Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 124 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
124
Dung lượng
25,79 MB
Nội dung
xstseaam^aaBxncrit^sfif Assas-vaattawas )kO TẠO Of Ọ o CO NGÂN HÀNG NHÀ NƯỚC VIỆT NAM HOC VIÊN NGÂN HÀNG CJ1 PHAN THÁI DŨNG GIẢI PHÁP QUẢN LÝ RỦI RO CÔNG NGHỆ THÔNG TIN CỦA HỆ THỐNG NGÂN HÀNG VIỆT NAM TRONG QUÁ TRÌNH HỘI NHẬP KINH TẾ QUỐC TẾ LUẬN VĂN THẠC s ĩ KINH TẾ HỌC VIỆN NO' !n g t â m t h ỏ n ị 332.1» LV495 Hà Nội - 2009 B ộ GIÁO DỤC VÀ ĐÀO TẠO NGÂN HÀNG NHÀ NƯỚC VIỆT NAM HỌC VIỆN NGÂN HÀNG PHAN THÁI DŨNG GIẢI PHÁP QUẢN LÝ RỦI RO CÔNG NGHỆ THÔNG TIN CỦA HỆ THỐNG NGÂN HÀNG VIỆT NAM TRONG QUÁ TRÌNH HỘI NHẬP KINH TÉ QUỐC TÉ Chuyên ngành: Kinh tế tài chính- Ngân hàng Mã sổ: 60.31.12 H O C V IỆ N N G Â N H À N G TRUNG TÂM THÔNG TIN - THƯ VIỆN T H Ư V IỆ N LUẬN VĂN THẠC s ĩ KINH TÉ Người hướng dẫn Khoa học: TS TẠ QUANG TIÉN Hà Nội - 2009 r Luận văn thạc sĩ kinh tê LỜI CAM ĐOAN Tơi xin cam đoan cơng trình nghiên cứu riêng Các số liệu nêu luận văn có nguồn gốc rõ ràng, kết luận văn trung thực chua đuợc công bố cơng trình khác Tác giả Luận văn Phan Thái Dũng HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tế MỤC LỤC PHẦN MỞ ĐẦU Tính cấp thiết đề tài Mục đích nghiên cứu luận văn Đối tuợng phạm vi nghiên cứu Phuơng pháp nghiên u Kết cấu luận văn .8 CHƯƠNG C SỞ LÝ LUẬN VỀ QUẢN LÝ RỦI RO CÔNG NGHỆ 1.1 Tổng quan rủi ro CNTT hệ thống ngân hàng 1.1.1 Khái niệm rủi ro 1.1.2 Khái quát rủi ro CNTT 10 1.1.3 Một số loại rủi ro mang tính phổ biến 11 1.1.4 Đảm bảo an tồn thơng tin 12 1.2 Rủi ro hệ thống công nghệ thông tin ngân hàng 13 1.2.1 Khái quát rủi ro công nghệ thông tin ngân hàng 13 1.2.2 Quản lí rủi ro công nghệ thông tin hệ thống ngân hàng 14 1.3 Đánh giá rủi ro công nghệ thông tin 18 1.3.1 Xác định đặc tính hệ thống 20 1.3.2 Nhận biết thảm hoạ hệ thống CNTT 24 1.3.3 Nhận biết điểm yếu hệ thống CNTT 27 1.3.4 Phân tích giám sát rủi ro hệ thống CNTT .33 1.3.5 Quyết định khả xảy 34 1.3.6 Phân tích ảnh huởng hiểm h o 36 1.3.7 Xác định rủi ro 38 1.3.8 Các khuyến nghị giám sát rủi ro CNTT 41 1.3.9 Lập tài liệu kết 42 1.3.10 Giảm thiểu rủi ro 42 1.3.11 Định luợng đánh giá rủi ro CNTT 46 1.3.12 Định kỳ đánh giá công tác bảo mật có hiệu 46 1.4 Kinh nghiệm quản lỹ rủi ro nuởc phát triển 47 HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tế CHƯƠNG THỰC TRẠNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA HỆ THỐNG NGÂN HÀNG VIẸT NAM 2.1 Tổng quan hệ thống ngân hàng ViệtNam 51 2.2 Tổng quan hệ thống công nghệ thôngtin ngân hàng Việt Nam 52 2.2.1 Vài nét ứng dụng CNTT ngân hàng Việt N am 52 2.2.2 Cơ sở hạ tầng truyền thông 54 2.2.3 Cơ sở hạ tầng Internet 56 2.2.4 Trình độ sử dụng máy tính .57 2.3 Một số hệ thống công nghệ thông tin ngân hàng Việt nam 59 2.3.1 Một số hệ thống công nghệ thông tin NHNN 59 2.3.2 Một số hệ thống công nghệ thông tin NHTM .60 2.4 Các hệ thống kỹ thuật CNTT ứng dụng ngân hàng 63 2.4.1 Hệ thống m ạng 63 2.4.2 Hệ thống an ninh bảo mật 68 2.4.3 Hệ thống phòng chống Virus 70 2.4.4 Mã hố thơng tin 71 2.4.5 Phần mềm ứng dụng nghiệp vụ ngân hàng 72 2.4.6 Đánh giá ATTT 73 2.5 Chính sách quản lý rủi ro CNTT ngân hàng Việt N am 73 2.5.1 Chính sách quản lý an ninh bảo mật 73 2.5.2 Chính sách quản lý an ninh bảo mật NHTM 77 2.6 Tinh trạng chung quản lý công nghệ thông tin Ngân hàng Việt Nam 82 2.7 Đánh giá nguy đe doạ tiềm ẩn rủi ro