng cứu sự cố an ninh mạng. Do vậy, tổ chức có thể chỉ định nhân sự thuê ngoài hoặc ngân hàng mẹ cho nhiệm vụ này.

Kể từ ngày 1/1/2020, các tổ chức (không bao gồm NHNN, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức tín dụng phi ngân hàng) sẽ phải thành lập hoặc chỉ định bộ phận chuyên trách để quản lý, vận hành trung tâm điều hành an ninh mạng. Tùy vào điều kiện, chiến lược quản lý của mỗi tổ chức, bộ phận chuyên trách quản lý vận hành trung tâm điều hành an ninh mạng có thể được sử dụng nhân sự nội bộ hoặc thuê ngoài.

Đảm bảo hoạt động liên tục của hệ thống thông tin

Quy định về đảm bảo hoạt động liên tục tại Mục 9 đã đưa ra nguyên tắc bảo đảm hoạt động liên tục của HTTT. Thông tư 18 đã đưa ra các tiêu chí để xác định các hệ thống phải đảm bảo hoạt động liên tục và yêu cầu xây dựng hệ thống dự phòng thảm họa. Đối với yêu cầu khi xây dựng hệ thống dự phòng thảm họa được quy định chi tiết tại Điều 49 của Thông tư, theo đó quy định khoảng thời gian tối đa hệ thống dự phòng phải hoạt động thay thế cho hệ thống chính. Về địa điểm lắp đặt hệ thống dự phòng, Thông tư 18 quy định rõ các tiêu chí để các tổ chức chủ động trong việc lựa chọn địa điểm lắp hệ thống dự phòng.

Về việc quy trình, kịch bản bảo đảm hoạt động liên tục và tổ chức tổ chức triển khai đảm bảo hoạt động liên tục được quy định chi tiết tại các Điều 50, 51, theo đó hàng năm các tổ chức phải thực hiện chuyển hoạt động chính thức từ hệ thống chính sang hệ thống dự phòng tối thiểu 1 ngày làm việc của từng hệ thống thông tin cần đảm bảo hoạt động liên tục.

Ngoài ra, so với quy định hiện hành, Thông tư 18 của NHNN sẽ có hiệu lực từ tháng 1/2019 còn có một số sửa đổi, bổ sung khác như: về nhân sự, về sao lưu dữ phòng dữ liệu, hay về quản lý an toàn bảo mật hệ thống mạng, xác thực giao dịch trực tuyến…

M.T

Tương tác trực tiếp với ICTnews trên Facebook

Nguồn: ictnews.vn