CNTT Ngân hàng Việt Nam 83 2.7.1 Hiểm họa không cấu trúc (Unstructured Threats): 83 2.7.2 Hiêm họa bên (External Threats): 83 2.7.3 Hiểm họa bên (Internal Threats): 84 2.8 Ket đạt hạn chế quản lý rủi ro 87 2.8.1 Kết đạt 87 2.8.2 Những hạn chế 90 2.8.3 Nguyên nhân 92 HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tế 2.8.3.1 2.8.3.2 2.8.3.3 2.8.3.4 Nguyên nhân cố kỹ thuật 92 Nguyên nhân người 95 Nguyên nhân chế, pháp lý 97 Nguyên nhân khác 97 CHƯƠNG MỘT SỐ GIẢI PHÁP QUẢN LÝ RỦI RO CÔNG NGHỆ THÔNG TIN CỦA HỆ THỐNG NGÂN HÀNG VIỆT NAM 3.1 Định hướng phát triển công nghệ thông tin ngân hàng Việt Nam đến năm 2010 tầm nhìn năm 2020 101 3.1.1 3.1.2 3.1.3 3.2 Các chiến lược hoạt động công nghệ thông tin 101 Định hướng hoạt động công nghệ thông tin ngân hàng 102 Các mục tiêu .104 Các giải pháp nâng cao hiệu công tác quản lý rủi ro công nghệ thông tin Ngân hàng việt nam 106 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.3 Giải pháp chung 106 Biện pháp kỹ thuật công nghệ 107 Biện pháp pháp lý 110 Biện pháp nhân lự c 115 Biện pháp hành 115 Biện pháp công tác quản lý điều hành 116 Một số kiến nghị: .117 3.3.1 3.3.2 Kiến nghị với phủ, Nhà nước 117 Kiến nghị với ngành Ngân hàng 117 HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tế DANH MỤC CHỮ VIẾT TẢT NHTW: Ngân hàng Trung ương NHNN: Ngân hàng Nhà nước NHTM: Ngân hàng thương mại TCTD: Tổ chức tín dụng CSDL: Cơ sở dự liệu TTLNH: Thanh toán Liên ngân hàng LAN: Mạng cục WAN: Mạng diện rộng CNTT: Công nghệ thông tin TT: Truyền thông ATTT: An tồn thơng tin AT-BMTT: An tồn bảo mật thơng tin PC: Máy tính cá nhân WEB: trang thơng tin điện tử VLAN: Mạng ảo Dialup: Quay số VNNIC: Tổ chức quản lý Internet Việt Nam ATM: Rút tiền tự động CoreBanking: Ngân hàng lõi IP: Địa mạng máy tính Switch: hệ thống chuyển mạch PVN: mạng riêng ảo Backup: Lưu trữ DR: Hệ thống lưu trữ sãn sang cao HĐH: Hệ điều hành HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tế DANH MỤC BANG BIEU, s ĐO Trang Nội dung Các Bảng, sơ đồ Mục lục Sơ đồ 1.1 1.2.3 Biểu đồ tiến trình phương thức đánh giá rủi ro 19 Bảng 1.2 1.2.3.2 Những hiểm họa nhân loại Nguồn gây hiểm họa, Động cơ, Hành động họa 25 Bảng 1-3 1.2.3.3 Nêu ví dụ cặp điểm yếu/hiểm họa 28 Bảng 1-4 1.2.3.3 Tiêu chí bảo mật 31 Bảng 1-5 1.2.3.5 Định nghĩa cấp khả xảy 35 Bảng 1-6 1.2.3.6 Tầm quan trọng việc xác định ảnh hưởng 37 Bảng 1-7 1.2.3.7 Mận trận cấp độ rủi ro 39 Bảng 1-8 1.2.3.7 Phạm vi rủi ro Các hoạt động cần thiết 40 Sơ đồ 2.1 2.4.1 Mạng NHNN 66 Sơ đồ 2.2 2.4.1 Mạng LAN 68 Biểu đồ 2.3 2.7.3 Biết cố ATTT năm 2008 Biểu đồ 2.4 2.7.3 Có khả ghi nhận cơng 86 86 Biểu đồ 2.5 2.7.3 Nhận biết nguồn gốc công 87 Biểu đồ 2.6 2.7.3 Tổn thất tài bị cơng 87 Biểu đồ 2.7 2.8.2 vấn đề hạn chế đảm bảo attt 92 Biểu đồ 2.8 2.8.3 Chi tiêu ATTT 99 HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tế PHẦN MỞ ĐÀU Tính cấp thiết đề tài Trong trình hội nhập kinh tế quốc tế, hệ thống ngân hàng đóng vai trị quan trọng Hệ thống ngân hàng hoạt động thông suốt, lành mạnh hiệu tiền đề để nguồn lực tài luân chuyển, phân bố sử dụng hiệu quả, kích thích tăng trưởng cách bền vững Tuy nhiên, kinh tế thị trường, rủi ro hoạt động ngân hàng không tránh khỏi, tính đa dạng hoạt động phạm vi hoạt động rộng lớn Một đặc tính riêng biệt rủi ro hoạt động ngân hàng có phản ứng dây chuyền Sự sụp đố ngân hàng ảnh hưởng tiêu cực đến ngân hàng khác toàn đời sống kinh tế, trị, xã hội nước lan rộng sang qui mơ quốc tế Đối với Hệ thống ngân hàng Việt Nam, kể từ chuyển sang chế thị trường, bước đổi công nghệ, ứng dụng công nghệ đại cung cấp dịch vụ tốt cho khách hàng thu thành tựu quan trọng Tuy nhiên, đơi với lợi ích to lớn ứng dụng công nghệ đại hoạt động Ngân hàng mang lại, rủi ro tiềm ẩn vấn đề lớn cần ngân hàng quan tâm Bởi rủi ro hoạt động ngân hàng ứng dụng công nghệ đại đa dạng phức tạp nhiều so với hoạt động ngân hàng theo phương pháp truyền thống Nhằm góp phần nâng cao hiểu hạn chế rủi ro công nghệ thông tin trở thành động lực để nghiên cứu đề tài “Giải pháp quản lý rủi ro công nghệ thông tin hệ thống Ngân hàng Việt nam trình hội nhập kinh tế quốc tế” 2, Mục đích nghiên cứu luận văn - Nghiên cứu đưa sở lý luận việc quản lý rủi ro công nghệ thông tin hệ thống ngân hàng Việt Nam HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tê - Đánh giá thực trạng công tác quản lý quản lý rủi ro công nghệ thông tin hệ thống Ngân hàng Việt Nam - Các kiến nghị giải pháp nhằm nâng cao hiệu công tác quản lý rủi ro công nghệ thông tin Việt Nam Đối tượng phạm vi nghiên cứu - lý luận, luận văn cố gắng đưa quan điểm chung quản lý rủi ro công nghệ thông tin ngân hàng sau để có nhìn bao qt q trình quản lý rủi ro cơng nghệ thơng tin ngân hàng - thực tiễn Việt Nam, luận văn nghiên cứu thực trạng đưa giải pháp cho quản lý rủi ro công nghệ thông tin ngân hàng - kinh nghiệm quốc tế, đưa mơ hình quản lý rủi ro nước ngồi, từ rút học quý báu cho việc quản lý rủi ro công nghệ thông tin ngân hàng Việt Nam Phương pháp nghiên cứu - Sử dụng phép vật viện chứng, suy luận logic - Sử dụng phương pháp điều tra, thống kê, phân tích - Phưong pháp so sánh, luận giải, chứng minh Kết cấu luận văn - Tên luận văn: “Giải pháp quản lý rủi ro công nghệ thông tin hệ thống Ngân hàng Việt nam trình hội nhập kinh tế quốc tế” - Phần mở đầu - Phần nội dung: Chương 1: Cơ sở lý luận quản lý rủi ro công nghệ thông tin Chương 2: Thực trạng ứng dụng công nghệ thông tin hệ thống ngân hàng Việt Nam HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tê 108 - Hệ thông mạng có độ tin cậy cao, sơ tin cậy phải đạt 99,999% (5 chữ số an toàn) - Bảo mật liệu, bảo mật mạng, bảo mật đường truyền - Mạng phải có khả tự phịng vệ ( Self-Defending network) Cho phép tự phòng vệ vành đai an ninh, thiết bị định tuyến (Router) truyền thông, thiết bị chuyển mạch (Switch) mạng LAN, Trước công hiểm họa virus, sâu, phần mềm gián điệp, từ mạng Internet, chí người dùng mạng - Khả quản trị mạng, quản trị an ninh bảo mật, tập trung kiến trúc hạ tầng mạng thống 3.2.2.2 Mục tiêu giải pháp - Đảm bảo yêu cầu an toàn, bảo mật cho hệ thống thông tin Ngân hàng - Giải pháp an ninh mạng phải thiết kế phù hợp với quy mô nghiệp vụ Ngân hàng - Đáp ứng yêu cầu nâng cấp mở rộng mạng ứng dụng phần mềm nghiệp vụ - Có tính kế thừa thống phạm vi toàn Hệ thống - Có khả mở rộng nâng cấp sản phẩm, thiết bị an ninh tưcmg lai mà khơng ảnh hưởng đến hoạt động chung tồn hệ thống 3.2.2.3 Nguyên tắc giải pháp - Quyền hạn tối thiểu + Chỉ nên cấp quyền định cần có với cơng việc tương ứng + Tất đối tượng: người sử dụng, chương trình ứng dụng, hệ điều hành nên tuân theo nguyên tắc - Tính đơn giản hố HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tê 109 + Hệ thông phải đơn giản đê dễ hiêu măc lỗi + Dễ hiểu: Sẽ giúp cho dễ dàng nắm hoạt động nào, có mong muốn hay khơng + mắc lỗi: Càng phức tạp nhiều lỗi xảy (Firewall thường chạy hệ thống loại bỏ hết khơng cần thiết.) - Bảo vệ theo chiều sâu + Nên áp dụng nhiều chế độ an toàn khác + Nhiều lớp an toàn khác nhau, chia thành vòng bảo vệ bao lấy nhau, muốn cơng vào bên phải qua lớp bảo bên —> bảo vệ lẫn - Bảo vệ nút thắt + Bắt buộc thông tin phải qua hẹp mà ta quản lý (kể kẻ công) Giống cửa quốc tế, nhân viên cửa kiểm soát thứ đưa vào + Nút thắt vơ dụng có đường khác - Tính tồn cục Phải quan tâm tới tất máy mạng, máy bàn đạp cơng từ bên Bản thân máy khơng lưu trữ thông tin hay dịch vụ quan trọng, để bị đột nhập máy tính khác mạng dễ dàng bị công từ - Tính đa dạng Neu tất dùng hệ điều hành hay loại phần mềm có the bị cơng đồng loạt khơng có khả hồi phục (ví dụ tất máy dùng WindowsXP, đến ngày người ta phát làm cho WindowsXP xoá liệu máy cách bất hợp pháp, lúc Microsoft chưa có sửa lỗi, bạn cịn cách tắt hết máy mạng chờ đến Microsoft đưa sửa lồi) HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tê 110 Nêu dùng nhiêu loại hệ điêu hành phân mêm ứng dụng hỏng này, ta khác để thay 3.2.3 Biện pháp pháp lý - Rà sốt, chỉnh sửa hồn thiện quy chế, quy trình kỹ thuật hành hệ thống xử lý nghiệp vụ, kỹ thuật công nghệ, kiểm tra, kiếm soát bao đảm bảo mật, an ninh mạng Ngân hàng - Xây dựng quy định tiêu chuẩn chung đổi với hệ thống ứng dụng kỹ thuật công nghệ Ngân hàng - Xây dựng quy định bảo mật, an ninh mạng hệ thống ứng dụng CNTT ngành Ngân hàng - Xây dựng quy chế quản lý xử lý rủi ro trình ứng dụng CNTT Ngân hàng 3.2.3.1 Hoàn thiện quy định an toàn bảo mật hệ thống công nghệ thông tin - Quan điểm xây dựng sách bảo mật An ninh mạng tiến trình lặp lặp lại, bao gồm bước xoay vòng sau: + Xác định đối tượng cần bảo vệ (máy chủ, tài nguyên, ứng dụng, thiết bị mạng, máy trạm, người dùng, v.v.) + Xác định hiểm họa gây nên cho mạng hệ thống + Thiết lập sách an ninh cho mạng, bao gồm nhà lãnh đạo, quản lý tin học, quản trị mạng người dùng + Thiết lập sách an ninh mạng phương pháp điện tử hành Các phương pháp điện tử bao gồm: thiết kế quy hoạch lại mạng, tường lửa (firewall), mạng riêng ảo (VPN), chông xâm nhập (IDS), ACS quản trị an ninh mạng + Theo dõi an ninh mạng phản ứng lại biểu bất thường Lớp: Cao học 802 HV: Phan Thái Dũng Luận văn thạc sĩ kinh tê 111 + Kiêm tra lại sách an ninh thiêt bị an ninh mạng đê đáp ứng lại thay đổi Tiếp tục theo dõi quản lý an ninh mạng, thay đổi sách an ninh cấu hình thiết bị an ninh mạng để phù hợp với ngữ cảnh an ninh - Nguyên lý xây dựng sách bảo mật An ninh mạng phải thiết lập dựa nguyên tắc: - Bảo vệ có chiều sâu (defense in depth): Hệ thống phải bảo vệ theo chiều sâu, phân thành nhiều tầng tách thành nhiều lớp khác Mồi tầng lớp thực sách bảo mật hay ngăn chặn khác Mặt khác để phòng ngừa tầng hay lớp bị xâm nhập xâm nhập trái phép bó hẹp tầng lớp thơi khơng thể ảnh hưởng sang tầng hay lớp khác - Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào công nghệ hay sản phẩm công nghệ bảo đảm an ninh cho mạng hãng Bởi sản phẩm hãng bị hacker tìm lỗ hống dễ dàng sản phẩm tương tự hãng mạng bị xuyên qua việc phân tầng, phân lớp sách phịng vệ vơ nghĩa Vì tiến hành phân tầng, tách lóp, nên sử dụng nhiều sản phẩm cơng nghệ nhiều hãng khác để hạn chế nhược điểm Đồng thời sử dụng nhiều cộng nghệ giải pháp bảo mật kết họp để tăng cường sức mạnh hệ thống phịng vệ phối họp Firewall làm cơng cụ ngăn chặn trực tiếp, IDS làm công cụ "đánh hơi", phản ứng phòng vệ chủ động, Anti-virus để lọc virus, v.v + Xây dựng Hệ thống địa chỉ, phân chia mạng ảo (VLAN) cho đơn vị + Xây dựng sách bảo mật thơng tin + Xây dựng sách phân cấp quản trị mạng + Xây dựng sách phân quyền truy nhập, sử dụng mạng 3.23.2 Hoàn thiện pháp lý giám sát rủi ro HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tê 112 Hiện sơ tơ chức tài nhà nước có phát triên lâu dài, có phát triển mạnh, xây dựng khung pháp lí giám sát phịng ngừa rủi ro Tuy nhiên số tổ chức tài nhỏ chưa có hệ thống cơng nghệ CNTT lớn, chưa ý đến việc xây dựng pháp lí giám sát cho CNTT Ở tổ chức tài VN việc giám sát CNTT thực phận kiểm tốn nội (có phận kiểm tốn CNTT) Các tổ chức tài xây dựng khung pháp lí sách an tồn bảo mật, sách phịng chống rủi ro Căn pháp lí đó, phận kiếm soát nội kiểm tra việc chấp hành sách, qui chế, qui trình Nếu phận CNTT vi phạm cán kiểm sốt kiến nghị sửa chữa sai sot Cơng nghệ thơng tin Tổ chức tài Việt Nam thời kỳ đầu phát triển Đầu tư trang thiết bị mới, công nghệ tiên tiến, nên giảm thiểu rủi ro công nghệ lạc hậu Các tổ chức tài Việt Nam có nhiều hội kinh nghiệm tổ chức tài nước ngồi ứng dụng cơng nghệ thơng tin, đào tạo nguồn nhân lực Tuy nhiên, việc tra kiểm soát chưa đạt hiệu cao, chủ yếu kiểm tra mặt hành thủ tục, chứng từ Chưa có kiểm tra mặt kĩ thuật, chưa phát tổ chức tài có gặp rủi ro khơng, chưa có cảnh báo rủi ro cho tổ chức tài Đó nguyên nhân sau: -Trình độ kiểm soát viên chưa đạt yêu cầu, chưa được đào tạo chuyên sâu, chưa có kinh nghiệm triển khai CNTT - Các khung pháp lí, qui trình kiếm tra chưa đủ, chưa đạt, chưa có trách nhiệm rõ ràng việc cán CNTT cung cấp thông tin cho kiểm soát *.Phương hướng chủ yếu là: - Đào tạo chuyên sâu cho kiểm soát viên HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tê 113 - Xây dựng hoàn thiện khung pháp lí, trách nhiệm vê việc cung câp thơng tin cho kiểm sốt - Đầu tư trang bị hệ thống cơng nghệ thơng tin tiên tiến, đảm bảo an tồn, giảm thiểu rủi ro ứng dụng chữ ký số, công nghệ xác thực người sử dụng như: sinh trắc học, vân tay, Mục tiêu xây dựng khung pháp lí kiểm sốt CNTT: - Thống việc tổ chức quản lí kiểm sốt rủi ro CNTT hoạt động ngân hàng - Chủ động phòng ngừa rủi ro, hạn chế rủi ro CNTT hoạt động NH - Xác định trách nhiệm, quyền hạn cá nhân, tổ chức việc quản lí kiểm sốt rủi ro CNTT hoạt động NH Thảo luận qui định giám sát CNTT: Bao gồm qui định hướng dẫn vận hành để kiểm toán CNTT Đe giám sát CNTT cần phải có qui định cụ thể theo chu kỳ sản phẩm Quá trình xem xét từ lúc lập kế hoạch lúc đưa sản phẩm ứng dụng rộng rãi: + Lập kế hoạch, lập phương án: Chiến lược phát triển phải đảm bảo nằm chiến lược tổng thể, phải xác định động lực phát triển, nhu cầu thị trường dịch vụ, sản phẩm ( yếu tố kinh tế, xã hội, công nghệ ) + Xác định tiềm phát triển thị trường thơng qua việc lượng hóa nhu cầu thị trường, đánh giá khả cạnh tranh đối thủ cạnh tranh việc cung cấp sản phẩm, dịch vụ, dịch vụ ngân hàng + Xem xét khả quản trị, kiểm soát rủi ro So sánh lực quản trị rủi ro so với qui mô phức tạp ứng dụng sản phẩm dịch vụ sản phẩm tài + Xây dựng phương án: Xác định mục tiêu tổng quát mục tiêu định lượng cách cụ thể, chi tiết cho sản phẩm dịch vụ tài HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tế 114 + Xác đinh rủi ro: Nhận định rủi ro phát sinh đưa giải pháp xử lí rủi ro thực hoạt động dịch vụ tài ngân hàng Bao gồm rủi ro sau: Rủi ro vê tác nghiệp, Rủi ro uy tín, Rủi ro liên quan đến pháp lí, rủi ro liên quan đến khách hàng bên thứ Phải lượng hóa rủi ro phát sinh thực triển khai sản phẩm dịch vụ tài chính, từ xác định mức độ tổn thất tối đa mà tổ chức tài phải gánh chịu Xác định giới hạn việc cung câp sản phẩm dịch vụ tài biện pháp quản trị rủi ro tương ứng cho loại rủi ro *Xây dựng kế hoạch triển khai cụ thể: bao gồm tài chính, lộ trình triển khai rủi ro cơng nghệ, trang thiết bị nhân lực vấn đề liên quan khác -Phân công trách nhiệm thành viên tham gia, xây dựng cung cấp sản phẩm dịch vụ tài Trong cần qui định cụ thể trách nhiệm cho phận nghiệp vụ, phận công nghệ, phận quản trị + Trách nhiệm phận nghiệp vụ: chịu trách nhiệm xây dựng qui trình, qui định nghiệp vụ liên quan đến sản phẩm dịch vụ tài + Bộ phận cơng nghệ: Thiết lập hệ thống chương trình ứng dụng Đảm bảo an tồn, hiệu quả, phù hợp với qui định pháp luật hội nhập quốc tế Thường xuyên rà soát đánh giá đưa giải pháp xử lí rủi ro cho ứng dụng cụ thể + Bộ phận quản trị: Phân công nhiệm vụ cho thành viên đảm bảo tách bạch, đáp ứng yêu câu hoạt động thông suốt Thực giám sát qui trình kĩ thuật, tơ chức quản lí khác, vận hành kiểm sốt phần mềm, phần cứng, mạng truyền thông, sở liệu, hệ thống thông tin + Trách nhiệm phận kiêm tra tổng hợp, phân tích rủi ro sản phâm dịch vụ tài Bộ phận kiêm tra định kì đột xuất, kiểm tra hệ thơng sản phâm dịch vụ tài chính, đảm bảo hạn chế rủi ro cung cấp sản phẩm HV: Phan Thái Dũng Lớp: Cao hoc 802 Luận văn thạc sĩ kinh tê 115 dịch vụ tài Bộ phận quản lí rủi ro chịu trách nhiệm tơng hợp phân tích báo cáo cố sản phấm dịch vụ tài + Trách nhiệm bên thứ ba: Đánh giá đầy đủ rủi ro phát sinh, tác động loại rủi ro hoạt động, uy tín, thưong hiệu ngân hàng Đánh giá giải pháp đảm bảo an tồn thơng tin sở kết hợp giải pháp tổ chức tài giải pháp bên thứ Phải có kế hoạch dự phòng trường hợp dịch vụ cho bên thứ cung cấp bị gián đoạn Phải đánh giá thẩm định lực kĩ thuật, khả tài bên thứ Việc hợp đồng với bên thứ phải xác định rõ trách nhiệm quyền hạn bên, qui định rõ việc sử dụng Logo trình cung cấp sản phấm dịch vụ tài Các tổ chức tài có quyền kiểm tra định kì, hoạt động cung cấp dịch vụ hỗ trợ kĩ thuật bên thứ Phải thường xuyên định kì đánh giá trình hợp tác bên thứ như: Kết họp tác bên thứ cung cấp sản phẩm tài Các vướng mắc, cố, đánh giá tiềm ẩn rủi ro Đánh giá mức độ an ninh, bảo mật liệu đến thời điểm thời gian tới Kiến nghị giải pháp để tăng cường mức độ đảm bảo an ninh hệ thống bảo mật liệu 3.2.4 Biện pháp nhăn lực - Nâng cao ý thức trách nhiệm, đạo đức nghề nghiệp cho cán - Nâng cao trình độ, đào tạo quy trình xử lý nghiệp vụ - Có sách tiền lương chế độ ưu đại phù họp để giữ chân người tài 3.2.5 Biện pháp hành - Quán triệt, phổ biến đầy đủ quy định Nhà nước, Ngành công tác bảo mật, an ninh mạng - Quản lý, giám sát đăng ký, truy cập mạng - Phân công, phân nhiệm rõ ràng công tác quản lý, vận hành quy trình xử lý nghiệp vụ, kỹ thuật công nghệ HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tê 116 - Xây dựng tô chức chuyên trách vê bảo mật an ninh mạng CNTT ngân hàng - Thường xuyên đào tạo, đào tạo lại đội ngũ cán xử lý nghiệp vụ - Giáo dục nâng cao tinh thần trách nhiệm, đạo đức nghề nghiệp cho cán - Xử lý nghiêm minh trường họp vi phạm 3.2.6 Biện pháp công tác quản lý điều hành 3.2.6.1 Nâng cao nhận thức quản lý rủi ro từ nhà quản lý - Hiện đại hoá Ngân hàng phải dựa tảng CNTT - Rủi ro phát sinh ngân hàng ảnh hưởng tới toàn hệ thống ngân hàng - Nâng cao nhận thức tầm quan trọng chiến lược phát triển, giải pháp cho bảo mật, an ninh mạng - Hiểu rõ chất nguy đe doạ, chủ động có phương án xử lý phù hợp - Rủi ro ứng dung CNTT không tránh khỏi, sẵn sàng đối mặt với rủi ro để có phương án xử lý phù họp, cần sẵn sàng đối mặt với tình có kế hoạch dự phịng - Rủi ro phát sinh khâu giao dịch ảnh hưởng tới toàn hệ thống 3.2.6.2 Nâng cao hiệu cơng tác kiếm tra, kiểm sốt - Kiểm tra, kiểm sốt lỳ thuật, quy trình nghiệp vụ nội ngân hàng - Tăng cường công tác kiểm tra, kiểm soát cấp: Kiếm tra dọc Ngân hàng Nhà nước, HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tê 117 - Xây dựng đủ, chặt chẽ chê pháp lý gơm Quy chê, quy trình kiểm tra, kiểm soát việc tuân thủ quy định an toàn, bảo mật hệ thống CNTT - Tăng cường cơng tác kiểm tra, kiểm sốt cấp - Thành lập tổ kiểm tra, thực kiểm tra định kỳ việc tuân thủ quy định an toàn, bảo mật hệ thống công nghệ thông tin 3.3 Một số kiến nghị: 3.3.1 Kiến nghị với phủ, Nhà nước - Khẩn trương bổ sung, xây dựng, hoàn thiện Luật, Chính sách rủi ro cơng nghệ thơng tin - Đẩy mạnh tuyên tuyền giao dục xây dựng biện pháp kiểm soát giám sát tổ chức kỹ thuật cơng tác thực thi sách pháp luật - Tổ chức máy quan chức đảm bảo an tồn thơng tin xử lý rủi ro - Hợp tác quốc tế (công nghệ Luật pháp) 3.3.2 Kiến nghị với ngành Ngân hàng - Xây dựng sở hạ tầng CNTT đảm bảo ứng dụng công nghệ tiến tiến nhằm tránh rủi ro - Đào tạo cán đủ trình độ quản trị hệ thống công nghệ thông tin cán kiểm tra, giám sát hệ thông CNTT tổ chức tín dụng - Ban hành tiêu chuẩn, văn pháp lý nhằm đảm bảo an toàn hệ thống CNTT - Tăng cường quan hệ họp tác với ngân hàng giới, học hỏi kinh nghiệm HV: Phan Thái Dũng Lớp: Cao học 802 r Luận văn thạc sĩ kinh tê 118 Như vậy, công nghệ thông tin thúc ép không thê tránh khỏi mở không gian rộng lớn để ngân hàng Việt Nam cải thiện vị cạnh tranh nhanh chóng Tuy nhiên, ứng dụng cơng nghệ thơng tin thường xuyên gặp rủi ro, để tránh rủi ro khơng đáng có xẩy ra, địi hỏi ngân hàng phải áp dụng đồng giải pháp Các ngân hàng cần phải nhận thức khả áp dụng cơng nghệ thơng tin địi hỏi an toàn lên hàng đầu Phải tạo điều kiện tổ chức tốt ý đến việc phát triển tầm nhìn chiến lược áp dụng cơng nghệ bảo mật thơng tin Hơn nữa, sách hỗ trợ Nhà nước, tổ chức chuyên môn ngành cần thiết, để đảm bảo hệ thống ngân hàng phát triển bền vững HV: Phan Thái Dũng Lớp: Cao học 802 Luận văn thạc sĩ kinh tế 119 KÉT LUẬN Trong trình thực chiến lược phát triển, đối hoạt động ngân hàng, với hỗ trợ Chính phủ, bộ, ngành, địa phương; nỗ lực mình, ngành Ngân hàng tích cực tìm kiếm giải pháp công nghệ hiệu từ tổ chức tài chính, tập đồn, doanh nghiệp CNTT&TT nước quốc tế đế xây dựng hệ thống ngân hàng đại, công nghệ tiên tiến đôi với việc bảo đảm ổn định, an toàn hoạt động nhằm hướng tới hệ thống Ngân hàng Việt Nam phát triển bền vững trước thềm Việt Nam nhập tố chức thương mại giới hội nhập kinh tế quốc tế Bằng việc nghiên cứu lý sở thuyết thực tiễn, đề tài: “Giải pháp quản lý rủi ro công nghệ thông tin hệ thống Ngân hàng Việt nam trình hội nhập kinh tế quốc tế” làm rõ giải pháp bảo mật, an ninh mạng tin học, đánh giá thực trạng công tác bảo mật, an ninh mạng ngân hàng rủi ro tiềm ẩn hệ thống Đồng thời, nghiên cứu kỹ giải pháp kỹ thuật tiên tiến, hệ thống thiết bị công nghệ mới, nhóm thực đề tài chọn đưa số giải pháp phù hợp với với môi trường ứng dụng phát triển CNTT Việt Nam nói chung hệ thống Ngân hàng nói riêng Đây giải pháp khả thi mạng tính ứng dụng thực tiến cao ngân hàng Đe tài đưa định hướng tổng quát, đánh giá độc lập giải pháp công nghệ đề cập đến xu phát triển giải pháp bảo mật, an ninh mạng nước khu vực, giới mà Ngân hàng Việt Nam bước tiếp cận, nghiên cứu, chọn lọc triển khai ứng dụng đơn vị Trong trình thực đề tài, nỗ lực, cố gắng bám sát mục tiêu, đề cương để nghiên cứu, điều kiện nghiên cứu có hạn, chắn khơng thể tránh khỏi khiếm khuyết, hạn chế Tôi mong nhận nhiều ý kiến đóng góp nhà khoa học, nhà quản lý, chuyên gia, đồng HV: Phan Thái Dũng Lóp: Cao học 802 Luận văn thạc sĩ kinh tế 120 nghiệp độc giả quan tâm đên lĩnh vực đê tiêp tục hoàn thiện đưa Đe tài vào áp dụng hiệu hon thực tiễn Xin trân trọng cảm ơn./ HV: Phan Thái Dũng Lớp: Cao học 802 121 Luận văn thạc sĩ kinh tê DANH MỤCTÀI LIỆU THAM KHẢO Luật giao dịch điện tử ngày 29/11/2005; Luật công nghệ thông tin ngày 29/06/2006; Nghị định số 96/2008/NĐ-CP ngày 26/08/2008 Chính phủ quy định chức năng, nhiệm vụ, quyền hạn cấu tổ chức Ngân hàng Nhà nước Việt Nam; Nghị định 64/2007/NĐ-CP ngày 10/4/2007 việc ứng dụng CNTT hoạt động quan nhà nước Nghị định số 35/2007/NĐ-CP ngày 08/03/2007 giao dịch điện tử hoạt động ngân hàng; Quyết định số 246/2005/QĐ-TTg ngày 25/12/2001 Thủ tư Chính phủ Phê duyệt Chiến lược phát triển công nghệ thông tin truyền thông Việt Nam đến năm 2010 định hướng đến năm 2020; Quyết định số 112/QĐ-NHNN ngày 24/5/2006 Thủ tướng Chính phủ Phê duyệt Đe án phát triển ngành Ngân hàng Việt Nam đến năm 2010 định hướng đến năm 2020; Chỉ thị số 58-CT/TW ngày 17/10/2000 Bộ Chính trị đẩy mạnh ứng dụng phát triển công nghệ thông tin phục vụ nghiệp cơng nghiệp hố, đại hố; Niêm giám CNTT-TT Việt Nam 2006; 10 Chiến lược tổng thể phát triển Chính phủ điện tử Việt Nam đên năm 2010 ; 11 Ampah, Mavis, Ayers, Seth, Besanẹon, Laurent, Dymond, Andrew, Gomez, Carlos, (2003), “Công nghệ thông tin, truyền thông phát triển Tạo lập xã hội thông tin”; HV: Phan Thái Dũng Lớp: Cao học 802 122 Luận văn thạc sĩ kinh tê " 12 G1P1 Vietnam, (2003), “Thúc đ ô i ^ ĩ ^ h m r S h ^ p h ^ t ^ e Internet Việt Nam —Báo cáo đánh gia ; 13 Ngân hàng giới, (2003), “Công nghệ thông tin truyền thông phục vụ phát triển - Đóng góp cho mục đích phát triển Thiên niên kỷ ; 14 Tselcos, Theodore, (2002), “Chính phủ điện tử quốc gia chuyển đổi”; 15 Elmer, Laurel, (2002), “Tổng hợp nghiên cứu môi trường cho CNTT truyền thơng Việt Nam: Chính sách, Cơ sở hạ tầng n g dụng ; 16 Báo cáo quản lý rủi ro CNTT năm 2006 công ty Symantec 02-2007; 17 N s T (2002) "Risk Management Guide forlnformation Technology S.IJennie Grimes, (2008), “How to Begin IT Risk Management: Five Steps to Getting What You w ant” ; 19 J.H Shortreed, L Craig and s McColl, (August 2000 ),’’Benchm Framework for RiskManagement’’;20 M.A.S,(2008), ” Internet banking and technology risk management guidelines 21 IDG/NHNN (2006), Kỷ yếu hội thảo Banking Vietnam 2006, Hà NỘI 22 IDG/NHNN (2007), Kỷ yếu hội thảo Banking Vietnam 2007, Hà NỘI 23 1DG/NHNN (2008), Kỷ yếu hội thảo Banking Vietnam 2008, Hà Nội HV: Phan Thái Dũng Lớp: Cao học 802